• El panel de AWS Systems Manager CloudWatch dejará de estar disponible después del 30 de abril de 2026. Los clientes pueden seguir utilizando la consola de Amazon CloudWatch para ver, crear y administrar sus paneles de Amazon CloudWatch, tal y como lo hacen actualmente. Para obtener más información, consulte la [documentación del panel de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
# Configuración de OpsCenter
AWS Systems Manager utiliza una experiencia de instalación integrada para ayudarlo a comenzar a utilizar OpsCenter y Explorer, herramientas de Systems Manager. Explorer es un panel de operaciones personalizable que ofrece información acerca de sus recursos de AWS. En esta documentación, la instalación de Explorer y OpsCenter se denomina *Instalación integrada*.
Debe utilizar Instalación integrada para instalar OpsCenter con Explorer. La configuración integrada solo está disponible en la consola de AWS Systems Manager. No se puede configurar Explorer ni OpsCenter mediante programación. Para obtener más información, consulte [Introducción a Systems Manager Explorer y OpsCenter](Explorer-setup.md).
**Antes de empezar**
Al configurar OpsCenter, se habilitan reglas predeterminadas en Amazon EventBridge que crean OpsItems automáticamente. En la siguiente tabla se describen las reglas predeterminadas de EventBridge que crea OpsItems automáticamente. Puede deshabilitar las reglas de EventBridge en la página **Configuración** de OpsCenter, bajo **Reglas de OpsItem**.
**importante**
Los OpsItems creados por las reglas predeterminadas se cargan a su cuenta. Para más información, consulte [Precios de AWS Systems Manager](https://aws.amazon.com/systems-manager/pricing/).
****
| Nombre de la regla | Descripción |
| --- | --- |
| SSMOpsItems-Autoscaling-instance-launch-failure | Esta regla crea OpsItems cuando se produce un error al lanzar una instancia de escalado automático de EC2. |
| SSMOpsItems-Autoscaling-instance-termination-failure | Esta regla crea OpsItems cuando se produce un error al finalizar una instancia de escalado automático de EC2. |
| SSMOpsItems-EBS-snapshot-copy-failed | Esta regla crea OpsItems cuando el sistema no ha podido copiar una instantánea de Amazon Elastic Block Store (Amazon EBS). |
| SSMOpsItems-EBS-snapshot-creation-failed | Esta regla crea OpsItems cuando el sistema no ha podido crear una instantánea de Amazon EBS. |
| SSMOpsItems-EBS-volume-performance-issue | Esta regla corresponde a una regla de seguimiento de AWS Health. Esta regla crea OpsItems cada vez que hay un problema de rendimiento con un volumen de Amazon EBS (evento de estado = `AWS_EBS_DEGRADED_EBS_VOLUME_PERFORMANCE`). |
| SSMOpsItems-EC2-issue | Esta regla corresponde a una regla de seguimiento de AWS Health de eventos inesperados que afectan a servicios o recursos de AWS. La regla crea OpsItems cuando, por ejemplo, un servicio envía comunicaciones sobre problemas operativos que están provocando una degradación del servicio o para poner de manifiesto problemas localizados en el nivel de los recursos. Por ejemplo, esta regla crea un OpsItem para el siguiente evento: `AWS_EC2_OPERATIONAL_ISSUE`. |
| SSMOpsItems-EC2-scheduled-change | Esta regla corresponde a una regla de seguimiento de AWS Health. AWS puede programar eventos para las instancias, tales como reinicios, detenciones o inicios de instancias. La regla crea OpsItems para eventos programados de EC2. Para obtener más información sobre los eventos programados, consulte [Eventos programados para las instancias](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitoring-instances-status-check_sched.html) en la *Guía del usuario de Amazon EC2*. |
| SSMOpsItems-RDS-issue | Esta regla corresponde a una regla de seguimiento de AWS Health de eventos inesperados que afectan a servicios o recursos de AWS. La regla crea OpsItems cuando, por ejemplo, un servicio envía comunicaciones sobre problemas operativos que están provocando una degradación del servicio o para poner de manifiesto problemas localizados en el nivel de los recursos. Por ejemplo, esta regla crea un OpsItem para los siguientes eventos: `AWS_RDS_MYSQL_DATABASE_CRASHING_REPEATEDLY`, `AWS_RDS_EXPORT_TASK_FAILED` y `AWS_RDS_CONNECTIVITY_ISSUE`. |
| SSMOpsItems-RDS-scheduled-change | Esta regla corresponde a una regla de seguimiento de AWS Health. La regla crea OpsItems para eventos programados de Amazon RDS. Los eventos programados proporcionan información sobre los próximos cambios en recursos de Amazon RDS. Es posible que algunos eventos recomienden tomar medidas para evitar interrupciones en el servicio. Otros eventos se producen automáticamente sin ninguna acción por su parte. Es posible que un recurso no esté disponible temporalmente durante la actividad de cambio programada. Por ejemplo, esta regla crea un OpsItem para los siguientes eventos: `AWS_RDS_SYSTEM_UPGRADE_SCHEDULED` y `AWS_RDS_MAINTENANCE_SCHEDULED`. Para obtener más información sobre los eventos programados, consulte [Categorías de tipos de eventos](https://docs.aws.amazon.com/health/latest/ug/aws-health-concepts-and-terms.html#event-type-categories) en la *Guía del usuario de AWS Health*. |
| SSMOpsItems-SSM-maintenance-window-execution-failed | Esta regla crea OpsItems cuando se produce un error en el procesamiento del período de mantenimiento de Systems Manager. |
| SSMOpsItems-SSM-maintenance-window-execution-timedout | Esta regla crea OpsItems cuando se agota el tiempo de espera para iniciar la ventana de mantenimiento de Systems Manager. |
Utilice el siguiente procedimiento para configurar OpsCenter.
