• O AWS Systems Manager CloudWatch Dashboard não estará mais disponível a partir de 30 de abril de 2026. Os clientes podem continuar usando o console do Amazon CloudWatch para visualizar, criar e gerenciar os painéis do Amazon CloudWatch exatamente como fazem hoje. Para obter mais informações, consulte a [documentação do Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
# Configurar o OpsCenter
O AWS Systems Manager usa uma experiência de configuração integrada para ajudar você a começar a usar o OpsCenter e o Explorer, que são ferramentas do Systems Manager. O Explorer corresponde a um painel de operações personalizável que relata informações sobre os recursos da AWS. Nesta documentação, a configuração do Explorer e do OpsCenter é chamada de *configuração integrada*.
Você deve usar a configuração integrada para configurar o OpsCenter com o Explorer. A Configuração Integrada só está disponível no console do AWS Systems Manager. Você não pode configurar o Explorer ou o OpsCenter programaticamente. Para ter mais informações, consulte [Conceitos básicos do Systems Manager Explorer e do OpsCenter](Explorer-setup.md).
**Antes de começar**
Ao configurar OpsCenter, você habilita regras padrão no Amazon EventBridge que são criadas automaticamente OpsItems. A tabela a seguir descreve as regras padrão do EventBridge que criam OpsItems automaticamente. **Você pode desativar as regras do EventBridge na página OpsCenter**Configurações**OpsItem, em regras**.
**Importante**
Sua conta é cobrada por OpsItems criados por regras padrão. Para obter mais informações, consulte [Preços do AWS Systems Manager](https://aws.amazon.com/systems-manager/pricing/).
****
| Nome da regra | Descrição |
| --- | --- |
| SSMOpsItems-Autoscaling-instance-launch-failure | Essa regra cria OpsItems quando o lançamento de uma instância EC2 de ajuste de escala automático falhou. |
| SSMOpsItems-Autoscaling-instance-termination-failure | Essa regra cria OpsItems quando o término da instância do EC2 de ajuste de escala automático falhou. |
| SSMOpsItems-EBS-snapshot-copy-failed | Essa regra cria OpsItems quando o sistema falhou ao copiar um snapshot do Amazon Elastic Block Store (Amazon EBS). |
| SSMOpsItems-EBS-snapshot-creation-failed | Essa regra cria OpsItems quando o sistema não consegue criar o snapshot do Amazon EBS. |
| SSMOpsItems-EBS-volume-performance-issue | Essa regra corresponde a uma regra de rastreamento AWS Health. A regra cria OpsItems sempre que houver um problema de desempenho com um volume do Amazon EBS (evento de saúde = `AWS_EBS_DEGRADED_EBS_VOLUME_PERFORMANCE`). |
| SSMOpsItems-EC2-issue | Essa regra corresponde a uma regra de rastreamento AWS Health para eventos inesperados que afetam AWS serviços ou recursos. A regra cria OpsItems quando, por exemplo, um serviço envia comunicações sobre problemas operacionais que estão causando degradação do serviço ou para conscientizar sobre problemas localizados no nível de recursos. Por exemplo, esta regra cria um OpsItem para o seguinte evento: `AWS_EC2_OPERATIONAL_ISSUE`. |
| SSMOpsItems-EC2-scheduled-change | Essa regra corresponde a uma regra de rastreamento AWS Health. AWS pode programar eventos para suas instâncias, como reinicialização, interrupção ou início. A regra cria OpsItems para eventos programados do EC2. Para obter mais informações sobre eventos programados, consulte [Eventos programados para suas instâncias](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitoring-instances-status-check_sched.html) no *Guia do usuário do Amazon EC2*. |
| SSMOpsItems-RDS-issue | Essa regra corresponde a uma regra de rastreamento AWS Health para eventos inesperados que afetam AWS serviços ou recursos. A regra cria OpsItems quando, por exemplo, um serviço envia comunicações sobre problemas operacionais que estão causando degradação do serviço ou para conscientizar sobre problemas localizados no nível de recursos. Por exemplo, essa regra cria um OpsItem para os seguintes eventos: `AWS_RDS_MYSQL_DATABASE_CRASHING_REPEATEDLY``AWS_RDS_EXPORT_TASK_FAILED` e `AWS_RDS_CONNECTIVITY_ISSUE`. |
| SSMOpsItems-RDS-scheduled-change | Essa regra corresponde a uma regra de rastreamento AWS Health. A regra é criada OpsItems para eventos programados do Amazon RDS. Eventos programados fornecem informações sobre futuras alterações nos recursos do Amazon RDS. Alguns eventos podem recomendar que você tome medidas para evitar interrupções no serviço. Outros eventos ocorrem de forma automática, não exigindo intervenção de sua parte. Seu recurso pode estar temporariamente indisponível durante a atividade de alteração programada. Por exemplo, essa regra cria um OpsItem para os seguintes eventos: `AWS_RDS_SYSTEM_UPGRADE_SCHEDULED` e `AWS_RDS_MAINTENANCE_SCHEDULED`. Para obter mais informações sobre eventos programados, consulte [Categorias de tipos de eventos](https://docs.aws.amazon.com/health/latest/ug/aws-health-concepts-and-terms.html#event-type-categories) no *AWS HealthGuia do usuário*. |
| SSMOpsItems-SSM-maintenance-window-execution-failed | Essa regra cria OpsItems quando a execução da janela de manutenção do Systems Manager falha. |
| SSMOpsItems-SSM-maintenance-window-execution-timedout | Essa regra cria OpsItems quando a execução da janela de manutenção do Systems Manager ultrapassa o tempo limite. |
Utilize o procedimento a seguir para configurar OpsCenter.
**Como configurar o OpsCenter**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **OpsCenter**.
1. Na página inicial do OpsCenter, escolha **Começar a usar**.
1. Na página de configuração do OpsCenter, escolha **Habilitar esta opção para que o Explorer configure o AWS Config e os eventos do Amazon CloudWatch para criar OpsItems automaticamente com base em regras e eventos comumente usados**. Se você não escolher esta opção, o OpsCenter permanecerá desabilitado.
**nota**
O Amazon EventBridge (antigo Amazon CloudWatch Events) fornece todas as funcionalidades do CloudWatch Events e alguns novos recursos, como barramentos de eventos personalizados, origens de eventos de terceiros e registro dos esquemas.
1. Escolha **HabilitarOpsCenter**.
Após habilitar o OpsCenter, é possível fazer o seguinte em **Configurações**:
+ Criar alarmes do CloudWatch usando o botão **Abrir console do CloudWatch**. Para ter mais informações, consulte [Configuração dos alarmes do CloudWatch para criar OpsItems](OpsCenter-create-OpsItems-from-CloudWatch-Alarms.md).
+ Habilitar insights operacionais. Para ter mais informações, consulte [Analisar insights operacionais para reduzir OpsItems](OpsCenter-working-operational-insights.md).
+ Habilitar os alarmes de descoberta do AWS Security Hub CSPM. Para ter mais informações, consulte [Noções básicas sobre a integração do OpsCenter com o AWS Security Hub CSPM](OpsCenter-applications-that-integrate.md#OpsCenter-integrate-with-security-hub).
**Topics**
+ [(Opcional) Configuração do OpsCenter para gerenciar OpsItems de forma centralizada entre contas](OpsCenter-setting-up-cross-account.md)
+ [(Opcional) Configurar o Amazon SNS para receber notificações sobre OpsItems](OpsCenter-getting-started-sns.md)
# (Opcional) Configuração do OpsCenter para gerenciar OpsItems de forma centralizada entre contas
Você pode usar o OpsCenter do Systems Manager para gerenciar OpsItems entre várias Contas da AWS, de maneira centralizada, em uma Região da AWS selecionada. O atributo fica disponível depois que você configura sua organização no AWS Organizations. O AWS Organizations é um serviço de gerenciamento de contas que permite consolidar várias contas da AWS em uma única organização que você cria e gerencia de maneira centralizada. O AWS Organizations inclui todas as funcionalidades de gerenciamento de contas e de faturamento consolidado que permitem atender melhor às necessidades de orçamento, segurança e conformidade de sua empresa. Para obter mais informações, consulte [O que é o AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) no * Guia do usuário do AWS Organizations*
Os usuários que pertencem à conta de gerenciamento do AWS Organizations podem configurar uma conta de administrador delegado para o Systems Manager. No contexto do OpsCenter, administradores delegados podem criar, editar e visualizar OpsItems nas contas de membro. O administrador delegado também pode usar os runbooks do Systems Manager Automation para resolver OpsItems em massa ou corrigir problemas com os recursos da AWS que estão gerando OpsItems.
**nota**
É possível atribuir somente uma conta de administrador delegado do Systems Manager. Para obter mais informações, consulte [Criar um administrador delegado do AWS Organizations para o Systems Manager](setting_up_delegated_admin.md).
O Systems Manager oferece os métodos a seguir para configurar o OpsCenter para gerenciamento centralizado de OpsItems entre várias Contas da AWS.
+ **Configuração Rápida**: a Configuração Rápida é uma ferramenta do Systems Manager que simplifica as tarefas de instalação e configuração dos recursos do Systems Manager. Para obter mais informações, consulte [AWS Systems Manager Quick Setup](systems-manager-quick-setup.md).
A Configuração Rápida para o OpsCenter ajuda a concluir as seguintes tarefas para gerenciar OpsItems entre contas:
+ Registrar uma conta como administrador delegado (se o administrador delegado ainda não estiver designado)
+ Criar políticas e perfis do AWS Identity and Access Management (IAM) necessários
+ Especificar uma organização do AWS Organizations ou unidades organizacionais (UOs) em que um administrador delegado pode gerenciar OpsItems entre contas
Para obter mais informações, consulte [(Opcional) Configurar o OpsCenter para gerenciar OpsItems entre contas usando a Quick Setup](OpsCenter-quick-setup-cross-account.md).
