• El panel de AWS Systems Manager CloudWatch dejará de estar disponible después del 30 de abril de 2026. Los clientes pueden seguir utilizando la consola de Amazon CloudWatch para ver, crear y administrar sus paneles de Amazon CloudWatch, tal y como lo hacen actualmente. Para obtener más información, consulte la [documentación del panel de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

# Cómo configurar Change Manager
<a name="change-manager-setting-up"></a>

**Cambio en la disponibilidad de Change Manager**  
Change Manager de AWS Systems Manager dejará de estar disponible para nuevos clientes a partir del 7 de noviembre de 2025. Si desea utilizar Change Manager, regístrese antes de esa fecha. Los clientes existentes pueden seguir utilizando el servicio con normalidad. Para obtener más información, consulte [Cambio en la disponibilidad de Change Manager de AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html). 

Puede utilizar Change Manager, una herramienta de AWS Systems Manager, para administrar los cambios de una organización completa, como esté configurada en AWS Organizations, o para una única Cuenta de AWS.

Si utiliza Change Manager con una organización, comience con el tema [Configuración de Change Manager para una organización (cuenta de administración)](change-manager-organization-setup.md) y, luego, continúe con [Configuración de opciones y prácticas recomendadas de Change Manager](change-manager-account-setup.md).

Si utiliza Change Manager con una única cuenta, diríjase directamente a [Configuración de opciones y prácticas recomendadas de Change Manager](change-manager-account-setup.md).

**nota**  
Si comienza a usar Change Manager con una única cuenta, pero esa cuenta se agrega posteriormente a una unidad organizativa para la cual Change Manager está permitido, no se tendrá en cuenta la configuración de su cuenta única.

**Topics**
+ [Configuración de Change Manager para una organización (cuenta de administración)](change-manager-organization-setup.md)
+ [Configuración de opciones y prácticas recomendadas de Change Manager](change-manager-account-setup.md)
+ [Configuración de roles y permisos para Change Manager](change-manager-permissions.md)
+ [Control de acceso a flujos de trabajo de manual de procedimientos de aprobación automática](change-manager-auto-approval-access.md)

# Configuración de Change Manager para una organización (cuenta de administración)
<a name="change-manager-organization-setup"></a>

**Cambio en la disponibilidad de Change Manager**  
Change Manager de AWS Systems Manager dejará de estar disponible para nuevos clientes a partir del 7 de noviembre de 2025. Si desea utilizar Change Manager, regístrese antes de esa fecha. Los clientes existentes pueden seguir utilizando el servicio con normalidad. Para obtener más información, consulte [Cambio en la disponibilidad de Change Manager de AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html). 

Las tareas de este tema se aplican si utiliza Change Manager, una herramienta de AWS Systems Manager, en una organización que está configurada en AWS Organizations. Si desea usar Change Manager solo en una única Cuenta de AWS, pase al tema [Configuración de opciones y prácticas recomendadas de Change Manager](change-manager-account-setup.md).

Lleve a cabo las tareas de esta sección en una Cuenta de AWS que sirva como la *cuenta de administración* en Organizations. Para obtener más información acerca de la cuenta de administración y otros conceptos de Organizations, consulte [Terminología y conceptos de AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html).

Si necesita activar Organizations y especificar su cuenta como la cuenta de administración antes de continuar, consulte [Creación y administración de una organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html) en la *Guía del usuario de AWS Organizations*. 

**nota**  
Este proceso de configuración no se puede efectuar en las siguientes Regiones de AWS:  
UE (Milán) (eu-south-1)
Medio Oriente (Baréin) (me-south-1)
África (Ciudad del Cabo) (af-south-1)
Asia-Pacífico (Hong Kong) (ap-east-1)
Asegúrese de trabajar en una región diferente en su cuenta de administración para este procedimiento.

Durante el procedimiento de configuración, debe llevar a cabo las siguientes tareas principales en Quick Setup, una herramienta de AWS Systems Manager.
+ **Tarea 1: registrar la cuenta de administrador delegado para su organización**

  Las tareas relacionadas con el cambio que se llevan a cabo con Change Manager se administran en una de las cuentas miembro, que especifica que es la *cuenta de administrador delegado*. La cuenta de administrador delegado que se registra para Change Manager se convierte en la cuenta de administrador delegado para todas sus operaciones de Systems Manager. (Es posible que tenga cuentas de administrador delegado para otros Servicios de AWS). Su cuenta de administrador delegado para Change Manager, que no es la misma que la cuenta de administración, administra las actividades de cambio en toda la organización, incluidas las plantillas de cambios, las solicitudes de cambio y sus aprobaciones. En la cuenta de administrador delegado, también puede especificar otras opciones de configuración para sus operaciones de Change Manager. 
**importante**  
La cuenta de administrador delegado debe ser el único miembro de la unidad organizativa al que se asigne la capacidad en Organizations.
+ **Tarea 2: definir y especificar las políticas de acceso del manual de procedimientos para los roles del solicitante de cambios o las funciones de trabajo personalizadas que desee utilizar para las operaciones de Change Manager**

  Para crear solicitudes de cambio en Change Manager, los usuarios de sus cuentas miembro deben recibir permisos de AWS Identity and Access Management (IAM) que les permitan acceder solo a los manuales de procedimientos de Automation y las plantillas de cambios que usted elija que estén disponibles para ellos. 
**nota**  
Cuando un usuario crea una solicitud de cambio, primero selecciona una plantilla de cambios. Esta plantilla de cambios puede tener varios manuales de procedimientos disponibles, pero el usuario solo puede seleccionar uno para cada solicitud de cambio. Las plantillas de cambios también se pueden configurar para permitir a los usuarios incluir cualquier manual de procedimientos disponible en sus solicitudes.

  Para otorgar los permisos necesarios, Change Manager utiliza el concepto de *funciones de trabajo*, que también es utilizado por IAM. Sin embargo, a diferencia de las [políticas administradas de AWS para las funciones de trabajo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en IAM, debe especificar tanto los nombres de las funciones de trabajo de Change Manager como los permisos de IAM para esas funciones de trabajo. 

  Cuando vaya a configurar una función de trabajo, le recomendamos crear una política personalizada y proporcionar solo los permisos necesarios para llevar a cabo tareas de administración de cambios. Por ejemplo, podría especificar permisos que limiten a los usuarios a ese conjunto específico de manuales de procedimientos dependiendo de las *funciones de trabajo* que defina. 

  Por ejemplo, puede crear una función de trabajo con el nombre `DBAdmin`. Para esta función de trabajo, puede conceder solo los permisos necesarios para los manuales de procedimientos relacionados con las bases de datos de Amazon DynamoDB, como `AWS-CreateDynamoDbBackup` y `AWSConfigRemediation-DeleteDynamoDbTable`. 

  Como otro ejemplo, es posible que desee conceder a algunos usuarios solo los permisos necesarios para trabajar con manuales de procedimientos relacionados con los buckets de Amazon Simple Storage Service (Amazon S3), como `AWS-ConfigureS3BucketLogging` y `AWSConfigRemediation-ConfigureS3BucketPublicAccessBlock`. 

  El proceso de configuración en Quick Setup para Change Manager también pone a su disposición un conjunto de permisos administrativos completos de Systems Manager para que pueda aplicarlos a un rol administrativo que cree. 

  Cada configuración de Change Manager en Quick Setup que implemente creará una función de trabajo en su cuenta de administrador delegado con permisos para ejecutar plantillas de Change Manager y manuales de procedimientos de Automation en las unidades organizativas que haya seleccionado. Puede crear hasta 15 configuraciones de Quick Setup para Change Manager. 
+ **Tarea 3: elegir qué cuentas miembro de su organización utilizar con Change Manager**

  Puede utilizar Change Manager con todas las cuentas miembro de todas las unidades organizativas configuradas en Organizations y en todas las Regiones de AWS en las que funcionen. En cambio, si lo prefiere, puede usar Change Manager solo en algunas de sus unidades organizativas.

**importante**  
Antes de comenzar este procedimiento, le recomendamos que lea sus pasos para comprender las opciones de configuración que va a elegir y los permisos que va a conceder. En particular, planifique las funciones de trabajo personalizadas que creará y los permisos que asignará a cada función de trabajo. Esto garantiza que cuando, más adelante, adjunte las políticas de función de trabajo que cree para los usuarios individuales, los grupos de usuarios o los roles de IAM, solo se les concedan los permisos que usted desea que tengan.  
Como práctica recomendada, comience configurando la cuenta de administrador delegado mediante el inicio de sesión para un administrador de Cuenta de AWS. A continuación, configure las funciones de trabajo y sus permisos después de haber creado las plantillas de cambios e identificado los manuales de procedimientos que utilizará cada una.

Para configurar Change Manager para usarlo en una organización, lleve a cabo la siguiente tarea en el área de Quick Setup de la consola de Systems Manager.

Repita esta tarea para cada función de trabajo que desee crear para su organización. Cada función de trabajo que cree puede tener permisos para un conjunto diferente de unidades organizativas.

**Para configurar una organización para Change Manager en la cuenta de administración de Organizations**

1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. En el panel de navegación, elija **Quick Setup**.

1. En la tarjeta **Change Manager**, seleccione **crear**.

1. En **Delegated administrator account** (Cuenta de administrador delegado), ingrese el ID de la Cuenta de AWS que desea utilizar para administrar las plantillas de cambios, las solicitudes de cambio y los flujos de trabajo del manual de procedimientos en Change Manager. 

   Si con anterioridad ha especificado una cuenta de administrador delegado para Systems Manager, su ID ya se indicará en este campo. 
**importante**  
La cuenta de administrador delegado debe ser el único miembro de la unidad organizativa al que se asigne la capacidad en Organizations.  
Si la cuenta de administrador delegado registrada luego se anula de ese rol, el sistema elimina sus permisos para administrar las operaciones de Systems Manager al mismo tiempo. Tenga en cuenta que será necesario regresar a Quick Setup, designar una cuenta de administrador delegado diferente y volver a especificar todas las funciones de trabajo y los permisos.  
Si utiliza Change Manager en toda una organización, se recomienda efectuar siempre los cambios desde la cuenta de administrador delegado. Si bien es posible realizar cambios desde otras cuentas de la organización, esos cambios no se notificarán ni se podrán ver desde la cuenta de administrador delegado.

1. En la sección **Permissions to request and make changes** (Permisos para solicitar y realizar cambios), haga lo siguiente.
**nota**  
Cada configuración de implementación que cree proporcionará la política de permisos para una sola función de trabajo. Puede regresar a Quick Setup más adelante para crear más funciones de trabajo cuando haya creado plantillas de cambios para utilizarlas en sus operaciones.

   **Para crear un rol administrativo**: para una función de trabajo de administrador que tenga permisos de IAM para todas las acciones de AWS, realice lo siguiente.
**importante**  
El otorgamiento de permisos administrativos completos a los usuarios debe realizarse con moderación y solo si sus roles requieren acceso completo a Systems Manager. Para obtener información importante acerca de los aspectos que deben tenerse en cuenta sobre la seguridad en el acceso a Systems Manager, consulte [Administración de identidades y accesos en AWS Systems Manager](security-iam.md) y [Prácticas recomendadas de seguridad para Systems Manager](security-best-practices.md).

   1. En **Job function** (Función de trabajo), ingrese un nombre para identificar este rol y sus permisos, como **MyAWSAdmin**.

   1. En **Role and permissions option** (Opción de rol y permisos), elija **Administrator permissions** (Permisos de administrador).

   **Para crear otras funciones de trabajo**: para crear un rol no administrativo, haga lo siguiente.

   1. En **Job function** (Función de trabajo), ingrese un nombre para identificar este rol y sugerir sus permisos. El nombre que elija debe representar el alcance de los manuales de procedimientos para los que proporcionará permisos, como `DBAdmin` o `S3Admin`. 

   1. En **Role and permissions option** (Opción de rol y permisos), elija **Custom permissions** (Permisos personalizados).

   1. En **Permissions policy editor** (Editor de políticas de permisos), ingrese los permisos de IAM, en formato JSON, que se concederán a esta función de trabajo.
**sugerencia**  
Le recomendamos utilizar el editor de políticas de IAM para diseñar la política y, luego, pegar la política JSON en el campo **Permissions policy** (Política de permisos).

**Política de muestra: administración de bases de datos de DynamoDB**  
Por ejemplo, puede comenzar con el contenido de la política que proporcione permisos para trabajar con los documentos de Systems Manager (documentos de SSM) a los que necesita acceder la función de trabajo. A continuación, se presenta un contenido de política de muestra que otorga acceso a todos los manuales de procedimientos de Automation administrados por AWS que se relacionen con las bases de datos de DynamoDB y dos plantillas de cambios que se han creado en la Cuenta de AWS `123456789012` de ejemplo, en la región Este de EE. UU. (Ohio) (`us-east-2`). 

