• El panel de AWS Systems Manager CloudWatch dejará de estar disponible después del 30 de abril de 2026. Los clientes pueden seguir utilizando la consola de Amazon CloudWatch para ver, crear y administrar sus paneles de Amazon CloudWatch, tal y como lo hacen actualmente. Para obtener más información, consulte la [documentación del panel de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
# Cómo ejecutar tareas de administración de nodos con AWS Systems Manager
En los siguientes temas se describe cómo hacer las tareas de nodos comunes mediante la consola de AWS Systems Manager unificada para una organización de AWS Organizations y Cuentas de AWS individuales.
**Topics**
+ [Revisión de la información sobre los nodos](review-node-insights.md)
+ [Exploración de nodos](view-aggregated-node-details.md)
+ [Acceso a los nodos justo a tiempo mediante Systems Manager](systems-manager-just-in-time-node-access.md)
+ [Diagnóstico y corrección](diagnose-and-remediate.md)
+ [Ajuste de la configuración de Systems Manager](settings-overview.md)
# Revisión de la información sobre los nodos
Puede obtener información sobre el estado general de los nodos administrados y las instancias de EC2 no administradas de su organización o cuenta mediante la consola unificada de Systems Manager.
Systems Manager proporciona una información general visual de los nodos administrados y las instancias de EC2 que aún no administra Systems Manager. (Un nodo administrado es cualquier equipo configurado para su uso con Systems Manager en entornos [híbridos y multinube](operating-systems-and-machine-types.md#supported-machine-types). Para obtener información acerca de los tipos de equipos compatibles, consulte [Tipos de equipos compatibles con entornos híbridos y multinube](operating-systems-and-machine-types.md#supported-machine-types).)
Esta información general se proporciona a través de cuadros de informes individuales, denominados *widgets*, que incluyen gráficos circulares interactivos y otros gráficos.
**Antes de empezar**
Para revisar la información sobre los nodos, debe incorporar antes su organización o cuenta a la consola unificada de Systems Manager. Para obtener más información, consulte [Configuración de AWS Systems Manager](systems-manager-setting-up-console.md).
Tras la incorporación, abra la [consola de Systems Manager](https://console.aws.amazon.com/systems-manager/explorer) y elija **Revisión de información de nodos**.
En la siguiente imagen se muestran algunos de los cuadros de informe individuales, llamados *widgets*, que están disponibles en la página **Revisión de información de nodos**.
![\[Datos de los nodos que se muestran en la página Revisión de información de nodos de Systems Manager\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/images/SYS2-Dashboard-Nodes.png)
En la pantalla se admiten widgets que le proporcionan la siguiente información.
**Resumen de nodos**
Indica cuántas instancias de EC2 de su organización o cuenta no son nodos administrados actualmente y cuántos nodos administrados hay en la flota de su organización o cuenta.
**¿Qué es una instancia no administrada?**
Cuando detiene una instancia EC2 administrada, aparece como "No administrada" en la consola de Systems Manager. Este es el comportamiento esperado porque SSM Agent no tiene una conexión activa en el servicio.
Esto es diferente de la forma en que AWS Config define una instancia como no administrada. Si una instancia se detiene en este momento, AWS Config informa cuál era el estado de la instancia la última vez que se estableció una conexión de "latido" entre SSM Agent en la instancia y el servicio Systems Manager.
Cuando la instancia se reinicia, se vuelve a conectar automáticamente al servicio Systems Manager y su estado en la consola unificada se restablece a "Administrada" en cinco minutos. No se requiere ninguna intervención manual y todas la configuración de Systems Manager de la instancia se conservan durante el ciclo de Detención/Inicio.
Sin embargo, si la instancia sigue sin aparecer como "Administrada" varios minutos después de iniciarse, es probable que no esté configurada correctamente para la administración de Systems Manager. En este caso, recomendamos ejecutar un diagnóstico para identificar la razón por la que la instancia permanece en un estado no administrado. Para obtener más información, consulte [Diagnóstico y corrección de instancias de Amazon EC2 no administradas en Systems Manager](remediating-unmanaged-instances.md).
Si el análisis de diagnóstico no puede determinar el problema, consulte los siguientes temas para comprobar que se cumplen todos los requisitos para SSM Agent, los roles AWS Identity and Access Management (IAM) y los requisitos previos de Systems Manager:
+ [Resolución de problemas de SSM Agent](troubleshooting-ssm-agent.md)
+ [Configuración de permisos de instancia requeridos para Systems Manager](setup-instance-permissions.md)
+ [Solución de problemas de disponibilidad de nodos administrados](fleet-manager-troubleshooting-managed-nodes.md)
**Tipos de nodos administrados**
Indica cuántos nodos administrados de su flota son instancias de EC2 y cuántos son de otros tipos de servidores, lo que incluye servidores en sus propias instalaciones (servidores en las instalaciones), dispositivos principales de AWS IoT Greengrass y dispositivos de periferia de AWS IoT y que no son de AWS, además de máquinas virtuales (VM), lo que incluye VM en otros entornos en la nube. Puede pasar el ratón sobre el gráfico **Tipos de nodos** para acceder a los enlaces con más información en la página **Exploración de nodos**.
Para obtener más información acerca de la compatibilidad de AWS con entornos híbridos y multinube, consulte [Soluciones de AWS para entornos híbridos y multinube](https://aws.amazon.com/hybrid-multicloud/).
**Versiones de SSM Agent**
Proporciona información acerca de las instalaciones de AWS Systems Manager Agent (SSM Agent) en su flota. SSM Agent es un software de Amazon que se ejecuta en los nodos administrados. SSM Agent permite que Systems Manager actualice, administre y configure estos recursos. El agente procesa las solicitudes del servicio de Systems Manager en la Nube de AWS y, a continuación, las ejecuta como se especifica en la solicitud.
En el caso de los nodos administrados de su flota, este widget informa sobre las versiones de SSM Agent de su flota, desde la más reciente hasta la más antigua. Puede pasar el ratón sobre el gráfico **Versiones deSSM Agent** para acceder a los enlaces con más información en la página **Exploración de nodos**.
Para obtener más información acerca de SSM Agent, consulte [Uso de SSM Agent](ssm-agent.md).
**Sistemas operativos de nodos administrados**
Proporciona un desglose del porcentaje de cada sistema operativo en los nodos administrados de su flota. Puede pasar el ratón sobre el gráfico **Nodos administrados por sistemas operativos** para acceder a los enlaces con más información en la página **Exploración de nodos**.
Puede personalizar el diseño de los widgets en la página **Revisión de información de nodos** mediante una funcionalidad de arrastrar y soltar widgets, además de eliminar widgets y agregarlos a la pantalla.
Use la información de los siguientes temas para trabajar con los widgets de información de nodos de Systems Manager.
**Topics**
+ [Adición o eliminación de widgets de la página **Revisión de información de nodos**](review-node-insights-add-and-remove-widgets.md)
+ [Reorganización de los widgets en la página **Revisión de información de nodos**](review-node-insights-rearrange-widgets.md)
# Adición o eliminación de widgets de la página **Revisión de información de nodos**
Para personalizar el diseño de la página **Revisión de información de nodos** de Systems Manager, agregue y elimine widgets.
**nota**
De manera predeterminada, la página muestra todos los widgets disponibles.
**Adición o eliminación de widgets de la página **Revisión de información de nodos****
1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. En el panel de navegación izquierdo, elija **Revisión de información de nodos**.
1. Para eliminar un widget de la pantalla, haga lo siguiente:
1. Elija el menú Más opciones (![\[The More options menu\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/images/more-options-menu-widgets.png)) para el widget.
1. