• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la [documentazione di Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Fase 2: Verifica o aggiungi le autorizzazioni delle istanze per Session Manager
Per impostazione predefinita, AWS Systems Manager non dispone dell'autorizzazione per eseguire azioni sulle tue istanze. È possibile fornire le autorizzazioni di istanza a livello di account utilizzando un ruolo AWS Identity and Access Management (IAM) o a livello di istanza utilizzando un profilo dell'istanza. Se il caso d'uso lo consente, ti consigliamo di concedere l'accesso a livello di account utilizzando la configurazione di gestione host predefinita. Se hai già impostato la configurazione di gestione host predefinita per il tuo account utilizzando la policy `AmazonSSMManagedEC2InstanceDefaultPolicy`, è possibile procedere con il passaggio successivo. Per ulteriori informazioni sulla configurazione di gestione host predefinita, consulta [Gestione automatica delle istanze EC2 con la configurazione di gestione host predefinita](fleet-manager-default-host-management-configuration.md).
In alternativa, è possibile utilizzare i profili di istanza per fornire le autorizzazioni necessarie alle tue istanze. Un profilo dell'istanza passa un ruolo IAM a un'istanza Amazon EC2. È possibile collegare un profilo dell'istanza IAM a un'istanza Amazon EC2 all'avvio o a un'istanza avviata in precedenza. Per ulteriori informazioni, consulta [Utilizzo dei profili dell'istanza](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-usingrole-instanceprofile.html).
Per i server locali o le macchine virtuali (VMs), le autorizzazioni sono fornite dal ruolo del servizio IAM associato all'attivazione ibrida utilizzata per registrare i server locali e con Systems VMs Manager. Server locali e VMs non utilizzano profili di istanza.
Se utilizzi già altri strumenti di Systems Manager, ad esempio Run Command o Parameter Store, un profilo dell'istanza con le autorizzazioni di base richieste per il Session Manager potrebbe essere già associato alle tue istanze Amazon EC2. Se un profilo di istanza che contiene la policy AWS gestita `AmazonSSMManagedInstanceCore` è già associato alle istanze, le autorizzazioni richieste per Session Manager sono già state fornite. Ciò vale anche se il ruolo di servizio IAM utilizzato nell'attivazione ibrida contiene la policy gestita `AmazonSSMManagedInstanceCore`.
Tuttavia, in alcuni casi, potrebbe essere necessario modificare le autorizzazioni collegate al profilo dell'istanza. Ad esempio, desideri fornire un set più ristretto di autorizzazioni per l'istanza, hai creato una policy personalizzata per il tuo profilo di istanza o desideri utilizzare le opzioni di crittografia o () di crittografia di Amazon Simple Storage Service (Amazon S3) AWS Key Management Service o AWS KMS() per proteggere i dati della sessione. Per questi casi, procedi in uno dei seguenti modi per consentire l'esecuzione di operazioni Session Manager sulle istanze:
+ **Incorpora autorizzazioni per azioni Session Manager in un ruolo IAM personalizzato**
Per aggiungere Session Manager autorizzazioni per azioni a un ruolo IAM esistente che non si basa sulla policy predefinita AWS fornita, segui la procedura riportata di seguito. `AmazonSSMManagedInstanceCore` [Aggiunta di autorizzazioni Session Manager per un ruolo IAM esistente](getting-started-add-permissions-to-existing-profile.md)
+ **Crea un ruolo IAM personalizzato solo con le autorizzazioni del Session Manager**
Per creare un ruolo IAM che contenga solo le autorizzazioni per le operazioni del Session Manager, segui i passaggi riportati in [Creare un ruolo IAM personalizzato per Session Manager](getting-started-create-iam-instance-profile.md).
+ **Crea e utilizza un nuovo ruolo IAM con le autorizzazioni per tutte le operazioni di Systems Manager**
Per creare un ruolo IAM per le istanze gestite di Systems Manager che utilizza una policy predefinita fornita da AWS per concedere tutte le autorizzazioni di Systems Manager, segui i passaggi in [Configurare le autorizzazioni delle istanze richieste per Systems Manager](setup-instance-permissions.md).