   La política también incluye permisos para la operación [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_StartChangeRequestExecution.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_StartChangeRequestExecution.html), que es necesaria para crear una solicitud de cambio en Change Calendar. 
**nota**  
Este ejemplo no es exhaustivo. Es posible que se necesiten permisos adicionales para trabajar con otros recursos de AWS, como las bases de datos y los nodos.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "ssm:CreateDocument",
                   "ssm:DescribeDocument",
                   "ssm:DescribeDocumentParameters",
                   "ssm:DescribeDocumentPermission",
                   "ssm:GetDocument",
                   "ssm:ListDocumentVersions",
                   "ssm:ModifyDocumentPermission",
                   "ssm:UpdateDocument",
                   "ssm:UpdateDocumentDefaultVersion"
               ],
               "Resource": [
                   "arn:aws:ssm:us-east-1:*:document/AWS-CreateDynamoDbBackup",
                   "arn:aws:ssm:us-east-1:*:document/AWS-AWS-DeleteDynamoDbBackup",
                   "arn:aws:ssm:us-east-1:*:document/AWS-DeleteDynamoDbTableBackups",
                   "arn:aws:ssm:us-east-1:*:document/AWSConfigRemediation-DeleteDynamoDbTable",
                   "arn:aws:ssm:us-east-1:*:document/AWSConfigRemediation-EnableEncryptionOnDynamoDbTable",
                   "arn:aws:ssm:us-east-1:*:document/AWSConfigRemediation-EnablePITRForDynamoDbTable",
                   "arn:aws:ssm:us-east-1:111122223333:document/MyFirstDBChangeTemplate",
                   "arn:aws:ssm:us-east-1:111122223333:document/MySecondDBChangeTemplate"
               ]
           },
           {
               "Effect": "Allow",
               "Action": "ssm:ListDocuments",
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": "ssm:StartChangeRequestExecution",
               "Resource": [
                   "arn:aws:ssm:us-east-1:111122223333:document/*",
                   "arn:aws:ssm:us-east-1:111122223333:automation-execution/*"
               ]
           }
       ]
   }
   ```

------

   Para obtener más información acerca de las políticas de IAM, consulte [Administración del acceso a los recursos de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) y [Creación de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM.*

1. En la sección **Targets** (Destinos), elija si desea conceder permisos para la función de trabajo que está creando a toda la organización o solo a algunas de sus unidades organizativas.

   Si elige **Entire organization** (Toda la organización), continúe con el paso 9.

   Si elige **Custom** (Personalizar), continúe con el paso 8.

1. En la sección **Target OUs** (Unidades organizativas de destino), seleccione las casillas de verificación de las unidades organizativas en las que se utilizará Change Manager.

1. Seleccione **Crear**.

Después de que el sistema termine de configurar Change Manager para su organización, mostrará un resumen de las implementaciones. Esta información de resumen incluye el nombre del rol que se creó para la función de trabajo que configuró. Por ejemplo, `AWS-QuickSetup-SSMChangeMgr-DBAdminInvocationRole`.

**nota**  
Quick Setup utiliza StackSets de AWS CloudFormation para implementar las configuraciones. También puede ver información acerca de una configuración de implementación completada en la consola de CloudFormation. Para obtener más información acerca de StackSets, consulte [Uso de StackSets de AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) en la *Guía del usuario de AWS CloudFormation*.

El siguiente paso consiste en configurar opciones de Change Manager adicionales. Puede completar esta tarea en su cuenta de administrador delegado o en cualquier cuenta de una unidad organizativa a la que haya permitido usar Change Manager. Puede configurar opciones, como elegir una opción de administración de identidades de usuarios, especificar qué usuarios pueden revisar y aprobar o rechazar las plantillas y las solicitudes de cambios, y elegir qué opciones de prácticas recomendadas se permitirán para su organización. Para obtener más información, consulte [Configuración de opciones y prácticas recomendadas de Change Manager](change-manager-account-setup.md).

# Configuración de opciones y prácticas recomendadas de Change Manager
<a name="change-manager-account-setup"></a>

**Cambio en la disponibilidad de Change Manager**  
Change Manager de AWS Systems Manager dejará de estar disponible para nuevos clientes a partir del 7 de noviembre de 2025. Si desea utilizar Change Manager, regístrese antes de esa fecha. Los clientes existentes pueden seguir utilizando el servicio con normalidad. Para obtener más información, consulte [Cambio en la disponibilidad de Change Manager de AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html). 

Las tareas de esta sección se deben llevar a cabo independientemente de si Change Manager, una herramienta de AWS Systems Manager, se utiliza en toda una organización o en una única Cuenta de AWS.

Si utiliza Change Manager para una organización, puede realizar las siguientes tareas en su cuenta de administrador delegado o en cualquier cuenta de una unidad organizativa a la que haya permitido que use Change Manager.

**Topics**
+ [Tarea 1: configurar la administración de identidades de usuarios y los revisores de plantillas de Change Manager](#cm-configure-account-task-1)
+ [Tarea 2: configurar los aprobadores de eventos de congelación de cambios y las prácticas recomendadas de Change Manager](#cm-configure-account-task-2)
+ [Configuración de temas de Amazon SNS para las notificaciones de Change Manager](change-manager-sns-setup.md)

## Tarea 1: configurar la administración de identidades de usuarios y los revisores de plantillas de Change Manager
<a name="cm-configure-account-task-1"></a>

Realice la tarea de este procedimiento la primera vez que acceda a Change Manager. Puede actualizar estos ajustes de configuración más adelante regresando a Change Manager y eligiendo **Edit** (Editar) en la pestaña **Settings** (Configuración).

**Para configurar la administración de identidades de usuarios y los revisores de plantillas de Change Manager**

1. Inicie sesión en Consola de administración de AWS.

   Si utiliza Change Manager en una organización, inicie sesión con las credenciales para su cuenta de administrador delegado. El usuario debe tener los permisos de AWS Identity and Access Management (IAM) necesarios para efectuar actualizaciones en la configuración de Change Manager.

1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. En el panel de navegación, elija **Change Manager**.

1. En la página de inicio del servicio, en función de las opciones disponibles, lleve a cabo alguna de las siguientes operaciones:
   + Si utiliza Change Manager con AWS Organizations, elija **Set up delegated account** (Configurar una cuenta delegada).
   + Si utiliza Change Manager con una única Cuenta de AWS, elija **Set up Change Manager** (Configurar Change Manager).

     -o bien-

     Seleccione **Create sample change request** (Crear solicitud de cambio de muestra), **Skip** (Omitir) y, luego, la pestaña **Settings** (Configuración).

1. En **User identity management** (Administración de identidades de usuarios), elija alguna de las siguientes opciones.
   + **AWS Identity and Access Management (IAM)**: identifique a los usuarios que realizan y aprueban solicitudes y llevan a cabo otras acciones en Change Manager mediante el uso de usuarios, grupos y roles existentes.
   + **AWS IAM Identity Center (Centro de identidades de IAM)**: permita que el [Centro de identidades de IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/) cree y administre identidades o conéctese a su origen de identidades existente para identificar a los usuarios que llevan a cabo acciones en Change Manager.

1. En la sección **notificación del revisor de plantillas**, especifique los temas de Amazon Simple Notification Service (Amazon SNS) que se utilizarán para notificar a los revisores de plantillas que una nueva plantilla de cambios o versión de plantilla de cambios está lista para revisarse. Asegúrese de que el tema de Amazon SNS que elija esté configurado para enviar notificaciones a los revisores de plantillas. 

   Para obtener más información acerca de cómo crear y configurar temas de Amazon SNS para efectuar notificaciones a los revisores de plantillas de cambios, consulte [Configuración de temas de Amazon SNS para las notificaciones de Change Manager](change-manager-sns-setup.md).

   1. Para especificar el tema de Amazon SNS que se utilizará para la notificación a los revisores de plantillas, elija una de las siguientes opciones:
      + **Ingrese un nombre de recurso de Amazon (ARN) de SNS**: en **Topic ARN** (ARN de tema), ingrese el ARN de un tema de Amazon SNS existente. Este tema puede estar en cualquiera de las cuentas de su organización.
      + **Seleccione un tema de SNS existente**: en **Target notification topic** (Tema de notificaciones de destino), seleccione el ARN de un tema de Amazon SNS existente en su Cuenta de AWS actual. (Esta opción no estará disponible si aún no ha creado ningún tema de Amazon SNS en su Cuenta de AWS y Región de AWS actuales).
**nota**  
El tema de Amazon SNS que seleccione debe estar configurado para especificar las notificaciones que envía y los suscriptores a los que se las envía. Su política de acceso también debe conceder permisos a Systems Manager para que Change Manager pueda enviar notificaciones. Para obtener más información, consulte [Configuración de temas de Amazon SNS para las notificaciones de Change Manager](change-manager-sns-setup.md). 

   1. Seleccione **Agregar notificación**.

1. En la sección **Change template reviewers** (Revisores de plantillas de cambios), seleccione los usuarios de su organización o cuenta que revisarán las nuevas plantillas de cambios o versiones de plantillas de cambios antes de que se puedan utilizar en sus operaciones. 

   Los revisores de plantillas de cambios son responsables de verificar la idoneidad y la seguridad de las plantillas que otros usuarios han enviado para su uso en los flujos de trabajo del manual de procedimientos de Change Manager.

   Seleccione los revisores de plantillas de cambios haciendo lo siguiente:

   1. Elija **Añadir**.

   1. Seleccione la casilla de verificación situada junto al nombre de cada usuario, grupo o rol de IAM que desee designar como revisor de plantillas de cambios.

   1. Elija **Add approvers** (Agregar aprobadores).

1. Elija **Enviar**.

 Después de completar este proceso de configuración inicial, establezca los ajustes adicionales y las prácticas recomendadas de Change Manager siguiendo los pasos que se indican en [Tarea 2: configurar los aprobadores de eventos de congelación de cambios y las prácticas recomendadas de Change Manager](#cm-configure-account-task-2).

## Tarea 2: configurar los aprobadores de eventos de congelación de cambios y las prácticas recomendadas de Change Manager
<a name="cm-configure-account-task-2"></a>

Luego de completar los pasos que se indican en [Tarea 1: configurar la administración de identidades de usuarios y los revisores de plantillas de Change Manager](#cm-configure-account-task-1), puede designar revisores adicionales para las solicitudes de cambio que se efectúen durante los *eventos de congelación de cambios* y especificar qué prácticas recomendadas disponibles desea permitir para sus operaciones de Change Manager.

Un evento de congelación de cambios significa que existen restricciones en el calendario de cambios actual (el estado del calendario en AWS Systems Manager Change Calendar es `CLOSED`). En estos casos, además de los aprobadores regulares de solicitudes de cambio, o cuando la solicitud de cambio se crea utilizando una plantilla que permite las aprobaciones automáticas, se requiere que los aprobadores de congelación de cambios concedan permiso para que esta solicitud de cambio se ejecute. Si no lo hacen, el cambio no se procesará hasta que el estado del calendario vuelva a ser `OPEN`.

**Para configurar los aprobadores de eventos de congelación de cambios y las prácticas recomendadas de Change Manager**

1. En el panel de navegación, elija **Change Manager**.

1. Elija la pestaña **Settings** (Configuración) y, luego, **Edit** (Editar).

1. En la sección **Approvers for change freeze events** (Aprobadores de eventos de congelación de cambios), seleccione los usuarios de su organización o cuenta que podrán aprobar los cambios para que se ejecuten incluso cuando el calendario en uso de Change Calendar esté CERRADO en ese momento.
**nota**  
Para permitir las revisiones de congelación de cambios, debe activar la opción **Check Change Calendar for restricted change events** (Verificar Change Calendar para detectar eventos de cambios restringidos) en **Best practices** (Prácticas recomendadas).

   Seleccione los aprobadores de los eventos de congelación de cambios haciendo de la siguiente manera:

   1. Elija **Agregar**.

   1. Seleccione la casilla de verificación situada junto al nombre de cada usuario, grupo o rol de IAM que desee designar como aprobador de eventos de congelación de cambios.

   1. Elija **Add approvers** (Agregar aprobadores).

1. En la sección **Best practices** (Prácticas recomendadas) ubicada cerca de la parte inferior de la página, active las prácticas recomendadas que desee aplicar a cada una de las siguientes opciones.
   + Opción: c**heck Change Calendar for restricted change events** (Verificar Change Calendar para detectar eventos de cambios restringidos)

     Para especificar que Change Manager verifique un calendario de Change Calendar para asegurarse de que los cambios no estén bloqueados por eventos programados, primero seleccione la casilla de verificación **Enabled** (Habilitado) y, a continuación, seleccione el calendario para verificar si hay eventos restringidos en la lista **Change Calendar**.

     Para obtener más información acerca de Change Calendar, consulte [AWS Systems Manager Change Calendar](systems-manager-change-calendar.md).
   + Opción: **SNS topic for approvers for closed events** (Tema de SNS para aprobadores de eventos cerrados)

     1. Elija una de las siguientes opciones para especificar el tema de Amazon Simple Notification Service (Amazon SNS) de su cuenta que se utilizará para enviar notificaciones a los aprobadores durante los eventos de congelación de cambios. (Tenga en cuenta que también debe especificar aprobadores en la sección **Approvers for change freeze events** [Aprobadores de eventos de congelación de cambios] anterior a **Best practices** [Prácticas recomendadas]).
        + **Ingrese un nombre de recurso de Amazon (ARN) de SNS**: en **Topic ARN** (ARN de tema), ingrese el ARN de un tema de Amazon SNS existente. Este tema puede estar en cualquiera de las cuentas de su organización.
        + **Seleccione un tema de SNS existente**: en **Target notification topic** (Tema de notificaciones de destino), seleccione el ARN de un tema de Amazon SNS existente en su Cuenta de AWS actual. (Esta opción no estará disponible si aún no ha creado ningún tema de Amazon SNS en su Cuenta de AWS y Región de AWS actuales).
**nota**  
El tema de Amazon SNS que seleccione debe estar configurado para especificar las notificaciones que envía y los suscriptores a los que se las envía. Su política de acceso también debe conceder permisos a Systems Manager para que Change Manager pueda enviar notificaciones. Para obtener más información, consulte [Configuración de temas de Amazon SNS para las notificaciones de Change Manager](change-manager-sns-setup.md). 

