• El panel de AWS Systems Manager CloudWatch dejará de estar disponible después del 30 de abril de 2026. Los clientes pueden seguir utilizando la consola de Amazon CloudWatch para ver, crear y administrar sus paneles de Amazon CloudWatch, tal y como lo hacen actualmente. Para obtener más información, consulte la [documentación del panel de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
# Cómo controlar el acceso a periodos de mantenimiento mediante la consola
Los siguientes procedimientos describen cómo usar la consola de AWS Systems Manager para crear los permisos y los roles necesarios para periodos de mantenimiento.
**Topics**
+ [Tarea 1: cree una política personalizada para el rol de servicio de periodo de mantenimiento mediante la consola](#create-custom-policy-console)
+ [Tarea 2: cree un rol de servicio personalizado para periodos de mantenimiento mediante la consola](#create-custom-role-console)
+ [Tarea 3: conceda permisos a usuarios específicos para registrar tareas de periodos de mantenimiento mediante la consola](#allow-maintenance-window-access-console)
+ [Tarea 4: impida que usuarios específicos registren las tareas de periodos de mantenimiento mediante la consola](#deny-maintenance-window-access-console)
## Tarea 1: cree una política personalizada para el rol de servicio de periodo de mantenimiento mediante la consola
Las tareas de periodo de mantenimiento requieren un rol de IAM para proporcionar los permisos necesarios para su ejecución en los recursos de destino. Los permisos se conceden mediante una política de IAM asociada al rol. El contenido de esta política lo determinan los tipos de tareas que se ejecutan y el resto de requisitos operativos. Proporcionamos una política básica que se puede adaptar a sus necesidades. En función de las tareas y los tipos de tareas que ejecuten los periodos de mantenimiento, es posible que no necesite todos los permisos de esta política, o que tenga que incluir permisos adicionales. Más tarde adjuntará esta política al rol que cree en [Tarea 2: cree un rol de servicio personalizado para periodos de mantenimiento mediante la consola](#create-custom-role-console).
**Cómo crear una política personalizada mediante la consola**
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, seleccione **Policies (Políticas)** y, a continuación, seleccione **Create policy (Crear política)**.
1. En el área del **Editor de políticas**, elija **JSON**.
1. Reemplace el contenido predeterminado con lo siguiente:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:SendCommand",
"ssm:CancelCommand",
"ssm:ListCommands",
"ssm:ListCommandInvocations",
"ssm:GetCommandInvocation",
"ssm:GetAutomationExecution",
"ssm:StartAutomationExecution",
"ssm:ListTagsForResource",
"ssm:DescribeInstanceInformation",
"ssm:GetParameters"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"states:DescribeExecution",
"states:StartExecution"
],
"Resource": [
"arn:aws:states:*:*:execution:*:*",
"arn:aws:states:*:*:stateMachine:*"
]
},
{
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*"
]
},
{
"Effect": "Allow",
"Action": [
"resource-groups:ListGroups",
"resource-groups:ListGroupResources"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/maintenance-window-role-name",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"ssm.amazonaws.com"
]
}
}
}
]
}
```
------
1. Modifique el contenido JSON de acuerdo con lo que necesiten las tareas de mantenimiento que ejecute en la cuenta. Los cambios que realice son específicos de las operaciones planificadas.
Por ejemplo:
+ Puede proporcionar nombres de recursos de Amazon (ARN) para funciones y máquinas de estado específicas en lugar de utilizar calificadores comodín (\$1).
+ Si no tiene previsto ejecutar tareas de AWS Step Functions, puede quitar los permisos y ARN de `states`.
+ Si no tiene previsto ejecutar tareas de AWS Lambda, puede quitar los permisos y ARN de `lambda`.
+ Si no tiene previsto ejecutar tareas de automatización, puede quitar los permisos `ssm:GetAutomationExecution` y `ssm:StartAutomationExecution`.