**Configuración de OpsCenter**
1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. En el panel de navegación, elija **OpsCenter**.
1. En la página OpsCenter, elija **Comenzar**.
1. En la página de configuración de OpsCenter , seleccione **Habilitar esta opción para que Explorer configure AWS Config y los eventos de Amazon CloudWatch se creen automáticamente en OpsItems en función de las reglas y eventos de uso común**. Si no elige esta opción, OpsCenter permanece deshabilitado.
**nota**
Amazon EventBridge (anteriormente Eventos de Amazon CloudWatch) ofrece todas las funcionalidades de Eventos de CloudWatch y algunas características nuevas, como buses de eventos personalizados, orígenes de eventos de terceros y registro de esquemas.
1. Seleccione **HabilitarOpsCenter**.
Una vez habilitado OpsCenter, puede hacer lo siguiente desde **Configuración**:
+ Cree alarmas de CloudWatch con el botón **Abrir consola de CloudWatch**. Para obtener más información, consulte [Configuración de alarmas de CloudWatch para crear OpsItems](OpsCenter-create-OpsItems-from-CloudWatch-Alarms.md).
+ Habilite la información operativa. Para obtener más información, consulte [Análisis de la información operativa para reducir OpsItems](OpsCenter-working-operational-insights.md).
+ Habilite las alarmas de resultados de AWS Security Hub CSPM. Para obtener más información, consulte [Comprensión de la integración de OpsCenter con AWS Security Hub CSPM](OpsCenter-applications-that-integrate.md#OpsCenter-integrate-with-security-hub).
**Topics**
+ [(Opcional) Configuración de OpsCenter para administrar OpsItems de forma centralizada entre cuentas](OpsCenter-setting-up-cross-account.md)
+ [(Opcional) Configuración de Amazon SNS para recibir notificaciones sobre OpsItems](OpsCenter-getting-started-sns.md)
# (Opcional) Configuración de OpsCenter para administrar OpsItems de forma centralizada entre cuentas
Puede utilizar Systems Manager OpsCenter para administrar los OpsItems de forma centralizada, en varias Cuentas de AWS, en una Región de AWS seleccionada. Esta característica está disponible después de que configura su organización en AWS Organizations. AWS Organizations un servicio de administración de cuentas que permite consolidar varias cuentas de AWS en una organización que cree y administre de forma centralizada. AWS Organizations incluye todas las prestaciones de facturación unificada y posibilidades de administración de cuentas para que pueda satisfacer mejor las necesidades presupuestarias, de seguridad y de conformidad de su negocio. Para obtener más información, consulte [¿Qué es AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) en la *Guía del usuario de AWS Organizations*.
Los usuarios que pertenecen a la cuenta de administración de AWS Organizations pueden configurar una cuenta de administrador delegado para Systems Manager. En el contexto de OpsCenter, los administradores delegados pueden crear, editar y ver los OpsItems en las cuentas de miembros. El administrador delegado también puede usar los manuales de automatización de Systems Manager para resolver los OpsItems o corregir de forma masiva los problemas con los recursos de AWS que están generando los OpsItems.
**nota**
Solo puede asignar una cuenta como administrador delegado para Systems Manager. Para obtener más información, consulte [Creación de un administrador delegado de AWS Organizations para Systems Manager](setting_up_delegated_admin.md).
Systems Manager ofrece los siguientes métodos de configuración de OpsCenter para administrar los OpsItems de forma centralizada en varias Cuentas de AWS.
+ **Configuración rápida**: una herramienta de Systems Manager, simplifica las tareas de instalación y configuración de las herramientas de Systems Manager. Para obtener más información, consulte [AWS Systems Manager Quick Setup](systems-manager-quick-setup.md).
La Configuración Rápida para OpsCenter ayuda a completar las siguientes tareas de administración de los OpsItems entre cuentas:
+ Registrar una cuenta como administrador delegado (si aún no se designó el administrador delegado)
+ Creación de los roles y las políticas de AWS Identity and Access Management (IAM) requeridos
+ Especificar una organización o unidades organizativas (OU) de AWS Organizations en las que un administrador delegado pueda gestionar los OpsItems entre cuentas
Para obtener más información, consulte [(Opcional) Configuración de OpsCenter para administrar OpsItems en todas las cuentas mediante Quick Setup](OpsCenter-quick-setup-cross-account.md).
