Usar perfis para coletar inventário e visualizar OpsData - AWS Systems Manager
Permissões do perfil vinculado ao serviço para inventário, OpsData e OpsItemsCriar uma função vinculada ao serviço AWSServiceRoleForAmazonSSM para o Systems ManagerEditar uma função vinculada ao serviço AWSServiceRoleForAmazonSSM para o Systems ManagerExcluir uma função vinculada ao serviço AWSServiceRoleForAmazonSSM para o Systems ManagerRegiões compatíveis com o perfil vinculado ao serviço AWSServiceRoleForAmazonSSM do Systems Manager

Usar perfis para coletar inventário e visualizar OpsData

O Systems Manager usa o perfil vinculado ao serviço chamado AWSServiceRoleForAmazonSSM. O AWS Systems Manager usa esse perfil de serviço do IAM para gerenciar os recursos AWS em seu nome.

Permissões do perfil vinculado ao serviço para inventário, OpsData e OpsItems

A função vinculada a serviço AWSServiceRoleForAmazonSSM confia somente em ssm.amazonaws.com para assumir essa função.

O perfil vinculado ao serviço AWSServiceRoleForAmazonSSM do Systems Manager pode ser usado para o seguinte:

  • O recurso de inventário do Systems Manager usa o perfil vinculado ao serviço AWSServiceRoleForAmazonSSM para coletar metadados de inventário das etiquetas e dos grupos de recursos.

  • O recurso Explorer usa o perfil vinculado ao serviço AWSServiceRoleForAmazonSSM para habilitar a visualização de OpsData e OpsItems de várias contas. Essa função vinculada ao serviço do também permite que oExplorerpara criar uma regra gerenciada quando você habilita o Security Hub como uma fonte de dados doExplorerouOpsCenter.

Importante

Anteriormente, o console do Systems Manager permitia a você escolher o perfil AWSServiceRoleForAmazonSSM vinculado ao serviço do IAM gerenciado pela AWS para usar como perfil de manutenção para suas tarefas. O uso desse perfil e sua política associada, AmazonSSMServiceRolePolicy, para tarefas de janela de manutenção não é mais recomendado. Se estiver usando esse perfil para tarefas de janela de manutenção agora, recomendamos parar de usá-lo. Em vez disso, crie seu próprio perfil do IAM para permitir a comunicação entre o Systems Manager e outros Serviços da AWS quando as tarefas da janela de manutenção são executadas.

Para ter mais informações, consulte Configurar o Maintenance Windows.

A política gerida que é utilizada para fornecer permissões para oAWSServiceRoleForAmazonSSMfunção éAmazonSSMServiceRolePolicy. Para obter detalhes sobre as permissões necessárias, consulte Política gerenciada da AWS: AmazonSSMServiceRolePolicy.

Criar uma função vinculada ao serviço AWSServiceRoleForAmazonSSM para o Systems Manager

Você pode usar o console do IAM para criar uma função vinculada ao serviço com o caso de uso do EC2. Usando comandos para o IAM noAWS Command Line Interface(AWS CLI) ou usando a API do IAM, crie uma função vinculada ao serviço com ossm.amazonaws.com.rproxy.goskope.comO nome do serviço. Para obter mais informações, consulte Criar uma função vinculada ao serviço no Manual do usuário do IAM.

Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você poderá usar esse mesmo processo para recriar a função em sua conta.

Editar uma função vinculada ao serviço AWSServiceRoleForAmazonSSM para o Systems Manager

O Systems Manager não permite que você edite a função vinculada a serviço AWSServiceRoleForAmazonSSM. Depois de criar uma função vinculada a serviço, você não poderá alterar o nome da função, já que várias entidades poderão fazer referência à função. No entanto, você poderá editar a descrição do perfil usando o IAM. Para ter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.

Excluir uma função vinculada ao serviço AWSServiceRoleForAmazonSSM para o Systems Manager

Se você não precisar mais usar um recurso ou serviço que exija uma função vinculada ao serviço, é recomendável exclui-la. Dessa forma, você não terá uma entidade não utilizada que não seja monitorada ativamente ou mantida. Também é possível usar o console do IAM, a AWS CLI ou a API do IAM para excluir manualmente a função vinculada ao serviço. Para isso, primeiro você deve limpar manualmente os recursos de sua função vinculada ao serviço e, em seguida, excluí-la manualmente.

Como a função vinculada ao serviço do AWSServiceRoleForAmazonSSM pode ser usada por vários recursos, verifique se nenhum deles está usando a função antes de tentar excluí-la.

  • Inventário: se você excluir o perfil vinculado ao serviço usado pelo recurso Inventário, os dados do Inventário referentes a etiquetas e grupos de recursos não serão mais sincronizados. Você deve limpar os recursos de sua função vinculada ao serviço antes de exclui-la manualmente.

  • Explorer: se você excluir a função vinculada ao serviço usada pelo Explorer, o OpsData entre contas e entre regiões e os OpsItems não serão mais visíveis.

nota

Se o serviço Systems Manager estiver usando o perfil quando você tentar excluir etiquetas ou grupos de recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Para excluir recursos do Systems Manager usados por AWSServiceRoleForAmazonSSM

  1. Para excluir etiquetas, consulte Adicionar e excluir etiquetas em um recurso individual.

  2. Para excluir grupos de recursos, consulte Excluir grupos do AWS Resource Groups.

Para excluir manualmente a função vinculada ao serviço AWSServiceRoleForAmazonSSM usando o IAM

Use o console do IAM, a AWS CLI ou a API do IAM para excluir a função vinculada ao serviço AWSServiceRoleForAmazonSSM. Para obter mais informações, consulte Excluir uma função vinculada ao serviço no Guia do usuário do IAM.

Regiões compatíveis com o perfil vinculado ao serviço AWSServiceRoleForAmazonSSM do Systems Manager

O Systems Manager é compatível com a função vinculadas ao serviço AWSServiceRoleForAmazonSSM em todas as Regiões da AWS em que o serviço está disponível. Para obter mais informações, consulte Endpoints e cotas do AWS Systems Manager.