+ Agregue permisos adicionales que puedan ser necesarios para que se ejecuten las tareas. Por ejemplo, algunas acciones de Automation trabajan con pilas de AWS CloudFormation. Por lo tanto, los permisos `cloudformation:CreateStack`, `cloudformation:DescribeStacks` y `cloudformation:DeleteStack` son obligatorios.
Otro ejemplo es el manual de procedimientos de Automation `AWS-CopySnapshot`, que requiere permisos para crear una instantánea de Amazon Elastic Block Store (Amazon EBS). Por lo tanto, el rol de servicio necesita los permisos `ec2:CreateSnapshot`.
Para obtener información acerca de los permisos de rol que necesitan los manuales de procedimientos de automatización, consulte las descripciones de documentos en la [Referencia de manuales de procedimientos de Automatización de AWS Systems Manager](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-runbook-reference.html).
1. Cuando haya completado las revisiones de la política, elija **Siguiente**.
1. En **Nombre de la política**, ingrese un nombre que identifique esta como la política asociada al rol de servicio de que cree. Por ejemplo: **my-maintenance-window-role-policy**.
1. (Opcional) En el área de **Agregar etiquetas**, agregue uno o varios pares de valor etiqueta-clave para organizar, realizar un seguimiento o controlar el acceso a esta política.
1. Elija **Crear política**.
Anote el nombre que haya especificado para la política. Hará referencia a él en el siguiente procedimiento, [Tarea 2: cree un rol de servicio personalizado para periodos de mantenimiento mediante la consola](#create-custom-role-console).
## Tarea 2: cree un rol de servicio personalizado para periodos de mantenimiento mediante la consola
La política que se crea en la tarea anterior se asocia al rol de servicio del periodo de mantenimiento que se crea en esta tarea. Cuando los usuarios registran una tarea de periodo de mantenimiento, especifican este rol de IAM como parte de la configuración de la tarea. Los permisos de este rol autorizan a Systems Manager a ejecutar tareas en periodos de mantenimiento en su nombre.
**importante**
Antes, la consola de Systems Manager ofrecía la posibilidad de elegir el rol vinculado a servicio de IAM `AWSServiceRoleForAmazonSSM` administrado de AWS que utilizar como rol de mantenimiento para las tareas. Ya no se recomienda utilizar este rol y su política asociada, `AmazonSSMServiceRolePolicy`, para tareas de periodo de mantenimiento. Si está utilizando actualmente este rol para tareas de periodo de mantenimiento, le recomendamos que deje de hacerlo. En su lugar, cree su propio rol de IAM que permita la comunicación entre Systems Manager y otros Servicios de AWS cuando se ejecuten las tareas de periodo de mantenimiento.
Utilice el siguiente procedimiento para crear un rol de servicio personalizado para Maintenance Windows, de modo que Systems Manager pueda ejecutar tareas de Maintenance Windows en su nombre. Asocie la política que ha creado en la tarea anterior al rol de servicio personalizado que cree.
**Cómo crear un rol de servicio personalizado para periodos de mantenimiento mediante la consola**
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, seleccione **Roles** y luego seleccione **Crear rol**.
1. En **Select trusted entity** (Seleccionar entidad de confianza), realice las siguientes elecciones:
1. En **Tipo de entidad de confianza**, elija **Servicio de AWS**.
1. En **Caso de uso**, elija **Systems Manager**
1. Elija **Configurar Systems Manager**.
La siguiente imagen resalta la ubicación de la opción Systems Manager.
![\[Systems Manager es una de las opciones de Caso de uso.\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/images/iam_use_cases_for_MWs.png)
1. Elija **Siguiente**.
1. En el área de **Políticas de permisos**, en el cuadro de búsqueda, ingrese el nombre de la política que ha creado en [Tarea 1: cree una política personalizada para el rol de servicio de periodo de mantenimiento mediante la consola](#create-custom-policy-console), seleccione la casilla situada junto a su nombre y, a continuación, elija **Siguiente**.
1. En el campo **Role name** (Nombre del rol), ingrese un nombre que identifique a este rol como un rol de Maintenance Windows. Por ejemplo: **my-maintenance-window-role**.
1. (Opcional) Puede cambiar la descripción predeterminada del rol para que refleje su finalidad. Por ejemplo: **Performs maintenance window tasks on your behalf**.
1. Para el **Paso 1: selección de entidades de confianza**, compruebe que la siguiente política aparezca en el cuadro **Política de confianza**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. En el **Paso 2: agregado de permisos**, compruebe que la política que creó en [Tarea 1: cree una política personalizada para el rol de servicio de periodo de mantenimiento mediante la consola](#create-custom-policy-console) esté presente.
1. (Opcional) En el **Paso 3: agregado de etiquetas**, agregue uno o varios pares de valor etiqueta-clave para organizar, realizar un seguimiento o controlar el acceso a este rol.
1. Elija **Create role**. El sistema le devuelve a la página **Roles**.
1. Elija el nombre del rol de IAM que acaba de crear.
1. Copie o anote el nombre del rol y el valor del **ARN** del área **Summary** (Resumen). Los usuarios de la cuenta tendrán que especificar esta información cuando creen periodos de mantenimiento.
## Tarea 3: conceda permisos a usuarios específicos para registrar tareas de periodos de mantenimiento mediante la consola
Conceder a los usuarios permisos para acceder al rol de servicio del periodo de mantenimiento personalizado les permite utilizarlo con sus tareas de periodos de mantenimiento. Esto se suma a los permisos que ya se les haya concedido para utilizar los comandos de la API de Systems Manager para la herramienta de Maintenance Windows. Este rol de IAM transmite los permisos necesarios para ejecutar una tarea de periodo de mantenimiento. Como resultado, un usuario no puede registrar tareas con un periodo de mantenimiento mediante el rol de servicio personalizado sin la posibilidad de transferir esos permisos de IAM.
Cuando registra una tarea en un periodo de mantenimiento, debe especificar un rol de servicio para ejecutar las operaciones de la tarea real. Este es el rol que el servicio asume cuando ejecuta las tareas en su nombre. Antes de eso, para registrar la tarea en sí, asigne la política de IAM `PassRole` a una entidad de IAM (como un usuario o un grupo). Esto permite que la entidad de IAM especifique, como parte del registro de esas tareas con el periodo de mantenimiento, el rol que se debe usar al ejecutar tareas. Para obtener más información, consulte [Concesión de permisos a un usuario para transferir un rol a un Servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) en la *Guía del usuario de IAM*.
**Cómo configurar permisos para que los usuarios puedan registrar tareas de periodos de mantenimiento**
Si una entidad de IAM (usuario, rol o grupo) está configurada con permisos de administrador, el usuario de IAM o el rol tendrá acceso a los periodos de mantenimiento. Para las entidades de IAM sin permisos de administrador, el administrador debe conceder los siguientes permisos a la entidad de IAM. Estos son los permisos mínimos necesarios para registrar tareas con un periodo de mantenimiento:
+ La política administrada `AmazonSSMFullAccess`, o una política que proporcione permisos comparables.
+ Los siguientes permisos `iam:PassRole` y `iam:ListRoles`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/my-maintenance-window-role"
},
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "arn:aws:iam::111122223333:role/"
},
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "arn:aws:iam::111122223333:role/aws-service-role/ssm.amazonaws.com/"
}
]
}
```
------
*my-maintenance-window-role* representa el nombre del rol de servicio del periodo de mantenimiento personalizado que ha creado antes.
*account-id* representa el ID de su Cuenta de AWS. Al agregar este permiso para el recurso `arn:aws:iam::account-id:role/` se permite al usuario ver y elegir entre los roles de cliente en la consola cuando crea una tarea del periodo de mantenimiento. La adición de este permiso para `arn:aws:iam::account-id:role/aws-service-role/ssm.amazonaws.com/` permite al usuario elegir el rol vinculado al servicio de Systems Manager en la consola cuando se crea una tarea del periodo de mantenimiento.