**nota**
La configuración rápida no está disponible en todas las Regiones de AWS donde Systems Manager está disponible actualmente. Si la configuración rápida no está disponible en una región en la que desee utilizarla para configurar OpsCenter y administrar los OpsItems de forma centralizada en varias cuentas, debe utilizar el método manual. Para ver una lista de las Regiones de AWS donde está disponible la configuración rápida, consulte [Disponibilidad de Quick Setup en Regiones de AWS](systems-manager-quick-setup.md#quick-setup-getting-started-regions).
+ **Configuración manual**: si la configuración rápida no está disponible en una región en la que desee utilizarla para configurar OpsCenter y administrar los OpsItems de forma centralizada en varias cuentas, debe utilizar el método manual. Para obtener más información, consulte [(Opcional) Configuración manual de OpsCenter para administrar OpsItems de forma centralizada entre cuentas](OpsCenter-getting-started-multiple-accounts.md).
# (Opcional) Configuración de OpsCenter para administrar OpsItems en todas las cuentas mediante Quick Setup
Quick Setup, una herramienta de AWS Systems Manager, simplifica las tareas de instalación y configuración de las herramientas de Systems Manager. Quick Setup para OpsCenter ayuda a completar las siguientes tareas de administración de los OpsItems entre cuentas:
+ Especificación de la cuenta de administrador delegado
+ Creación de los roles y las políticas de AWS Identity and Access Management (IAM) requeridos
+ Especificación de una organización de AWS Organizations, o un subconjunto de cuentas de miembro, donde un administrador delegado pueda administrar OpsItems en las cuentas
Cuando se configura OpsCenter para administrar OpsItems en todas las cuentas mediante la Configuración Rápida, Quick Setup crea los siguientes recursos en las cuentas especificadas. Estos recursos conceden a las cuentas especificadas permiso para trabajar con OpsItems y utilizar manuales de procedimientos de automatización para solucionar problemas con los recursos de AWS que generan OpsItems.
****
| Recursos | Cuentas |
| --- | --- |
| Rol vinculado al servicio de AWS Identity and Access Management (IAM) `AWSServiceRoleForAmazonSSM_AccountDiscovery` Para obtener más información acerca de este rol, consulte [Uso de roles para recopilar información de la Cuenta de AWS para OpsCenter y Explorer](using-service-linked-roles-service-action-2.md). | Cuenta de administración y cuenta de administrador delegado de AWS Organizations |
| Rol de IAM `OpsItem-CrossAccountManagementRole` Rol de IAM `AWS-SystemsManager-AutomationAdministrationRole` | Cuenta de administrador delegado |
| Rol de IAM `OpsItem-CrossAccountExecutionRole` Rol de IAM `AWS-SystemsManager-AutomationExecutionRole` Política de recursos de Systems Manager `AWS::SSM::ResourcePolicy` para el grupo de OpsItem (`OpsItemGroup`) predeterminado | Todas las cuentas de miembro de AWS Organizations |
**nota**
Si previamente configuró OpsCenter para administrar OpsItems en todas las cuentas mediante el [método manual](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-getting-started-multiple-accounts.html), debe eliminar las pilas de AWS CloudFormation o los conjuntos de pilas creados durante los pasos 4 y 5 de ese proceso. Si esos recursos existen en su cuenta cuando complete el siguiente procedimiento, Quick Setup no podrá configurar correctamente la administración de OpsItem entre cuentas.
**Para configurar OpsCenter para administrar OpsItems en todas las cuentas mediante la Configuración Rápida**
1. Inicie sesión en la Consola de administración de AWS mediante la cuenta de administración de AWS Organizations.
1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. En el panel de navegación, elija **Quick Setup**.
1. Elija la pestaña **Biblioteca**.
1. Desplácese hasta la parte inferior y localice el título de configuración de **OpsCenter**. Seleccione **Crear**.
1. En la página Quick Setup de OpsCenter, en la sección **Administrador delegado**, ingrese un ID de cuenta. Si no puede editar este campo, significa que ya se ha especificado una cuenta de administrador delegado para Systems Manager.
1. En la sección **Destinos**, elija una opción. Si elige **Personalizado**, seleccione las unidades organizativas (UO) en las que desea administrar OpsItems en todas las cuentas.
1. Seleccione **Crear**.
Quick Setup crea la configuración de OpsCenter e implementa los recursos de AWS necesarios en las UO designadas.
**nota**
Si no desea administrar OpsItems en todas las cuentas, puede eliminar la configuración desde Quick Setup. Cuando elimina la configuración, Quick Setup elimina los siguientes roles y políticas de IAM que se crearon cuando la configuración se implementó originalmente:
`OpsItem-CrossAccountManagementRole` de la cuenta de administrador delegado
`OpsItem-CrossAccountExecutionRole` y `SSM::ResourcePolicy` de todas las cuentas de miembro de Organizations
Quick Setup elimina la configuración de todas las unidades organizativas y las Regiones de AWS donde se implementó la configuración originalmente.