**nota**
A Configuração Rápida não está disponível em todas as Regiões da AWS em que o Systems Manager está disponível atualmente. Se a Configuração Rápida não estiver disponível em uma região em que você deseja usá-la para configurar o OpsCenter para gerenciamento centralizado de OpsItems entre contas, use o método manual. Para ver uma lista de Regiões da AWS onde a Configuração Rápida está disponível, consulte [Disponibilidade do Quick Setup nas Regiões da AWS](systems-manager-quick-setup.md#quick-setup-getting-started-regions).
+ **Configuração manual**: se a Configuração Rápida não estiver disponível em uma região em que você deseja configurar o OpsCenter para gerenciamento centralizado de OpsItems entre contas, você poderá usar o procedimento manual para isso. Para obter mais informações, consulte [(Opcional) Configuração do OpsCenter para gerenciar OpsItems de forma centralizada entre contas](OpsCenter-getting-started-multiple-accounts.md).
# (Opcional) Configurar o OpsCenter para gerenciar OpsItems entre contas usando a Quick Setup
A Quick Setup, uma ferramenta do AWS Systems Manager, simplifica as tarefas de instalação e configuração das ferramentas do Systems Manager. A Quick Setup para OpsCenter ajuda a concluir as seguintes tarefas de gerenciamento de OpsItems entre contas:
+ Especificar a conta de administrador delegado
+ Criar políticas e perfis do AWS Identity and Access Management (IAM) necessários
+ Especificar uma organização do AWS Organizations ou um subconjunto de contas de membro em que um administrador delegado pode gerenciar OpsItems entre contas
Quando você configura o OpsCenter para gerenciar OpsItems entre contas usando a Configuração Rápida, a Quick Setup cria os recursos a seguir nas contas especificadas. Esses recursos dão às contas especificadas permissão para trabalhar com OpsItems e usar runbooks do Automation para corrigir problemas com recursos da AWS que geram OpsItems.
****
| Recursos | Contas |
| --- | --- |
| Perfil do AWS Identity and Access Management (IAM) vinculado ao serviço `AWSServiceRoleForAmazonSSM_AccountDiscovery` Para obter mais informações sobre esse perfil, consulte [Usar perfis para coletar informações da Conta da AWS para o OpsCenter e o Explorer](using-service-linked-roles-service-action-2.md). | Conta de gerenciamento e conta de administrador delegado do AWS Organizations |
| Perfil do IAM `OpsItem-CrossAccountManagementRole` Perfil do IAM `AWS-SystemsManager-AutomationAdministrationRole` | Conta de administrador delegado |
| Perfil do IAM `OpsItem-CrossAccountExecutionRole` Perfil do IAM `AWS-SystemsManager-AutomationExecutionRole` Política de recursos do Systems Manager `AWS::SSM::ResourcePolicy` para o grupo de OpsItem padrão (`OpsItemGroup`) | Todas as contas de membro do AWS Organizations |
**nota**
Se você configurou o OpsCenter anteriormente para gerenciar OpsItems entre contas usando o [método manual](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-getting-started-multiple-accounts.html), será necessário excluir as pilhas ou conjuntos de pilhas do AWS CloudFormation criados durante as etapas 4 e 5 do processo. Se os recursos estiverem presentes em sua conta quando você concluir o procedimento a seguir, a Quick Setup não configurará corretamente o gerenciamento de OpsItem entre contas.
**Para configurar o OpsCenter para gerenciar OpsItems entre contas usando a Configuração Rápida**
1. Faça login no Console de gerenciamento da AWS usando a conta de gerenciamento do AWS Organizations.
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Quick Setup**.
1. Escolha a guia **Biblioteca**.
1. Role até a parte inferior e localize o bloco de configuração do **OpsCenter**. Escolha **Criar**.
1. Na página de Quick Setup do OpsCenter, na seção **Administrador delegado**, insira um ID de conta. Se você não conseguir editar esse campo, é porque uma conta de administrador delegado já foi especificada para o Systems Manager.
1. Na seção **Select Targets by**, escolha uma opção. Se você escolher **Personalizar**, selecione as unidades organizacionais (UO) nas quais deseja gerenciar OpsItems entre contas.
1. Escolha **Criar**.
A Quick Setup cria a configuração do OpsCenter e implanta os recursos da AWS necessários nas UOs designadas.
**nota**
Se você não quiser gerenciar OpsItems entre várias contas, você poderá excluir a configuração da Quick Setup. Ao excluir a configuração, a Quick Setup exclui as seguintes políticas e perfis do IAM criados quando a configuração foi originalmente implantada:
`OpsItem-CrossAccountManagementRole` da conta de administrador delegado
`OpsItem-CrossAccountExecutionRole` e `SSM::ResourcePolicy` de todas as contas de membro do Organizations
A Quick Setup remove a configuração de todas as unidades organizacionais e das Regiões da AWS onde a configuração foi originalmente implantada.
## Solução de problemas com uma configuração da Quick Setup para o OpsCenter
Esta seção contém informações que ajudam a solucionar problemas ao configurar o gerenciamento de OpsItem entre contas usando a Quick Setup.
**Topics**
+ [Falha na implantação destes StackSets: delegatedAdmin](#OpsCenter-quick-setup-cross-account-troubleshooting-stack-set-failed)
+ [O status da configuração da Quick Setup é Failed](#OpsCenter-quick-setup-cross-account-troubleshooting-configuration-failed)
### Falha na implantação destes StackSets: delegatedAdmin
Ao criar uma configuração do OpsCenter, a Quick Setup implanta dois conjuntos de pilhas do AWS CloudFormation na conta de gerenciamento do Organizations. Os conjuntos de pilhas usam o seguinte prefixo: `AWS-QuickSetup-SSMOpsCenter`. Se a Quick Setup exibir este erro: `Deployment to these StackSets failed: delegatedAdmin`, use o procedimento a seguir para corrigir o problema.
**Para solucionar um erro failed:delegatedAdmin do StackSets**
1. Se você recebeu o erro `Deployment to these StackSets failed: delegatedAdmin` em um banner vermelho no console da Quick Setup, entre na conta do administrador delegado e na Região da AWS designada como a região da Quick Setup de origem.
1. Abra o console do CloudFormation em [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
1. Escolha a pilha criada pelo sua configuração do Quick Setup. O nome da pilha contém o seguinte: **AWS-QuickSetup-SSMOpsCenter**.
**nota**
Às vezes, o CloudFormation exclui implantações de pilha com falha. Se a pilha não estiver disponível na tabela **Stacks** (Pilhas), escolha **Deleted** (Excluído) na lista de filtros.
1. Visualize o **Status** e **Status reason** (Motivo do status). Para obter mais informações sobre status de pilhas, consulte [Códigos de status da pilha](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-view-stack-data-resources.html#cfn-console-view-stack-data-resources-status-codes) no *Guia do usuário do AWS CloudFormation*.
1. Para entender a etapa exata que falhou, veja a guia **Events** (Eventos) e revise cada **Status** de evento. Para obter mais informações, consulte [Troubleshooting](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html) no *Guia do usuário do AWS CloudFormation*.
**nota**
Se você não conseguir resolver a falha de implantação usando as etapas de solução de problemas do CloudFormation, exclua a configuração e tente novamente.
### O status da configuração da Quick Setup é Failed
Se a tabela **Detalhes da configuração** na página **Detalhes da configuração** mostrar o status de configuração `Failed`, entre na Conta da AWS e na região em que houve falha.
**Para solucionar uma falha da Quick Setup ao criar uma configuração do OpsCenter**
1. Faça login na Conta da AWS e na Região da AWS onde a falha ocorreu.
1. Abra o console do CloudFormation em [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
1. Escolha a pilha criada pelo sua configuração do Quick Setup. O nome da pilha contém o seguinte: **AWS-QuickSetup-SSMOpsCenter**.
**nota**
Às vezes, o CloudFormation exclui implantações de pilha com falha. Se a pilha não estiver disponível na tabela **Stacks** (Pilhas), escolha **Deleted** (Excluído) na lista de filtros.
1. Visualize o **Status** e **Status reason** (Motivo do status). Para obter mais informações sobre status de pilhas, consulte [Códigos de status da pilha](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-view-stack-data-resources.html#cfn-console-view-stack-data-resources-status-codes) no *Guia do usuário do AWS CloudFormation*.
1. Para entender a etapa exata que falhou, veja a guia **Events** (Eventos) e revise cada **Status** de evento. Para obter mais informações, consulte [Troubleshooting](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html) no *Guia do usuário do AWS CloudFormation*.
#### A configuração da conta de membro mostra ResourcePolicyLimitExceededException
Se o status da pilha for `ResourcePolicyLimitExceededException`, a conta já foi integrada ao gerenciamento do OpsCenter entre contas usando o [método manual](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-getting-started-multiple-accounts.html). Para resolver esse problema, é necessário excluir as pilhas ou conjuntos de pilhas do AWS CloudFormation criados durante as etapas 4 e 5 do processo de integração manual. Para obter mais informações, consulte [Delete a stack set](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-delete.html) e [Deleting a stack on the CloudFormation console](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html) no *Guia do usuário do AWS CloudFormation*.
# (Opcional) Configuração do OpsCenter para gerenciar OpsItems de forma centralizada entre contas
Esta seção descreve como configurar manualmente o OpsCenter para gerenciamento de OpsItem entre contas. Embora ainda haja suporte para esse processo, ele foi substituído por um processo mais novo que usa a Quick Setup do Systems Manager. Para obter mais informações, consulte [(Opcional) Configurar o OpsCenter para gerenciar OpsItems entre contas usando a Quick Setup](OpsCenter-quick-setup-cross-account.md).