**Topics**
+ [Aggiunta di autorizzazioni Session Manager per un ruolo IAM esistente](getting-started-add-permissions-to-existing-profile.md)
+ [Creare un ruolo IAM personalizzato per Session Manager](getting-started-create-iam-instance-profile.md)
# Aggiunta di autorizzazioni Session Manager per un ruolo IAM esistente
Utilizza la procedura seguente per aggiungere autorizzazioni Session Manager a un ruolo AWS Identity and Access Management (IAM) esistente. Aggiungendo autorizzazioni a un ruolo esistente, è possibile migliorare la sicurezza dell'ambiente informatico senza dover utilizzare la AWS `AmazonSSMManagedInstanceCore` policy, ad esempio le autorizzazioni.
**Nota**
Prendi nota delle seguenti informazioni:
Questa procedura presuppone che il tuo ruolo esistente includa già altre autorizzazioni di Systems Manager `ssm` per le operazioni a cui desideri permettere l'accesso. Questa policy da sola non è sufficiente per l'utilizzo di Session Manager.
Il seguente esempio di policy include un'azione `s3:GetEncryptionConfiguration`. Questa azione è necessaria se hai scelto l'opzione **Applica crittografia dei log S3** nelle preferenze di registrazione di Session Manager.
Se l'`ssmmessages:OpenControlChannel`autorizzazione viene rimossa dalle policy allegate al profilo dell'istanza IAM o al ruolo del servizio IAM, SSM Agent sul nodo gestito perde la connettività al servizio Systems Manager nel cloud. Tuttavia, può essere necessaria fino a 1 ora prima che una connessione venga interrotta dopo la rimozione dell'autorizzazione. Si tratta dello stesso comportamento che si verifica quando il ruolo dell'istanza IAM o il ruolo del servizio IAM vengono eliminati.
**Per aggiungere le autorizzazioni Session Manager per il ruolo dell'istanza per un ruolo esistente (console)**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, seleziona **Ruoli**.
1. Seleziona il nome del ruolo al quale desideri aggiungere le autorizzazioni.
1. Scegli la scheda **Autorizzazioni**.
1. Scegli **Aggiungi autorizzazioni**, quindi scegli **Aggiungi policy inline**.
1. Scegli la scheda **JSON**.
1. Sostituisci il contenuto predefinito della policy con il seguente. Sostituisci *key-name* con l'Amazon Resource Name (ARN) della AWS Key Management Service chiave (AWS KMS key) che desideri utilizzare.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetEncryptionConfiguration"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
}
]
}
```
------
Per ulteriori informazioni sull'utilizzo di una chiave KMS per crittografare i dati della sessione, consulta [Attiva la crittografia delle chiavi KMS per i dati delle sessioni (console)](session-preferences-enable-encryption.md).
Se non intendi utilizzare la AWS KMS crittografia per i dati della sessione, puoi rimuovere i seguenti contenuti dalla policy.
```
,
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "key-name"
}
```
1. Scegli **Successivo: Tag**.
1. (Facoltativo) Aggiungi i tag scegliendo **Aggiungi tag** e inserendo i tag preferiti per la policy.
1. Seleziona **Next: Revisione**.
1. Nella pagina **Rivedi policy**, per l'opzione **Nome** specifica un nome per la policy inline, ad esempio **SessionManagerPermissions**.
1. (Facoltativo) In **Descrizione**, inserisci una descrizione per la policy.
Scegli **Crea policy**.
Per informazioni sulle operazioni `ssmmessages`, consulta [Referenza: ec2messages, ssmmessages e altre operazioni API](systems-manager-setting-up-messageAPIs.md).
# Creare un ruolo IAM personalizzato per Session Manager
Puoi creare un ruolo AWS Identity and Access Management (IAM) che conceda Session Manager l'autorizzazione a eseguire azioni sulle istanze gestite di Amazon EC2. Puoi anche includere una politica per concedere le autorizzazioni necessarie per l'invio dei log di sessione ad Amazon Simple Storage Service (Amazon S3) e Amazon Logs. CloudWatch
Dopo aver creato il ruolo IAM, per informazioni su come associare il ruolo a un'istanza, consulta [Allega o sostituisci un profilo di istanza](https://aws.amazon.com/premiumsupport/knowledge-center/attach-replace-ec2-instance-profile/) sul sito Web. AWS re:Post Per ulteriori informazioni sui profili e i ruoli delle istanze IAM, consulta [Utilizzo di profili di istanze](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html) nella *Guida per l'utente IAM* e [Ruoli IAM per Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html) nella *Guida per l’utente di Amazon Elastic Compute Cloud per istanze Linux*. Per ulteriori informazioni sulla creazione di un ruolo di servizio IAM per macchine on-premises, consulta [Creazione di un ruolo di servizio IAM richiesto per System Manager in ambiente ibrido e multicloud](https://docs.aws.amazon.com/systems-manager/latest/userguide/hybrid-multicloud-service-role.html).
**Topics**
+ [Creazione di un ruolo IAM con le autorizzazioni minime per il Session Manager (console)](#create-iam-instance-profile-ssn-only)
+ [Creazione di un ruolo IAM con autorizzazioni per Amazon S3 Session Manager CloudWatch e Logs (console)](#create-iam-instance-profile-ssn-logging)
## Creazione di un ruolo IAM con le autorizzazioni minime per il Session Manager (console)
Utilizza la procedura seguente per creare un ruolo IAM personalizzato con una policy che fornisce solo le autorizzazioni per le operazioni del Session Manager sulle tue istanze.
**Per creare un profilo dell'istanza con autorizzazioni minime per il Session Manager (console)**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel pannello di navigazione, scegli **Policy** e **Crea policy**. (Se viene visualizzato il pulsante **Inizia**, sceglierlo, quindi scegli **Crea policy**).
1. Scegli la scheda **JSON**.
1. Sostituire il contenuto di default con la seguente policy. Per crittografare i dati della sessione utilizzando AWS Key Management Service (AWS KMS), sostituiscili *key-name* con l'Amazon Resource Name (ARN) che desideri utilizzare. AWS KMS key
**Nota**
Se l'`ssmmessages:OpenControlChannel`autorizzazione viene rimossa dalle policy allegate al profilo dell'istanza IAM o al ruolo del servizio IAM, SSM Agent sul nodo gestito perde la connettività al servizio Systems Manager nel cloud. Tuttavia, può essere necessaria fino a 1 ora prima che una connessione venga interrotta dopo la rimozione dell'autorizzazione. Si tratta dello stesso comportamento che si verifica quando il ruolo dell'istanza IAM o il ruolo del servizio IAM vengono eliminati.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:UpdateInstanceInformation",
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
}
]
}
```
------
Per ulteriori informazioni sull'utilizzo di una chiave KMS per crittografare i dati della sessione, consulta [Attiva la crittografia delle chiavi KMS per i dati delle sessioni (console)](session-preferences-enable-encryption.md).
Se non intendi utilizzare la AWS KMS crittografia per i dati della sessione, puoi rimuovere i seguenti contenuti dalla policy.
```
,
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "key-name"
}
```
1. Scegli **Successivo: Tag**.
1. (Facoltativo) Aggiungi i tag scegliendo **Aggiungi tag** e inserendo i tag preferiti per la policy.
1. Seleziona **Next: Revisione**.
1. Nella pagina **Rivedi policy**, per l'opzione **Nome** specifica un nome per la policy inline, ad esempio **SessionManagerPermissions**.
1. (Facoltativo) In **Descrizione**, inserisci una descrizione per la policy.
1. Scegliere **Create Policy (Crea policy)**.
1. Nel pannello di navigazione, scegli **Ruoli** e quindi **Crea ruolo**.
1. Sulla pagina **Crea ruolo**, scegli **AWS servizio**, e per **Caso d'uso**, scegli **EC2**.
1. Scegli **Next (Successivo)**.
1. Nella pagina **Aggiungi autorizzazioni**, seleziona la casella di controllo a sinistra del nome della policy appena creata, ad esempio **SessionManagerPermissions**.
1. Scegli **Next (Successivo)**.
1. Nella pagina **Rinomina, revisione e creazione**, per **Nome ruolo** immettere un nome per il ruolo IAM, ad esempio **MySessionManagerRole**.
1. (Facoltativo) Per **Descrizione ruolo**, immetti una descrizione per il profilo dell'istanza.