## Solución de problemas con una configuración de Quick Setup para OpsCenter
En esta sección se incluye información que lo ayudará a solucionar problemas cuando configure la administración de OpsItem entre cuentas mediante Quick Setup.
**Topics**
+ [Error en la implementación de estos StackSets: delegatedAdmin](#OpsCenter-quick-setup-cross-account-troubleshooting-stack-set-failed)
+ [El estado de configuración de Quick Setup muestra error](#OpsCenter-quick-setup-cross-account-troubleshooting-configuration-failed)
### Error en la implementación de estos StackSets: delegatedAdmin
Cuando crea una configuración de OpsCenter, Quick Setup implementa dos conjuntos de pilas de AWS CloudFormation en la cuenta de administración de Organizations. Los conjuntos de pilas utilizan el siguiente prefijo: `AWS-QuickSetup-SSMOpsCenter`. Si Quick Setup muestra el siguiente error: `Deployment to these StackSets failed: delegatedAdmin`, utilice el siguiente procedimiento para solucionar este problema.
**Solución de problemas del error de StackSets failed:delegatedAdmin**
1. Si recibió el error `Deployment to these StackSets failed: delegatedAdmin` en un cartel rojo en la consola de Quick Setup, inicie sesión en la cuenta de administrador delegado y en la Región de AWS designada como región de origen de Quick Setup.
1. Abra la consola de CloudFormation en [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
1. Elija la pila creada por su configuración de Quick Setup. El nombre de la pila incluye lo siguiente: **AWS-QuickSetup-SSMOpsCenter**.
**nota**
A veces, CloudFormation elimina implementaciones de pilas que presentan errores. Si la pila no está disponible en la tabla **Stacks** (Pilas), elija **Deleted** (Eliminadas) de la lista de filtros.
1. Consulte **Status** (Estado) y **Status reason** (Motivo del estado). Para obtener más información sobre los estados de la pila, consulte [Códigos de estado de pilas](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-view-stack-data-resources.html#cfn-console-view-stack-data-resources-status-codes) en la *Guía del usuario de AWS CloudFormation*.
1. Para entender el paso exacto que ha fallado, consulte la pestaña **Events** (Eventos) y revise el **Status** (Estado) de cada evento. Para obtener más información, consulte [Solución de problemas](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html) en la *Guía del usuario de AWS CloudFormation*.
**nota**
Si no puede resolver el error de implementación mediante los pasos de la solución de problemas de CloudFormation, elimine la configuración y vuelva a intentarlo.
### El estado de configuración de Quick Setup muestra error
Si la tabla **Detalles de configuración** de la página **Detalles de configuración** muestra un estado de configuración `Failed`, inicie sesión en la Cuenta de AWS y la región donde se produjo el error.
**Solución de un error de Quick Setup para crear una configuración de OpsCenter**
1. Inicie sesión en la Cuenta de AWS y la Región de AWS donde se produjo el error.
1. Abra la consola de CloudFormation en [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
1. Elija la pila creada por su configuración de Quick Setup. El nombre de la pila incluye lo siguiente: **AWS-QuickSetup-SSMOpsCenter**.
**nota**
A veces, CloudFormation elimina implementaciones de pilas que presentan errores. Si la pila no está disponible en la tabla **Stacks** (Pilas), elija **Deleted** (Eliminadas) de la lista de filtros.
1. Consulte **Status** (Estado) y **Status reason** (Motivo del estado). Para obtener más información sobre los estados de la pila, consulte [Códigos de estado de pilas](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-view-stack-data-resources.html#cfn-console-view-stack-data-resources-status-codes) en la *Guía del usuario de AWS CloudFormation*.
1. Para entender el paso exacto que ha fallado, consulte la pestaña **Events** (Eventos) y revise el **Status** (Estado) de cada evento. Para obtener más información, consulte [Solución de problemas](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html) en la *Guía del usuario de AWS CloudFormation*.
#### La configuración de la cuenta de miembro muestra ResourcePolicyLimitExceededException
Si el estado de una pila muestra `ResourcePolicyLimitExceededException`, significa que la cuenta ya se incorporó previamente a la administración entre cuentas de OpsCenter mediante el [método manual](https://docs.aws.amazon.com/systems-manager/latest/userguide/OpsCenter-getting-started-multiple-accounts.html). Para resolver este problema, debe eliminar las pilas o los conjuntos de pilas de AWS CloudFormation creados durante los pasos 4 y 5 del proceso de incorporación manual. Para obtener más información, consulte [Eliminación de un conjunto de pilas](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-delete.html) y [Eliminación de una pila en la consola de CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html) en la *Guía del usuario de AWS CloudFormation*.
# (Opcional) Configuración manual de OpsCenter para administrar OpsItems de forma centralizada entre cuentas
En esta sección se describe cómo configurar manualmente OpsCenter en la administración multicuenta de OpsItem. Si bien este proceso sigue siendo compatible, se ha sustituido por un proceso más reciente que utiliza Quick Setup de Systems Manager. Para obtener más información, consulte [(Opcional) Configuración de OpsCenter para administrar OpsItems en todas las cuentas mediante Quick Setup](OpsCenter-quick-setup-cross-account.md).
Puede configurar una cuenta central para crear OpsItems manuales para las cuentas de miembros y administrar y corregir esos OpsItems. La cuenta central puede ser la cuenta de administración de AWS Organizations o tanto la cuenta de administración de AWS Organizations como la cuenta de administrador de Systems Manager. Le recomendamos que utilice la cuenta de administrador delegado de Systems Manager como cuenta central. Solo puede utilizar esta función después de configurar AWS Organizations.
Con AWS Organizations, puede consolidar varias Cuentas de AWS en una organización que puede crear y administrar de forma centralizada. El usuario de la cuenta central puede crear OpsItems simultáneamente en todas las cuentas de los miembros seleccionados y administrar los OpsItems.
Utilice el proceso de esta sección para habilitar la entidad principal del servicio System Manager en Organizations y configure los permisos de AWS Identity and Access Management (IAM) para trabajar con OpsItems entre cuentas.
**Topics**
+ [Antes de empezar](#OpsCenter-before-you-begin)
+ [Paso 1: creación de una sincronización de datos de recursos](#OpsCenter-getting-started-multiple-accounts-onboarding-rds)
+ [Paso 2: habilitación de la entidad principal del servicio de Systems Manager en AWS Organizations](#OpsCenter-getting-started-multiple-accounts-onboarding-service-principal)
+ [Paso 3: creación del rol vinculado al servicio `AWSServiceRoleForAmazonSSM_AccountDiscovery`](#OpsCenter-getting-started-multiple-accounts-onboarding-SLR)
+ [Paso 4: configuración de permisos para trabajar con OpsItems entre cuentas](#OpsCenter-getting-started-multiple-accounts-onboarding-resource-policy)
+ [Paso 5: configuración de permisos para trabajar con recursos relacionados entre cuentas](#OpsCenter-getting-started-multiple-accounts-onboarding-related-resources-permissions)
**nota**
Solo se admiten OpsItems de tipo `/aws/issue` cuando se trabaja con OpsCenter entre cuentas.
## Antes de empezar
Antes de configurar OpsCenter para trabajar con OpsItems entre cuentas, asegúrese de haber configurado lo siguiente:
+ Una cuenta de administrador delegado de Systems Manager. Para obtener más información, consulte [Configurar un administrador delegado para Explorer](Explorer-setup-delegated-administrator.md).
+ Una organización definida y configurada en Organizations. Para obtener más información, consulte [Crear y administrar una organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html) en la *Guía del usuario de AWS Organizations*.
+ Configuró automatización de Systems Manager para ejecutar manuales de procedimientos de automatización en varias Regiones de AWS y cuentas de AWS. Para obtener más información, consulte [Ejecución de automatizaciones en varias cuentas y Regiones de AWS](running-automations-multiple-accounts-regions.md).
## Paso 1: creación de una sincronización de datos de recursos
Después de instalar y configurar AWS Organizations, puede agregar OpsItems en OpsCenter para toda una organización si crea una sincronización de datos de recursos. Para obtener más información, consulte [Creación de una sincronización de datos de recursos](Explorer-resource-data-sync-configuring-multi.md). Cuando se cree la sincronización, en la sección **Agregar cuentas**, seleccione la opción **Incluir todas las cuentas de mi configuración de AWS Organizations**.
## Paso 2: habilitación de la entidad principal del servicio de Systems Manager en AWS Organizations
Para permitir que un usuario trabaje con OpsItems en varias cuentas, la entidad principal de servicio de Systems Manager debe estar habilitada en AWS Organizations. Si anteriormente configuró Systems Manager para escenarios de varias cuentas con otras herramientas, es posible que la entidad principal de servicio de Systems Manager ya esté configurada en Organizations. Ejecute los siguientes comandos desde la AWS Command Line Interface (AWS CLI) para verificarlo. Si *no* ha configurado Systems Manager para otras situaciones de cuentas múltiples, pase al siguiente procedimiento, *Para habilitar la entidad principal del servicio de Systems Manager en AWS Organizations*.
**Para comprobar que la entidad principal de servicio de Systems Manager está activada en AWS Organizations**
1. Descargue la versión más reciente de la [https://aws.amazon.com/cli/](https://aws.amazon.com/cli/)AWS CLI en su máquina local.
1. Abra la AWS CLI y ejecute el siguiente comando para especificar sus credenciales y una Región de AWS.
```
aws configure
```
El sistema le solicita que especifique lo siguiente. En el siguiente ejemplo, reemplace cada *marcador de posición del usuario* con su propia información.