     1. Seleccione **Agregar notificación**.
   + Opción: **Require monitors for all templates** (Requerir monitores para todas las plantillas)

     Si desea asegurarse de que todas las plantillas de su organización o cuenta especifican una alarma de Amazon CloudWatch para monitorear su operación de cambio, seleccione la casilla de verificación **Enabled** (Habilitado).
   + Opción: **Require template review and approval before use** (Requerir revisión y aprobación de las plantillas antes de usarlas)

     Para asegurarse de que no se creen solicitudes de cambio ni se ejecuten flujos de trabajo de manual de procedimientos sin tener como base una plantilla que se haya revisado y aprobado, seleccione la casilla de verificación **Enabled** (Habilitado).

1. Seleccione **Save**.

# Configuración de temas de Amazon SNS para las notificaciones de Change Manager
<a name="change-manager-sns-setup"></a>

**Cambio en la disponibilidad de Change Manager**  
Change Manager de AWS Systems Manager dejará de estar disponible para nuevos clientes a partir del 7 de noviembre de 2025. Si desea utilizar Change Manager, regístrese antes de esa fecha. Los clientes existentes pueden seguir utilizando el servicio con normalidad. Para obtener más información, consulte [Cambio en la disponibilidad de Change Manager de AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html). 

Puede configurar Change Manager, una herramienta de AWS Systems Manager, para que envíe notificaciones a un tema de Amazon Simple Notification Service (Amazon SNS) por los eventos relacionados con las solicitudes y las plantillas de cambios. Lleve a cabo las siguientes tareas para recibir notificaciones por los eventos de Change Manager a los que agregue un tema.

**Topics**
+ [Tarea 1: crear un tema de Amazon SNS y suscribirse a él](#change-manager-sns-setup-create-topic)
+ [Tarea 2: actualizar la política de acceso de Amazon SNS](#change-manager-sns-setup-encryption-policy)
+ [Tarea 3: (Opcional) Actualizar la política de acceso de AWS Key Management Service](#change-manager-sns-setup-KMS-policy)

## Tarea 1: crear un tema de Amazon SNS y suscribirse a él
<a name="change-manager-sns-setup-create-topic"></a>

En primer lugar, debe crear un tema de Amazon SNS y suscribirse a él. Para obtener más información, consulte [Creating a Amazon SNS topic](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) (Creación de un tema de Amazon SNS) y [Subscribing to an Amazon SNS topic](https://docs.aws.amazon.com/sns/latest/dg/sns-tutorial-create-subscribe-endpoint-to-topic.html) (Suscripción a un tema de Amazon SNS) en la *Guía para desarrolladores de Amazon Simple Notification Service*.

**nota**  
Para recibir notificaciones, debe especificar el nombre de recurso de Amazon (ARN) de un tema de Amazon SNS que se encuentre en la misma Región de AWS y Cuenta de AWS que la cuenta de administrador delegado. 

## Tarea 2: actualizar la política de acceso de Amazon SNS
<a name="change-manager-sns-setup-encryption-policy"></a>

Utilice el siguiente procedimiento para actualizar la política de acceso de Amazon SNS de modo que Systems Manager pueda publicar las notificaciones de Change Manager en el tema de Amazon SNS que creó en la tarea 1. Si no completa esta tarea, Change Manager no tendrá permiso para enviar las notificaciones de los eventos para los que agrega el tema.

1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon SNS en [https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home).

1. En el panel de navegación, elija **Temas**.

1. Elija el tema que creó en la tarea 1 y, a continuación, elija **Edit** (Editar).

1. Expanda **Política de acceso**.

1. Agregue y actualice el siguiente bloque `Sid` a la política existente y sustituya cada *espacio disponible de entrada del usuario* con su propia información.

   ```
   {
       "Sid": "Allow Change Manager to publish to this topic",
       "Effect": "Allow",
       "Principal": {
           "Service": "ssm.amazonaws.com"
       },
       "Action": "sns:Publish",
       "Resource": "arn:aws:sns:region:account-id:topic-name",
       "Condition": {
           "StringEquals": {
               "aws:SourceAccount": [
                   "account-id"
               ]
           }
       }
   }
   ```

   Ingrese este bloque después del bloque `Sid` existente, y reemplace *region*, *account-id* y *topic-name* con los valores apropiados para el tema que ha creado.

1. Seleccione **Save changes (Guardar cambios)**.

El sistema ahora enviará notificaciones al tema de Amazon SNS cuando se produzca el tipo de evento para el que se agregó el tema.

**importante**  
Si configuró el tema de Amazon SNS con una clave de cifrado de AWS Key Management Service (AWS KMS) del lado del servidor, debe completar la tarea 3.

## Tarea 3: (Opcional) Actualizar la política de acceso de AWS Key Management Service
<a name="change-manager-sns-setup-KMS-policy"></a>

Si activó el cifrado de AWS Key Management Service (AWS KMS) del lado del servidor para el tema de Amazon SNS, también debe actualizar la política de acceso de la AWS KMS key que eligió cuando configuró el tema. Siga el siguiente procedimiento para actualizar la política de acceso de modo que Systems Manager pueda publicar las notificaciones de aprobaciones de Change Manager en el tema de Amazon SNS que creó en la tarea 1.

1. Abra la consola de AWS KMS en [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. En el panel de navegación, elija **Claves administradas por el cliente**.

1. Elija el ID de la clave administrada por el cliente que eligió cuando creó el tema.

1. En la sección **Key policy (Política de claves)**, elija **Switch to policy view (Cambiar a la vista de política)**.

1. Elija **Edit (Edición de)**.

1. Escriba el siguiente bloque `Sid` después de uno de los bloques `Sid` en la política existente. Reemplace cada uno *marcador de posición del usuario* con información propia.

   ```
   {
       "Sid": "Allow Change Manager to decrypt the key",
       "Effect": "Allow",
       "Principal": {
           "Service": "ssm.amazonaws.com"
       },
       "Action": [
           "kms:Decrypt",
           "kms:GenerateDataKey*"
       ],
       "Resource": "arn:aws:kms:region:account-id:key/key-id",
       "Condition": {
           "StringEquals": {
               "aws:SourceAccount": [
                   "account-id"
               ]
           }
       }
   }
   ```

1. Ahora, escriba el siguiente bloque `Sid` después de uno de los bloques `Sid` en la política de recursos para ayudar a evitar el [problema del suplente confuso entre servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html). 

   Este bloque utiliza claves de contexto de condición global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) y [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) para limitar los permisos que Systems Manager otorga a otro servicio al recurso.

   Reemplace cada uno *marcador de posición del usuario* con información propia.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "Configure confused deputy protection for AWS KMS keys used in Amazon SNS topic when called from Systems Manager",
               "Effect": "Allow",
               "Principal": {
                   "Service": "ssm.amazonaws.com"
               },
               "Action": [
                   "sns:Publish"
               ],
               "Resource": "arn:aws:sns:us-east-1:111122223333:topic-name",
               "Condition": {
                   "ArnLike": {
                       "aws:SourceArn": "arn:aws:ssm:us-east-1:111122223333:*"
                   },
                   "StringEquals": {
                       "aws:SourceAccount": "111122223333"
                   }
               }
           }
       ]
   }
   ```

------

1. Seleccione **Save changes (Guardar cambios)**.

# Configuración de roles y permisos para Change Manager
<a name="change-manager-permissions"></a>

**Cambio en la disponibilidad de Change Manager**  
Change Manager de AWS Systems Manager dejará de estar disponible para nuevos clientes a partir del 7 de noviembre de 2025. Si desea utilizar Change Manager, regístrese antes de esa fecha. Los clientes existentes pueden seguir utilizando el servicio con normalidad. Para obtener más información, consulte [Cambio en la disponibilidad de Change Manager de AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html). 

De manera predeterminada, Change Manager no tiene permiso para realizar acciones en los recursos. Debe conceder acceso mediante un rol de servicio de AWS Identity and Access Management (IAM), o *rol de asunción*. Este rol permite que Change Manager pueda ejecutar de forma segura los flujos de trabajo de manuales de procedimientos especificados en una solicitud de cambio aprobada en su nombre. El rol concede a AWS Security Token Service (AWS STS) la confianza [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) para Change Manager.

Proporcionando estos permisos a un rol para que actúe en nombre de los usuarios de una organización, ya no es necesario conceder ese conjunto de permisos como tal a los usuarios. Las acciones permitidas por los permisos están limitadas únicamente a las operaciones aprobadas.

Cuando los usuarios de la cuenta u organización crean una solicitud de cambio, pueden seleccionar este rol de asunción para realizar las operaciones de cambio.

Puede crear un nuevo rol de asunción para Change Manager, o bien actualizar un rol existente con los permisos necesarios.

Si necesita crear un rol de servicio para Change Manager, complete las siguientes tareas. 

**Topics**
+ [Tarea 1: Creación de una política de rol de asunción para Change Manager](#change-manager-role-policy)
+ [Tarea 2: Creación de un rol de asunción para Change Manager](#change-manager-role)
+ [Tarea 3: Adición de la política `iam:PassRole` a otros roles](#change-manager-passpolicy)
+ [Tarea 4: Adición de políticas insertadas a un rol de asunción para invocar a otros Servicios de AWS](#change-manager-role-add-inline-policy)
+ [Tarea 5: Configuración del acceso de usuario a Change Manager](#change-manager-passrole)

## Tarea 1: Creación de una política de rol de asunción para Change Manager
<a name="change-manager-role-policy"></a>

Utilice el siguiente procedimiento para crear la política que va a adjuntar al rol de asunción de Change Manager.

**Para crear una política de rol de asunción para Change Manager**

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Policies** y, a continuación, seleccione **Create Policy**.