É possível configurar uma conta central para criar OpsItems de forma manual para contas de membros, e gerenciar e corrigir esses OpsItems. A conta central pode ser a conta de gerenciamento do AWS Organizations ou a conta de gerenciamento do AWS Organizations e a conta de administrador delegado do Systems Manager. É recomendável usar a conta de administrador delegado do Systems Manager como conta central. É possível usar esse recurso somente depois que você configura o AWS Organizations.
Com o AWS Organizations, é possível consolidar diversas Contas da AWS em uma organização que você cria e gerencia de forma centralizada. O usuário da conta central pode criar OpsItems para todas as contas de membro selecionadas simultaneamente e gerenciar os OpsItems.
Use o processo nesta seção para habilitar a entidade principal de serviço do Systems Manager no Organizations e configurar as permissões do AWS Identity and Access Management (IAM) para trabalhar com OpsItems entre contas.
**Topics**
+ [Antes de começar](#OpsCenter-before-you-begin)
+ [Etapa 1: criar uma sincronização de dados de recursos](#OpsCenter-getting-started-multiple-accounts-onboarding-rds)
+ [Etapa 2: habilitar a entidade principal de serviço do Systems Manager no AWS Organizations](#OpsCenter-getting-started-multiple-accounts-onboarding-service-principal)
+ [Etapa 3: criar o perfil vinculado ao serviço `AWSServiceRoleForAmazonSSM_AccountDiscovery`](#OpsCenter-getting-started-multiple-accounts-onboarding-SLR)
+ [Etapa 4: configurar permissões para trabalhar com OpsItems entre contas](#OpsCenter-getting-started-multiple-accounts-onboarding-resource-policy)
+ [Etapa 5: configurar permissões para trabalhar com recursos relacionados entre contas](#OpsCenter-getting-started-multiple-accounts-onboarding-related-resources-permissions)
**nota**
Há suporte somente para OpsItems do tipo `/aws/issue` para operação com o OpsCenter entre contas.
## Antes de começar
Antes de configurar o OpsCenter para trabalhar com OpsItems entre contas, certifique-se de ter configurado o seguinte:
+ Uma conta de administrador delegado do Systems Manager. Para obter mais informações, consulte [Configuração de um administrador delegado para Explorer](Explorer-setup-delegated-administrator.md).
+ Uma organização definida e configurada no Organizations. Para obter mais informações, consulte [Criando e gerenciando uma organização](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html) no * Guia do UsuárioAWS Organizations*.
+ Você configurou o Systems Manager Automation para executar runbooks de automação entre Regiões da AWS e contas da AWS. Para obter mais informações, consulte [Executar automações em várias regiões e contas da Regiões da AWS](running-automations-multiple-accounts-regions.md).
## Etapa 1: criar uma sincronização de dados de recursos
Depois de instalar e configurar o AWS Organizations, será possível agregar OpsItems ao OpsCenter para uma organização inteira criando uma sincronização de dados de recursos. Para obter mais informações, consulte [Criar uma sincronização de dados de recursos](Explorer-resource-data-sync-configuring-multi.md). Ao criar a sincronização, na seção **Adicionar contas**, escolha a opção **Incluir todas as contas da minha configuração do AWS Organizations**.
## Etapa 2: habilitar a entidade principal de serviço do Systems Manager no AWS Organizations
Para permitir que um usuário trabalhe com OpsItems entre contas, a entidade principal de serviço do Systems Manager deve estar habilitada no AWS Organizations. Se você configurou anteriormente o Systems Manager para cenários de várias contas usando outras ferramentas, talvez a entidade principal de serviço do Systems Manager já esteja configurada no Organizations. Execute os comandos a seguir a partir da AWS Command Line Interface (AWS CLI) para verificar. Se você *não* configurou o Systems Manager para outros cenários de diversas contas, vá para o próximo procedimento, *Para habilitar a entidade principal de serviço do Systems Manager no AWS Organizations*.
**Para verificar se a entidade principal de serviço do Systems Manager está habilitada no AWS Organizations**
1. [Faça download](https://aws.amazon.com/cli/) da versão mais recente da AWS CLI para sua máquina local.
1. Abra a AWS CLI e execute o seguinte comando para especificar suas credenciais e uma Região da AWS.
```
aws configure
```
O sistema solicita que você especifique o seguinte. No exemplo a seguir, substitua cada *espaço reservado para entrada do usuário* por suas próprias informações.
```
AWS Access Key ID [None]: key_name
AWS Secret Access Key [None]: key_name
Default region name [None]: region
Default output format [None]: ENTER
```
1. Execute o comando a seguir para verificar se a entidade principal de serviço do Systems Manager está ativada para o AWS Organizations.