```
AWS Access Key ID [None]: key_name
AWS Secret Access Key [None]: key_name
Default region name [None]: region
Default output format [None]: ENTER
```
1. Ejecute el siguiente comando para comprobar que la entidad principal de servicio de Systems Manager está habilitada para AWS Organizations.
```
aws organizations list-aws-service-access-for-organization
```
El comando devuelve información similar a la que se muestra en el siguiente ejemplo.
```
{
"EnabledServicePrincipals": [
{
"ServicePrincipal": "member.org.stacksets.cloudformation.amazonaws.com",
"DateEnabled": "2020-12-11T16:32:27.732000-08:00"
},
{
"ServicePrincipal": "opsdatasync.ssm.amazonaws.com",
"DateEnabled": "2022-01-19T12:30:48.352000-08:00"
},
{
"ServicePrincipal": "ssm.amazonaws.com",
"DateEnabled": "2020-12-11T16:32:26.599000-08:00"
}
]
}
```
**Para habilitar la entidad principal de servicio de Systems Manager en AWS Organizations**
Si no ha configurado la entidad principal de servicio de Systems Manager para Organizations, utilice el siguiente procedimiento. Para obtener más información sobre este comando, consulte [enable-aws-service-access](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/enable-aws-service-access.html) en la *Referencia de comandos de la AWS CLI*.
1. Si aún no lo ha hecho, instale y configure la AWS Command Line Interface (AWS CLI). Para obtener más información, consulte [Instalación de la CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) y [Configuración de la CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html).
1. Descargue la versión más reciente de la [https://aws.amazon.com/cli/](https://aws.amazon.com/cli/)AWS CLI en su máquina local.
1. Abra la AWS CLI y ejecute el siguiente comando para especificar sus credenciales y una Región de AWS.
```
aws configure
```
El sistema le solicita que especifique lo siguiente. En el siguiente ejemplo, reemplace cada *marcador de posición del usuario* con su propia información.
```
AWS Access Key ID [None]: key_name
AWS Secret Access Key [None]: key_name
Default region name [None]: region
Default output format [None]: ENTER
```
1. Ejecute el siguiente comando para habilitar la entidad principal de servicio de Systems Manager para AWS Organizations.
```
aws organizations enable-aws-service-access --service-principal "ssm.amazonaws.com"
```
## Paso 3: creación del rol vinculado al servicio `AWSServiceRoleForAmazonSSM_AccountDiscovery`
Un rol vinculado a servicios, como el rol `AWSServiceRoleForAmazonSSM_AccountDiscovery`, es un tipo único de rol de IAM que está vinculado directamente a un Servicio de AWS, como Systems Manager. El servicio predefine los roles vinculados a servicios, que incluyen todos los permisos que el servicio requiere para llamar a otros Servicios de AWS en su nombre. Para obtener más información sobre el rol vinculado al servicio de `AWSServiceRoleForAmazonSSM_AccountDiscovery`, consulte [Permisos de roles vinculados al servicio de detección de cuentas de Systems Manager](using-service-linked-roles-service-action-2.md#service-linked-role-permissions-service-action-2).
Utilice el siguiente procedimiento para crear el rol vinculado al servicio de `AWSServiceRoleForAmazonSSM_AccountDiscovery` mediante AWS CLI. Para obtener más información sobre el comando que se utilizó en este procedimiento, consulte [create-service-linked-role](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-service-linked-role.html) en la *AWS CLIreferencia de comandos.*
**Para crear el rol vinculado al servicio de `AWSServiceRoleForAmazonSSM_AccountDiscovery`**
1. Inicie sesión en la consola de administración de AWS Organizations.
1. Mientras su sesión está iniciada en la cuenta de administración de Organizations, ejecute el siguiente comando.
```
aws iam create-service-linked-role \
--aws-service-name accountdiscovery.ssm.amazonaws.com \
--description "Systems Manager account discovery for AWS Organizations service-linked role"
```
## Paso 4: configuración de permisos para trabajar con OpsItems entre cuentas
Utilice conjuntos de pilas de AWS CloudFormation para crear una política de recursos de `OpsItemGroup` y un rol de ejecución de IAM que otorgue a los usuarios permisos para trabajar con OpsItems entre cuentas. Para comenzar, descargue y descomprima el archivo [https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountMembers.zip](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountMembers.zip). Este archivo contiene el archivo de plantilla `OpsCenterCrossAccountMembers.yaml` de CloudFormation. Cuando crea un conjunto de pilas con esta plantilla, CloudFormation genera automáticamente la política de recursos `OpsItemCrossAccountResourcePolicy` y el rol de ejecución `OpsItemCrossAccountExecutionRole` en la cuenta. Para obtener más información acerca de la creación de conjuntos de pilas, consulte [crear un grupo de pilas](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html) en la *guía del usuario de AWS CloudFormation*.
**importante**
Tenga en cuenta la siguiente información importante sobre esta tarea:
Debe implementar el conjunto de pilas mientras tenga abierta la sesión de la cuenta de administración de AWS Organizations.
Debe repetir este procedimiento mientras tenga abierta la sesión en *todas* las cuentas que desee *utilizar* para trabajar con OpsItems en todas ellas, incluida la cuenta de administrador delegada.
Si desea habilitar la administración OpsItems entre cuentas en diferentes Regiones de AWS, elija **agregar todas las regiones** en la sección **especificar regiones** de la plantilla. La administración de OpsItem entre cuentas no es compatible con las regiones habilitadas.
## Paso 5: configuración de permisos para trabajar con recursos relacionados entre cuentas
Un OpsItem puede incluir información detallada sobre recursos afectados, por ejemplo, instancias de Amazon Elastic Compute Cloud (Amazon EC2) o buckets de Amazon Simple Storage Service (Amazon S3). El rol de ejecución de `OpsItemCrossAccountExecutionRole` que creó en el Paso 4 anterior otorga a OpsCenter permisos de solo lectura para que las cuentas miembro vean los recursos relacionados. También debe crear un rol de IAM para proporcionar cuentas de administración con permiso para ver e interactuar con recursos relacionados, que completará en esta tarea.
Para comenzar, descargue y descomprima el archivo [https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountManagementRole.zip](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountManagementRole.zip). Este archivo contiene el archivo de plantilla `OpsCenterCrossAccountManagementRole.yaml` de CloudFormation. Al crear una pila con esta plantilla, CloudFormation crea automáticamente el rol de IAM `OpsCenterCrossAccountManagementRole` en la cuenta. Para obtener más información sobre la creación de pilas, consulte [Crear pilas en la consola AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) en la *Guía del usuario de AWS CloudFormation*.
**importante**
Tenga en cuenta la siguiente información importante sobre esta tarea:
Si planea especificar una cuenta como administrador delegado para OpsCenter, asegúrese de especificar esa Cuenta de AWS cuando cree la pila.
Debe realizar este procedimiento mientras tenga abierta la sesión en la cuenta de administración de AWS Organizations y nuevamente mientras esté conectado a la cuenta de administrador delegada.
# (Opcional) Configuración de Amazon SNS para recibir notificaciones sobre OpsItems
Puede configurar OpsCenter para enviar notificaciones a un tema de Amazon Simple Notification Service (Amazon SNS) cuando el sistema crea un OpsItem o actualiza un OpsItem existente.
Complete los siguientes pasos para recibir notificaciones de OpsItems.
+ [Paso 1: creación y suscripción a un tema de Amazon SNS](#OpsCenter-getting-started-sns-create-topic)
+ [Paso 2: actualización de la política de acceso de Amazon SNS](#OpsCenter-getting-started-sns-encryption-policy)
+ [Paso 3: actualización de la política de acceso de AWS KMS](#OpsCenter-getting-started-sns-KMS-policy)
**nota**
Si activa el cifrado de AWS Key Management Service (AWS KMS) del lado del servidor en el paso 2, debe completar el paso 3. De lo contrario, puede omitir el paso 3.
+ [Paso 4: activación de las reglas de OpsItems predeterminadas para enviar notificaciones para nuevos OpsItems](#OpsCenter-getting-started-sns-default-rules)
## Paso 1: creación y suscripción a un tema de Amazon SNS
Para recibir notificaciones, debe crear un tema de Amazon SNS y suscribirse a él. Para obtener más información, consulte [Creación de un tema de Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/CreateTopic.html) y [Suscripción a un tema de Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-create-subscribe-endpoint-to-topic.html) en la *Guía para desarrolladores de Amazon Simple Notification Service*.
**nota**
Si utiliza OpsCenter en varias Regiones de AWS o cuentas, debe crear y suscribirse a un tema de Amazon SNS en *cada* región o cuenta donde desee recibir notificaciones de OpsItem.
## Paso 2: actualización de la política de acceso de Amazon SNS
Debe asociar un tema de Amazon SNS a OpsItems. Utilice el siguiente procedimiento para actualizar la política de acceso de Amazon SNS de modo que Systems Manager pueda publicar las notificaciones de OpsItems en el tema de Amazon SNS que creó en el paso 1.
1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon SNS en [https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home).
1. En el panel de navegación, elija **Temas**.
1. Elija el tema que ha creado en el paso 1 y, a continuación, elija **Editar**.
1. Expanda **Política de acceso**.
1. Agregue el siguiente bloque `Sid` a la política existente. Reemplace cada *example resource placeholder* con su propia información.
```
{
"Sid": "Allow OpsCenter to publish to this topic",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "SNS:Publish",
"Resource": "arn:aws:sns:region:account ID:topic name", // Account ID of the SNS topic owner
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "account ID" // Account ID of the OpsItem owner
}
}
}
```
**nota**
Las claves de condición global `aws:SourceAccount` lo protegen contra el escenario de suplente confuso. Para usar esta clave de condición, establezca el valor al ID de cuenta del propietario de OpsItem. Para obtener más información, consulte [El suplente confuso](https://docs.aws.amazon.com//IAM/latest/UserGuide/confused-deputy.html) en la *Guía del usuario de IAM*.