1. En la página **Create policy** (Crear política), elija la pestaña **JSON** y reemplace el contenido predeterminado con el siguiente, que modificará para sus propias operaciones de Change Manager en los siguientes pasos.
**nota**  
Si va a crear una política para utilizarla con una sola Cuenta de AWS, no una organización con varias cuentas y Regiones de AWS, puede omitir el primer bloque de instrucciones. No se requiere el permiso `iam:PassRole` en el caso de una sola cuenta que utiliza Change Manager.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "iam:PassRole",
               "Resource": "arn:aws:iam::111122223333:role/AWS-SystemsManager-job-functionAdministrationRole",
               "Condition": {
                   "StringEquals": {
                       "iam:PassedToService": "ssm.amazonaws.com"
                   }
               }
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ssm:DescribeDocument",
                   "ssm:GetDocument",
                   "ssm:StartChangeRequestExecution"
               ],
               "Resource": [
                   "arn:aws:ssm:us-east-1::document/template-name",
                   "arn:aws:ssm:us-east-1:111122223333:automation-execution/*"
               ]
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ssm:ListOpsItemEvents",
                   "ssm:GetOpsItem",
                   "ssm:ListDocuments",
                   "ssm:DescribeOpsItems"
               ],
               "Resource": "*"
           }
       ]
   }
   ```

------

1. Actualice el valor `Resource` de la acción `iam:PassRole` para incluir los ARN de todas las funciones laborales definidas para la organización a las que desee conceder permisos para iniciar flujos de trabajo de manuales de procedimientos.

1. Reemplace los marcadores de posición *region*, *account-id*, *template-name*, *delegated-admin-account-id* y *job-function* con valores para sus operaciones de Change Manager.

1. Modifique la lista de la segunda instrucción `Resource` para incluir todas las plantillas de cambio a las que desee conceder permisos. Como alternativa, puede especificar `"Resource": "*"` para conceder permisos a todas las plantillas de cambio de la organización.

1. Elija **Siguiente: etiquetas**.

1. (Opcional) Agregue uno o varios pares de valor etiqueta-clave para organizar, realizar un seguimiento o controlar el acceso a esta política. 

1. Elija **Siguiente: Revisar**.

1. En la página **Review policy** (Revisar política), ingrese un nombre en el cuadro **Name** (Nombre), como **MyChangeManagerAssumeRole**, y luego ingrese una descripción opcional.

1. Elija **Create policy** (Crear política) y vaya a [Tarea 2: Creación de un rol de asunción para Change Manager](#change-manager-role).

## Tarea 2: Creación de un rol de asunción para Change Manager
<a name="change-manager-role"></a>

Siga este procedimiento para crear un rol de asunción de Change Manager, un tipo de rol de servicio, para Change Manager.

**Para crear un rol de asunción para Change Manager**

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Roles** y luego seleccione **Crear rol**.

1. En **Select trusted entity** (Seleccionar entidad de confianza), realice las siguientes elecciones:

   1. En **Trusted entity type** (Tipo de entidad de confianza), elija **AWS service** (Servicio de )

   1. En **Use cases for other Servicios de AWS**, (Casos de uso de otros ), elija **Systems Manager**

   1. Elija **Systems Manager**, como aparece en la siguiente imagen.  
![\[Captura de pantalla que muestra la opción de Systems Manager seleccionada como caso de uso.\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/images/iam_use_cases_for_MWs.png)

1. Elija **Siguiente**.

1. En la página **Attached permissions policy** (Política de permisos adjuntos), busque la política de rol de asunción que haya creado en [Tarea 1: Creación de una política de rol de asunción para Change Manager](#change-manager-role-policy), como, por ejemplo, **MyChangeManagerAssumeRole**. 

1. Seleccione la casilla de verificación situada junto al nombre de la política de rol de asunción, y luego elija **Next: Tags** (Siguiente: Etiquetas).

1. En **Role name** (Nombre del rol), ingrese un nombre para el nuevo perfil de instancias, por ejemplo, **MyChangeManagerAssumeRole**.

1. (Opcional) En **Description** (Descripción), actualice la descripción de este rol de instancia.

1. (Opcional) Agregue uno o varios pares de valor etiqueta-clave para organizar, realizar un seguimiento o controlar el acceso a este rol. 

1. Elija **Siguiente: Revisar**.

1. (Opcional) En **Tags** (Etiquetas), agregue uno o varios pares de valores etiqueta-clave para organizar, seguir o controlar el acceso a este rol, y luego elija **Create role** (Crear rol). El sistema le devuelve a la página **Roles**.

1. Elija **Create role**. El sistema le devuelve a la página **Roles**.

1. En la página **Roles**, elija el rol que acaba de crear para abrir la página **Summary (Resumen)**. 

## Tarea 3: Adición de la política `iam:PassRole` a otros roles
<a name="change-manager-passpolicy"></a>

Utilice el siguiente procedimiento para adjuntar la política `iam:PassRole` a un perfil de instancias de IAM o rol de servicio de IAM. (El servicio Systems Manager utiliza perfiles de instancia de IAM para comunicarse con instancias de EC2. En el caso de los nodos administrados que no son de EC2 en un entorno [híbrido y multinube](operating-systems-and-machine-types.md#supported-machine-types), se utiliza en su lugar un rol de servicio de IAM).

Al adjuntar la política `iam:PassRole`, el servicio Change Manager puede transferir permisos de rol de asunción a otros servicios o herramientas de Systems Manager cuando se ejecutan flujos de trabajo de manuales de procedimientos.

**Para adjuntar la política `iam:PassRole` a un perfil de instancia o rol de servicio de IAM**

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Seleccione **Roles** en el panel de navegación.

1. Busque el rol de asunción Change Manager que haya creado, como, por ejemplo, **MyChangeManagerAssumeRole**, y elija su nombre.

1. En la página **Summary** (Resumen) del rol de asunción, elija la pestaña **Permissions** (Permisos).

1. Elija **Add permissions, Create inline policy** (Agregar permisos, Crear política insertada).

1. En la página **Create policy** (Crear política), elija la pestaña **Visual editor** (Editor visual).

1. Elija **Service** (Servicio) y, a continuación, **IAM**.

1. En el cuadro de texto **Filter actions** (Filtrar acciones), ingrese **PassRole**, y luego elija la opción **PassRole**.

1. Expanda **Resources** (Recursos). Compruebe que esté seleccionado **Specific (Específicos)** y elija **Add ARN (Añadir ARN)**.

1. En el campo **Specify ARN for role** (Especificar ARN para el rol), ingrese el ARN del rol de perfil de instancias de IAM o del rol de servicio de IAM al que desee transferir permisos de rol de asunción. El sistema rellena los campos **Account (Cuenta)** y **Role name with path (Nombre del rol con ruta)**. 

1. Elija **Add (Agregar)**.

1. Elija **Review policy** (Revisar política).

1. En **Name** (Nombre), ingrese un nombre para identificar esta política, y luego elija **Create policy** (Crear política).

**Más información**  
+ [Configuración de permisos de instancia requeridos para Systems Manager](setup-instance-permissions.md)
+ [Creación del rol de servicio de IAM requerido para Systems Manager en entornos híbridos y multinube](hybrid-multicloud-service-role.md)

## Tarea 4: Adición de políticas insertadas a un rol de asunción para invocar a otros Servicios de AWS
<a name="change-manager-role-add-inline-policy"></a>

Si una solicitud de cambio invoca otros Servicios de AWS mediante el rol de asunción Change Manager, este debe tener permiso para invocar esos servicios. Este requisito se aplica a todos los manuales de procedimientos de AWS Automation (manuales de procedimientos AWS-\$1) que se puedan utilizar en una solicitud de cambio, como los manuales de procedimientos `AWS-ConfigureS3BucketLogging`, `AWS-CreateDynamoDBBackup` y `AWS-RestartEC2Instance`. Este requisito también se aplica a cualquier manual de procedimientos personalizado que cree para invocar otros Servicios de AWS mediante acciones que llaman a otros servicios. Por ejemplo, si utiliza las acciones `aws:executeAwsApi`, `aws:CreateStack` o `aws:copyImage`, debe configurar el rol de servicio con el permiso necesario para invocar esos servicios. Puede habilitar permisos para otros Servicios de AWS si agrega una política insertada de IAM al rol. 

**Para agregar una política insertada a un rol de asunción para invocar otros Servicios de AWS (consola de IAM)**

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Seleccione **Roles** en el panel de navegación.

1. En la lista, elija el nombre del rol de asunción que desee actualizar, como, por ejemplo, `MyChangeManagerAssumeRole`.

1. Elija la pestaña **Permisos**.

1. Elija **Add permissions, Create inline policy** (Agregar permisos, Crear política insertada).

1. Seleccione la pestaña **JSON**.

1. Ingrese un documento de política JSON para los Servicios de AWS que desee invocar. A continuación se muestran dos documentos de política JSON a modo de ejemplo.

   **Ejemplo de `PutObject` y `GetObject` de Amazon S3**

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "s3:PutObject",
                   "s3:GetObject"
               ],
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
           }
       ]
   }
   ```