1. (Facoltativo) Aggiungi i tag scegliendo **Aggiungi tag** e inserendo i tag preferiti per il ruolo.
Scegli **Crea ruolo**.
Per informazioni sulle operazioni di `ssmmessages`, consulta [Referenza: ec2messages, ssmmessages e altre operazioni API](systems-manager-setting-up-messageAPIs.md).
## Creazione di un ruolo IAM con autorizzazioni per Amazon S3 Session Manager CloudWatch e Logs (console)
Utilizza la procedura seguente per creare un ruolo IAM personalizzato con una policy che fornisce le autorizzazioni per le operazioni del Session Manager sulle tue istanze. La policy fornisce anche le autorizzazioni necessarie per l'archiviazione dei log di sessione nei bucket Amazon Simple Storage Service (Amazon S3) e nei gruppi di log Amazon Logs. CloudWatch
**Importante**
Per eseguire l'output dei log di sessione su un bucket Amazon S3 appartenente a un Account AWS diverso, devi aggiungere l'autorizzazione `s3:PutObjectAcl` alla policy del ruolo IAM. Inoltre, devi assicurarti che la policy del bucket conceda l'accesso multi-account al ruolo IAM utilizzato dall'account proprietario per concedere le autorizzazioni di Systems Manager per le istanze gestite. Se il bucket utilizza la crittografia Key Management Service (KMS), anche la policy KMS del bucket deve concedere questo accesso multi-account. Per ulteriori informazioni sulla configurazione di autorizzazioni del bucket multi-account in Amazon S3, consulta [Concessione di autorizzazioni del bucket multi-account](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example2.html) nella *Guida per l'utente di Amazon Simple Storage Service*. Se queste autorizzazioni multi-account non vengono aggiunte, l'account proprietario del bucket Amazon S3 non è in grado di accedere ai log di output della sessione.
Per informazioni su come specificare le preferenze di archiviazione per i log delle sessioni, consulta [Abilitazione e disabilitazione della registrazione di sessione](session-manager-logging.md).
**Per creare un ruolo IAM con autorizzazioni per Amazon S3 Session Manager CloudWatch e Logs (console)**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Nel pannello di navigazione, scegli **Policy** e **Crea policy**. (Se viene visualizzato il pulsante **Inizia**, sceglierlo, quindi scegli **Crea policy**).
1. Scegli la scheda **JSON**.
1. Sostituire il contenuto di default con la seguente policy. Sostituisci ogni *example resource placeholder* con le tue informazioni.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel",
"ssm:UpdateInstanceInformation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/s3-prefix/*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetEncryptionConfiguration"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
},
{
"Effect": "Allow",
"Action": "kms:GenerateDataKey",
"Resource": "*"
}
]
}
```
------
1. Scegli **Successivo: Tag**.
1. (Facoltativo) Aggiungi i tag scegliendo **Aggiungi tag** e inserendo i tag preferiti per la policy.
1. Seleziona **Next: Revisione**.
1. Nella pagina **Rivedi policy**, per l'opzione **Nome** specifica un nome per la policy inline, ad esempio **SessionManagerPermissions**.
1. (Facoltativo) In **Descrizione**, inserisci una descrizione per la policy.
1. Scegliere **Create Policy (Crea policy)**.
1. Nel pannello di navigazione, scegli **Ruoli** e quindi **Crea ruolo**.
1. Sulla pagina **Crea ruolo**, scegli **AWS servizio**, e per **Caso d'uso**, scegli **EC2**.
1. Scegli **Next (Successivo)**.
1. Nella pagina **Aggiungi autorizzazioni**, seleziona la casella di controllo a sinistra del nome della policy appena creata, ad esempio **SessionManagerPermissions**.
1. Scegli **Next (Successivo)**.
1. Nella pagina **Rinomina, revisione e creazione**, per **Nome ruolo** immettere un nome per il ruolo IAM, ad esempio **MySessionManagerRole**.
1. (Facoltativo) In **Descrizione del ruolo**, immetti una descrizione per il nuovo ruolo.
1. (Facoltativo) Aggiungi i tag scegliendo **Aggiungi tag** e inserendo i tag preferiti per il ruolo.
1. Scegli **Crea ruolo**.