```
aws organizations list-aws-service-access-for-organization
```
O comando retorna informações semelhantes às mostradas no exemplo a seguir.
```
{
"EnabledServicePrincipals": [
{
"ServicePrincipal": "member.org.stacksets.cloudformation.amazonaws.com",
"DateEnabled": "2020-12-11T16:32:27.732000-08:00"
},
{
"ServicePrincipal": "opsdatasync.ssm.amazonaws.com",
"DateEnabled": "2022-01-19T12:30:48.352000-08:00"
},
{
"ServicePrincipal": "ssm.amazonaws.com",
"DateEnabled": "2020-12-11T16:32:26.599000-08:00"
}
]
}
```
**Para habilitar a entidade principal de serviço do Systems Manager no AWS Organizations**
Se você não configurou previamente a entidade principal de serviço do Systems Manager para o Organizations, use o procedimento a seguir para fazer isso. Para obter mais informações sobre este comando, consulte [enable-aws-service-access](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/enable-aws-service-access.html) na *Referência de comandos da AWS CLI*.
1. Instale e configure a AWS Command Line Interface (AWS CLI), caso ainda não o tenha feito. Para obter informações, consulte [Instalar a CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) e [Configurar a CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html).
1. [Faça download](https://aws.amazon.com/cli/) da versão mais recente da AWS CLI para sua máquina local.
1. Abra a AWS CLI e execute o seguinte comando para especificar suas credenciais e uma Região da AWS.
```
aws configure
```
O sistema solicita que você especifique o seguinte. No exemplo a seguir, substitua cada *espaço reservado para entrada do usuário* por suas próprias informações.
```
AWS Access Key ID [None]: key_name
AWS Secret Access Key [None]: key_name
Default region name [None]: region
Default output format [None]: ENTER
```
1. Execute o comando a seguir para habilitar a entidade principal de serviço do Management Manager para o AWS Organizations.
```
aws organizations enable-aws-service-access --service-principal "ssm.amazonaws.com"
```
## Etapa 3: criar o perfil vinculado ao serviço `AWSServiceRoleForAmazonSSM_AccountDiscovery`
Uma função vinculada ao serviço como a função `AWSServiceRoleForAmazonSSM_AccountDiscovery` é um tipo exclusivo de perfil do IAM vinculado diretamente a um AWS service (Serviço da AWS), como o Systems Manager. As funções vinculadas a serviços são predefinidas pelo serviço e incluem todas as permissões que o serviço requer para chamar outros Serviços da AWS em seu nome. Para obter mais informações sobre a função vinculada ao serviço do `AWSServiceRoleForAmazonSSM_AccountDiscovery`, consulte [Permissões de função vinculada ao serviço para detecção de conta do Systems Manager](using-service-linked-roles-service-action-2.md#service-linked-role-permissions-service-action-2).
Use o procedimento a seguir para criar a função vinculada ao serviço `AWSServiceRoleForAmazonSSM_AccountDiscovery` usando a AWS CLI. Para obter mais informações sobre o comando usado neste procedimento, consulte [create-service-linked-role](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-service-linked-role.html) na *Referência de comandos da AWS CLI*.
**Para criar a função vinculada ao serviço `AWSServiceRoleForAmazonSSM_AccountDiscovery`**
1. Faça login na conta de gerenciamento do AWS Organizations.
1. Enquanto estiver conectado à conta de gerenciamento do Organizations, execute o comando a seguir.
```
aws iam create-service-linked-role \
--aws-service-name accountdiscovery.ssm.amazonaws.com \
--description "Systems Manager account discovery for AWS Organizations service-linked role"
```
## Etapa 4: configurar permissões para trabalhar com OpsItems entre contas
Use stacksets do AWS CloudFormation para criar uma política de recursos de `OpsItemGroup` e um perfil de execução do IAM que forneça aos usuários permissão para trabalhar com OpsItems entre contas. Para começar, baixe e descompacte o arquivo [https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountMembers.zip](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountMembers.zip). Este arquivo contém o arquivo de modelo do `OpsCenterCrossAccountMembers.yaml` CloudFormation. Quando você cria um conjunto de pilhas usando esse modelo, o CloudFormation cria automaticamente a política de recursos `OpsItemCrossAccountResourcePolicy` e a função de execução `OpsItemCrossAccountExecutionRole` na conta. Para obter mais informações sobre a criação de conjuntos de pilhas, consulte [Criação de um conjunto de pilhas](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html) no *Guia do usuário do AWS CloudFormation*.
**Importante**
Observe as seguintes informações importantes sobre esta tarefa:
O stackset deve ser implantado enquanto você está conectado com a conta de gerenciamento do AWS Organizations.
Você deve repetir esse procedimento enquanto estiver em conexão com *todas* as contas de *destino* com as quais deseja trabalhar com OpsItems entre contas, incluindo a conta de administrador delegado.