------

   **Ejemplo de `CreateSnapshot` y `DescribeSnapShots` de Amazon EC2**

------
#### [ JSON ]

****  

   ```
   {
      "Version":"2012-10-17",		 	 	 
      "Statement":[
         {
            "Effect":"Allow",
            "Action":"ec2:CreateSnapshot",
            "Resource":"*"
         },
         {
            "Effect":"Allow",
            "Action":"ec2:DescribeSnapshots",
            "Resource":"*"
         }
      ]
   }
   ```

------

    Para obtener información sobre el lenguaje de las políticas de IAM, consulte [Referencia de políticas JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) en la *Guía del usuario de IAM*.

1. Cuando haya terminado, elija **Review policy (Revisar política)**. El [validador de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) notifica los errores de sintaxis.

1. En **Name** (Nombre), ingrese un nombre para identificar la política que está creando. Revise el **Summary** (Resumen) de la política para ver los permisos concedidos por su política. A continuación, elija **Create policy** (Crear política) para guardar su trabajo.

1. Una vez que cree una política insertada, se integra de manera automática a su rol.

## Tarea 5: Configuración del acceso de usuario a Change Manager
<a name="change-manager-passrole"></a>

Si el usuario, grupo o rol tiene asignados permisos de administrador, entonces tiene acceso a Change Manager. Si no tiene permisos de administrador, un administrador debe asignar la política administrada `AmazonSSMFullAccess` o una política que proporcione permisos comparables a su usuario, grupo o rol.

Utilice el siguiente procedimiento a fin de configurar un usuario para utilizar Change Manager. El usuario que elija tendrá permiso para configurar y ejecutar Change Manager. 

Según la aplicación de identidad que utilice en su organización, puede seleccionar cualquiera de las tres opciones disponibles para configurar el acceso del usuario. Al configurar el acceso del usuario, asigne o agregue lo siguiente: 

1. Asigne la política `AmazonSSMFullAccess` o una política comparable que proporcione permiso para acceder a Systems Manager.

1. Asigne la política `iam:PassRole`.

1. Agregue el ARN del rol de asunción de Change Manager que copió al final de [Tarea 2: Creación de un rol de asunción para Change Manager](#change-manager-role).

Para dar acceso, agregue permisos a los usuarios, grupos o roles:
+ Usuarios y grupos en AWS IAM Identity Center:

  Cree un conjunto de permisos. Siga las instrucciones de [Creación de un conjunto de permisos](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) en la *Guía del usuario de AWS IAM Identity Center*.
+ Usuarios gestionados en IAM a través de un proveedor de identidades:

  Cree un rol para la federación de identidades. Siga las instrucciones descritas en [Creación de un rol para un proveedor de identidad de terceros (federación)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) en la *Guía del usuario de IAM*.
+ Usuarios de IAM:
  + Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en [Creación de un rol para un usuario de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) en la *Guía del usuario de IAM*.
  + (No recomendado) Adjunte una política directamente a un usuario o agregue un usuario a un grupo de usuarios. Siga las instrucciones descritas en [Adición de permisos a un usuario (consola)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) de la *Guía del usuario de IAM*.

Ha terminado de configurar los roles requeridos para Change Manager. A partir de ahora, puede utilizar el ARN del rol de asunción Change Manager en las operaciones de Change Manager.

# Control de acceso a flujos de trabajo de manual de procedimientos de aprobación automática
<a name="change-manager-auto-approval-access"></a>

**Cambio en la disponibilidad de Change Manager**  
Change Manager de AWS Systems Manager dejará de estar disponible para nuevos clientes a partir del 7 de noviembre de 2025. Si desea utilizar Change Manager, regístrese antes de esa fecha. Los clientes existentes pueden seguir utilizando el servicio con normalidad. Para obtener más información, consulte [Cambio en la disponibilidad de Change Manager de AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html). 

En cada plantilla de cambios creada para su organización o cuenta, puede especificar si las solicitudes de cambio que se creen a partir de esa plantilla pueden ejecutarse como solicitudes de cambio de aprobación automática, lo que significa que se ejecutan automáticamente sin ningún paso de revisión (con la excepción de los eventos de congelación de cambios).

Sin embargo, es posible que desee evitar que ciertos usuarios, grupos o roles de AWS Identity and Access Management (IAM) ejecuten solicitudes de cambio de aprobación automática, incluso si una plantilla de cambios lo permite. Puede hacerlo mediante el uso de la clave de condición `ssm:AutoApprove` para la operación `StartChangeRequestExecution` en una política de IAM asignada al usuario, al grupo o al rol de IAM. 

Puede agregar la siguiente política como una política insertada, donde la condición se especifica como `false`, para evitar que los usuarios ejecuten solicitudes de cambio de aprobación automática.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
            {
            "Effect": "Allow",
            "Action": "ssm:StartChangeRequestExecution",
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "ssm:AutoApprove": "false"
                }
            }
        }
    ]
}
```

------

Para obtener más información acerca de cómo especificar políticas insertadas, consulte [Políticas insertadas](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_managed-vs-inline.html#inline-policies) y [Agregado y eliminación de permisos de identidad de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-attach-detach.html) en la *Guía del usuario de IAM*.

Para obtener más información sobre las claves de condición de las políticas de Systems Manager, consulte[Claves de condición de Systems Manager](security_iam_service-with-iam.md#policy-conditions).