Usar perfis vinculados ao serviço do Incident Manager - Incident Manager
Permissões dos perfis vinculados ao serviço do Incident ManagerCriar um perfil vinculado ao serviço no Incident ManagerEditar um perfil vinculado a serviço no Incident ManagerExcluir um perfil vinculado ao serviço no Incident ManagerRegiões com suporte a perfis vinculados ao serviço do Incident Manager

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usar perfis vinculados ao serviço do Incident Manager

AWS Systems Manager Incident Manager usa funções vinculadas ao serviço AWS Identity and Access Management (IAM). Um perfil vinculado ao serviço é um tipo exclusivo de perfil do IAM vinculado diretamente ao Incident Manager. As funções vinculadas ao serviço são predefinidas pelo Incident Manager e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.

Um perfil vinculado ao serviço facilita a configuração do Incident Manager porque você não precisa adicionar as permissões necessárias manualmente. O Incident Manager define as permissões dos perfis vinculados ao serviço e, exceto se definido de outra forma, somente o Incident Manager pode assumir suas perfis. As permissões definidas incluem a política de confiança e a política de permissões, e essa política não pode ser anexada a nenhuma outra entidade do IAM.

Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus atributos do Incident Manager, pois você não pode remover por engano as permissões para acessar os atributos.

Para obter informações sobre outros serviços compatíveis com perfis vinculados a serviços, consulte Serviços da AWS compatíveis com o IAM e procure os serviços que contenham Sim na coluna Service-Linked Role. Escolha um Sim com um link para visualizar a documentação do perfil vinculado a esse serviço.

Permissões dos perfis vinculados ao serviço do Incident Manager

O Incident Manager usa a função vinculada ao serviço chamada. AWSServiceRoleforIncidentManager Essa função permite que o Incident Manager gerencie os registros de incidentes e os recursos relacionados do Incident Manager em seu nome.

A função AWSService RoleforIncidentManager vinculada ao serviço confia nos seguintes serviços para assumir a função:

  • ssm-incidents.amazonaws.com

A política de permissões do perfil AWSIncidentManagerServiceRolePolicy permite que o Incident Manager conclua as seguintes ações nos atributos especificados:

  • Ação: ssm-incidents:ListIncidentRecords em todos os atributos relacionados à ação.

  • Ação: ssm-incidents:CreateTimelineEvent em todos os atributos relacionados à ação.

  • Ação: ssm:CreateOpsItem em todos os atributos relacionados à ação.

  • Ação: ssm:AssociateOpsItemRelatedItem em all resources related to the action.

  • Ação: ssm-contacts:StartEngagement em todos os atributos relacionados à ação.

  • Ação: cloudwatch:PutMetricData em CloudWatch métricas dentro dos AWS/IncidentManager AWS/Usage namespaces e

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte Permissões de perfil vinculado ao serviço no Guia do usuário do IAM.

Criar um perfil vinculado ao serviço no Incident Manager

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria um conjunto de replicação na, na ou na AWS API AWS Management Console AWS CLI, o Incident Manager cria a função vinculada ao serviço para você.

Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você cria uma configuração de replicação, o Incident Manager cria o perfil vinculado ao serviço para você novamente.

Editar um perfil vinculado a serviço no Incident Manager

O Incident Manager não permite que você edite a função AWSService RoleforIncidentManager vinculada ao serviço. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar um perfil vinculado ao serviço no Guia do usuário do IAM.

Excluir um perfil vinculado ao serviço no Incident Manager

Se você não precisar mais usar um atributo ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-la. Dessa forma, você não terá uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os atributos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.

Para excluir o perfil vinculado ao serviço, você deve primeiro excluir o conjunto de replicação. A exclusão do conjunto de replicação exclui todos os dados criados e armazenados no Incident Manager, incluindo planos de resposta, contatos e planos de escalação. Você também perderá todos os incidentes criados anteriormente. Quaisquer alarmes e EventBridge regras que apontem para planos de resposta excluídos não criarão mais um incidente na combinação de alarmes ou regras. Para excluir o conjunto de replicação, você deve excluir todas as regiões do conjunto.

nota

Se o serviço Incident Manager estiver usando o perfil quando você tenta excluir os atributos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Para excluir as regiões no conjunto de replicação usado pelo AWSService RoleforIncidentManager

  1. Abra o console do Incident Manager e escolha Configurações no painel de navegação à esquerda.

  2. Selecione uma Região no Conjunto de replicação.

  3. Escolha Excluir.

  4. Para confirmar a exclusão da região, insira o nome da região e escolha Excluir.

  5. Repita essas etapas até excluir todas as regiões do seu conjunto de replicação. Ao excluir a região final, o console informa que exclui o conjunto de replicação com ela.

Como excluir manualmente o perfil vinculado ao serviço usando o IAM

Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSService RoleforIncidentManager vinculada ao serviço. Para obter mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.

Regiões com suporte a perfis vinculados ao serviço do Incident Manager

O Incident Manager é compatível com perfis vinculados ao serviço em todas as regiões em que o serviço está disponível. Para mais informações, consulte Regiões e endpoints da AWS.