Se você quiser habilitar a administração de OpsItems entre contas em diferentes Regiões da AWS, escolha **Add all regions** (Adicionar todas as regiões) na seção **Specify regions** (Especificar regiões) do modelo. Não há suporte para a administração de OpsItem entre contas com regiões opcionais.
## Etapa 5: configurar permissões para trabalhar com recursos relacionados entre contas
Um OpsItem pode incluir informações detalhadas sobre os recursos afetados, como as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) ou os buckets do Amazon Simple Storage Service (Amazon S3). O perfil de execução `OpsItemCrossAccountExecutionRole`, criado na Etapa 4, fornece ao OpsCenter permissões somente de leitura para que as contas de membros visualizem os recursos relacionados. Você também deve criar um perfil do IAM para fornecer às contas de gerenciamento permissão para visualizar e interagir com os recursos relacionados, o que você concluirá nesta tarefa.
Para começar, baixe e descompacte o arquivo [https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountManagementRole.zip](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountManagementRole.zip). Este arquivo contém o arquivo de modelo do `OpsCenterCrossAccountManagementRole.yaml` CloudFormation. Quando você cria uma pilha usando esse modelo, o CloudFormation cria automaticamente o perfil do IAM `OpsCenterCrossAccountManagementRole` na conta. Para obter mais informações sobre a criação de uma pilha, consulte [Criação de uma pilha no console do AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) no *Guia do usuário do AWS CloudFormation*.
**Importante**
Observe as seguintes informações importantes sobre esta tarefa:
Se você planeja especificar uma conta como um administrador delegado para o OpsCenter, certifique-se de especificar essa Conta da AWS ao criar a pilha.
Você deve executar esse procedimento enquanto estiver em conexão com a conta de gerenciamento do AWS Organizations e, novamente, enquanto estiver em conexão com a conta de administrador delegado.
# (Opcional) Configurar o Amazon SNS para receber notificações sobre OpsItems
É possível configurar o OpsCenter para enviar notificações a um tópico do Amazon Simple Notification Service (Amazon SNS) quando o sistema criar um OpsItem ou atualizar um OpsItem existente.
Conclua as etapas a seguir para receber notificações de OpsItems.
+ [Etapa 1: criar e assinar um tópico do Amazon SNS](#OpsCenter-getting-started-sns-create-topic)
+ [Etapa 2: atualizar a política de acesso do Amazon SNS](#OpsCenter-getting-started-sns-encryption-policy)
+ [Etapa 3: atualizar a política de acesso do AWS KMS](#OpsCenter-getting-started-sns-KMS-policy)
**nota**
Caso ative a criptografia no lado do servidor do AWS Key Management Service (AWS KMS) na Etapa 2, você deverá concluir a Etapa 3. Caso contrário, você pode ignorar a Etapa 3.
+ [Etapa 4: ativar as regras padrão do OpsItems para envio de notificações para novos OpsItems](#OpsCenter-getting-started-sns-default-rules)
## Etapa 1: criar e assinar um tópico do Amazon SNS
Para receber notificações, crie e assine um tópico do Amazon SNS. Para obter informações, consulte [Criar um tópico do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/CreateTopic.html) e [Assinar tópico do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-create-subscribe-endpoint-to-topic.html) no *Guia do desenvolvedor do Amazon Simple Notification Service*.
**nota**
Caso esteja usando o OpsCenter em diversas contas ou Regiões da AWS, você deverá criar e assinar um tópico do Amazon SNS em *cada* região ou conta em que deseja receber notificações do OpsItem.
## Etapa 2: atualizar a política de acesso do Amazon SNS
É necessário associar um tópico do Amazon SNS a OpsItems. Use o procedimento a seguir para configura uma política de acesso do Amazon SNS para que o Systems Manager possa publicar notificações do OpsItems no tópico do Amazon SNS que você criou na Etapa 1.
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon SNS em [https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home).
1. No painel de navegação, escolha **Tópicos**.
1. Escolha o tópico criado na Etapa 1 e, em seguida, selecione **Editar**.
1. Expanda **Access policy (Política de acesso)**.
1. Adicione o seguinte bloco `Sid` à política existente. Substitua cada *espaço reservado para recurso de exemplo* por suas próprias informações.
```
{
"Sid": "Allow OpsCenter to publish to this topic",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:region:account ID:topic name", // Account ID of the SNS topic owner
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "account ID" // Account ID of the OpsItem owner
}
}
}
```
**nota**
A chave de condição global `aws:SourceAccount` protege contra o cenário confused deputy. Para usar essa chave de condição, defina o valor como o ID da conta do proprietário do OpsItem. Para obter mais informações, consulte [O problema de “confused deputy”](https://docs.aws.amazon.com//IAM/latest/UserGuide/confused-deputy.html) no *Guia do usuário do IAM*.
1. Escolha **Salvar alterações**.
O sistema agora envia notificações ao tópico do Amazon SNS quando OpsItems são criados ou atualizados.
**Importante**
Caso configure o tópico do Amazon SNS com uma chave de criptografia no lado do servidor do AWS Key Management Service (AWS KMS) na Etapa 2, você deverá concluir a Etapa 3. Caso contrário, você pode ignorar a Etapa 3.
## Etapa 3: atualizar a política de acesso do AWS KMS
Caso tenha ativado a criptografia no lado do servidor do AWS KMS para seu tópico do Amazon SNS, você também deverá atualizar a política de acesso da AWS KMS key escolhida ao configurar o tópico. Use o procedimento a seguir para atualizar a política de acesso para que o Systems Manager possa publicar notificações do OpsItem no tópico do Amazon SNS criado na Etapa 1.
**nota**
O OpsCenter não oferece suporte à publicação de OpsItems em um tópico do Amazon SNS configurado com uma Chave gerenciada pela AWS.
1. Abra o console do AWS KMS em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Para alterar a Região da AWS, use o Region selector (Seletor de regiões) no canto superior direito da página.
1. No painel de navegação, escolha **Chaves gerenciadas pelo cliente**.
1. Escolha o ID da chave do KMS escolhida ao criar o tópico.
1. Na seção **Key Policy (Política de chaves)**, selecione **Switch to policy view (Alternar para a visualização da política)**.
1. Escolha **Editar**.
1. Adicione o seguinte bloco `Sid` à política existente. Substitua cada *espaço reservado para recurso de exemplo* por suas próprias informações.
```
{
"Sid": "Allow OpsItems to decrypt the key",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": ["kms:Decrypt", "kms:GenerateDataKey*"],
"Resource": "arn:aws:kms:region:account ID:key/key ID"
}
```
No exemplo a seguir, o novo bloco é inserido na linha 14.
![\[Edição da política de acesso do AWS KMS de um tópico do Amazon SNS.\]](http://docs.aws.amazon.com/pt_br/systems-manager/latest/userguide/images/OpsItems_SNS_KMS_access_policy.png)
1. Escolha **Salvar alterações**.
## Etapa 4: ativar as regras padrão do OpsItems para envio de notificações para novos OpsItems
As regras padrão de OpsItems no Amazon EventBridge não são configuradas com um nome do recurso da Amazon (ARN) para notificações do Amazon SNS. Use o procedimento a seguir para editar uma regra no EventBridge e inserir um bloco de `notifications`.
**Para adicionar um bloco de notificações a uma regra de OpsItem padrão**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **OpsCenter**.
1. Escolha a guia **OpsItems** e escolha **Configure sources (Configurar origens)**.
1. Escolha o nome da regra de origem que você deseja configurar com um bloco `notifications`, conforme mostrado no exemplo a seguir.
![\[Escolha de uma regra do Amazon EventBridge para adição em um bloco de notificações do Amazon SNS.\]](http://docs.aws.amazon.com/pt_br/systems-manager/latest/userguide/images/OpsItems_SNS_Setup_2.png)
A regra é aberta no Amazon EventBridge.
1. Na página de detalhes, na guia **Targets** (Destinos), selecione **Edit** (Editar).
1. Na seção **Additional settings** (Configurações adicionais), escolha **Configure input transformer** (Configurar transformador de entrada).
1. Na caixa **Modelo**, adicione um bloco `notifications` no formato a seguir.
```
"notifications":[{"arn":"arn:aws:sns:region:account ID:topic name"}],
```
Aqui está um exemplo.
```
"notifications":[{"arn":"arn:aws:sns:us-west-2:1234567890:MySNSTopic"}],
```
Insira o bloco de notificações antes do bloco `resources`, conforme mostrado no exemplo a seguir para a região Oeste dos EUA (Oregon) (us-west-2).
```
{
"title": "EBS snapshot copy failed",
"description": "CloudWatch Event Rule SSMOpsItems-EBS-snapshot-copy-failed was triggered. Your EBS snapshot copy has failed. See below for more details.",
"category": "Availability",
"severity": "2",
"source": "EC2",
"notifications": [{
"arn": "arn:aws:sns:us-west-2:1234567890:MySNSTopic"
}],
"resources": ,
"operationalData": {
"/aws/dedup": {
"type": "SearchableString",
"value": "{\"dedupString\":\"SSMOpsItems-EBS-snapshot-copy-failed\"}"
},
"/aws/automations": {
"value": "[ { \"automationType\": \"AWS:SSM:Automation\", \"automationId\": \"AWS-CopySnapshot\" } ]"
},
"failure-cause": {
"value":
},
"source": {
"value":
},
"start-time": {
"value":
},
"end-time": {
"value":
}
}
}
```
1. Escolha **Confirmar**.
1. Escolha **Próximo**.
1. Escolha **Próximo**.
1. Escolha **Upgrade rule (Atualizar regra)**.
Na próxima vez que o sistema criar um OpsItem para a regra padrão, ele publicará uma notificação no tópico do Amazon SNS.