Para dar acceso, agregue permisos a los usuarios, grupos o roles:
+ Usuarios y grupos en AWS IAM Identity Center:
Cree un conjunto de permisos. Siga las instrucciones de [Creación de un conjunto de permisos](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) en la *Guía del usuario de AWS IAM Identity Center*.
+ Usuarios gestionados en IAM a través de un proveedor de identidades:
Cree un rol para la federación de identidades. Siga las instrucciones descritas en [Creación de un rol para un proveedor de identidad de terceros (federación)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) en la *Guía del usuario de IAM*.
+ Usuarios de IAM:
+ Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en [Creación de un rol para un usuario de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) en la *Guía del usuario de IAM*.
+ (No recomendado) Adjunte una política directamente a un usuario o agregue un usuario a un grupo de usuarios. Siga las instrucciones descritas en [Adición de permisos a un usuario (consola)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) de la *Guía del usuario de IAM*.
**Cómo configurar permisos para grupos con autorización para registrar tareas de periodos de mantenimiento mediante la consola**
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, elija **User groups** (Grupos de usuarios).
1. En la lista de grupos, seleccione el nombre del grupo al que desea asignar el permiso `iam:PassRole` o primero cree un nuevo grupo si es necesario
1. En la pestaña **Permissions** (Permisos), elija **Add permissions, Create Inline Policy** (Agregar permisos, Crear política insertada).
1. En el área del **Editor de la política**, elija **JSON** y reemplace los contenidos predeterminados del cuadro con lo siguiente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/my-maintenance-window-role"
},
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "arn:aws:iam::111122223333:role/"
},
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "arn:aws:iam::111122223333:role/aws-service-role/ssm.amazonaws.com/"
}
]
}
```
------
*my-maintenance-window-role* representa el nombre del rol de la ventana de mantenimiento personalizada que ha creado antes.
*account-id* representa el ID de su Cuenta de AWS. Al agregar este permiso para el recurso `arn:aws:iam::account-id:role/` se permite al usuario ver y elegir entre los roles de cliente en la consola cuando crea una tarea del periodo de mantenimiento. La adición de este permiso para `arn:aws:iam::account-id:role/aws-service-role/ssm.amazonaws.com/` permite al usuario elegir el rol vinculado al servicio de Systems Manager en la consola cuando se crea una tarea del periodo de mantenimiento.
1. Elija **Siguiente**.
1. En la página **Revisar política**, ingrese un nombre en el cuadro **Nombre de la política** para identificar esta política `PassRole`, como por ejemplo **my-group-iam-passrole-policy**, y luego, elija **Crear política**.
## Tarea 4: impida que usuarios específicos registren las tareas de periodos de mantenimiento mediante la consola
Puede denegar el permiso `ssm:RegisterTaskWithMaintenanceWindow` a los usuarios de la Cuenta de AWS que no desee que registren tareas en periodos de mantenimiento. Esto proporciona una capa adicional de protección frente a usuarios que no deban registrar tareas de periodo de mantenimiento.
**Cómo configurar permisos para grupos que no pueden asignar tareas de periodos de mantenimiento mediante la consola**
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, elija **User groups** (Grupos de usuarios).
1. En la lista de grupos, seleccione el nombre del grupo al que desea denegar el formulario de permiso `ssm:RegisterTaskWithMaintenanceWindow`, o primero cree un nuevo grupo si es necesario.
1. En la pestaña **Permissions** (Permisos), elija **Add permissions, Create Inline Policy** (Agregar permisos, Crear política insertada).
1. En el área del **Editor de la política**, elija **JSON** y, luego, reemplace los contenidos predeterminados del cuadro con lo siguiente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ssm:RegisterTaskWithMaintenanceWindow",
"Resource": "*"
}
]
}
```
------
1. Elija **Siguiente**.
1. En la página **Revisar y crear**, ingrese un nombre en **Nombre de la política** para identificar esta política, como por ejemplo **my-groups-deny-mw-tasks-policy** y, luego, elija **Crear política**.