1. Elija **Guardar cambios**.
El sistema envía notificaciones al tema de Amazon SNS cuando se crean o actualizan los OpsItems.
**importante**
Si configura el tema de Amazon SNS con una clave de cifrado de AWS Key Management Service (AWS KMS) del lado del servidor en el paso 2, luego debe completar el paso 3. De lo contrario, puede omitir el paso 3.
## Paso 3: actualización de la política de acceso de AWS KMS
Si activó el cifrado de AWS KMS del lado del servidor para el tema de Amazon SNS, también debe actualizar la política de acceso de AWS KMS key que ha elegido al configurar el tema. Utilice el siguiente procedimiento para actualizar la política de acceso de modo que Systems Manager pueda publicar notificaciones de OpsItem en el tema de Amazon SNS que ha creado en el paso 1.
**nota**
OpsCenter no admite la publicación de OpsItems en un tema de Amazon SNS configurado con una Clave administrada de AWS.
1. Abra la consola de AWS KMS en [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.
1. En el panel de navegación, elija **Claves administradas por el cliente**.
1. Elija el ID de la clave de KMS que ha elegido al crear el tema.
1. En la sección **Key policy (Política de claves)**, elija **Switch to policy view (Cambiar a la vista de política)**.
1. Elija **Edit (Edición de)**.
1. Agregue el siguiente bloque `Sid` a la política existente. Reemplace cada *example resource placeholder* con su propia información.
```
{
"Sid": "Allow OpsItems to decrypt the key",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": ["kms:Decrypt", "kms:GenerateDataKey*"],
"Resource": "arn:aws:kms:region:account ID:key/key ID"
}
```
En el siguiente ejemplo, el nuevo bloque se escribe en la línea 14.
![\[Edición de la política de acceso a AWS KMS de un tema de Amazon SNS.\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/images/OpsItems_SNS_KMS_access_policy.png)
1. Seleccione **Save changes (Guardar cambios)**.
## Paso 4: activación de las reglas de OpsItems predeterminadas para enviar notificaciones para nuevos OpsItems
Las reglas de OpsItems predeterminadas de Amazon EventBridge no están configuradas con un nombre de recurso de Amazon (ARN) para las notificaciones de Amazon SNS. Utilice el siguiente procedimiento para editar una regla en EventBridge e ingrese un bloque `notifications`.
**Para agregar un bloque de notificaciones a una regla de OpsItem predeterminada**
1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. En el panel de navegación, elija **OpsCenter**.
1. Elija la pestaña **OpsItems** y, a continuación, seleccione **Configure sources (Configurar orígenes)**.
1. Elija el nombre de la regla de origen que desea configurar con un bloque `notifications`, tal y como se muestra en el siguiente ejemplo.
![\[Elección de una regla de Amazon EventBridge para agregar un bloque de notificaciones de Amazon SNS.\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/images/OpsItems_SNS_Setup_2.png)
La regla se abre en Amazon EventBridge.
1. En la página Rule details (Detalles de la regla), dentro de la pestaña **Targets** (Destinos), elija **Editar**.
1. En la sección **Additional settings** (Ajustes adicionales), elija **Configure input transformer** (Configurar transformador de entrada).
1. En el cuadro **Plantilla**, agregue un bloque `notifications` en el siguiente formato.
```
"notifications":[{"arn":"arn:aws:sns:region:account ID:topic name"}],
```
A continuación se muestra un ejemplo.
```
"notifications":[{"arn":"arn:aws:sns:us-west-2:1234567890:MySNSTopic"}],
```
Introduzca el bloque de notificaciones antes del bloque de `resources`, como se muestra en el ejemplo siguiente para la región Oeste de EE. UU. (Oregón) (us-west-2).
```
{
"title": "EBS snapshot copy failed",
"description": "CloudWatch Event Rule SSMOpsItems-EBS-snapshot-copy-failed was triggered. Your EBS snapshot copy has failed. See below for more details.",
"category": "Availability",
"severity": "2",
"source": "EC2",
"notifications": [{
"arn": "arn:aws:sns:us-west-2:1234567890:MySNSTopic"
}],
"resources": ,
"operationalData": {
"/aws/dedup": {
"type": "SearchableString",
"value": "{\"dedupString\":\"SSMOpsItems-EBS-snapshot-copy-failed\"}"
},
"/aws/automations": {
"value": "[ { \"automationType\": \"AWS:SSM:Automation\", \"automationId\": \"AWS-CopySnapshot\" } ]"
},
"failure-cause": {
"value":
},
"source": {
"value":
},
"start-time": {
"value":
},
"end-time": {
"value":
}
}
}
```
1. Seleccione **Confirmar**.
1. Elija **Siguiente**.
1. Elija **Siguiente**.
1. Elija **Actualizar regla**.
La próxima vez que el sistema cree un OpsItem para la regla predeterminada, publicará una notificación en el tema de Amazon SNS.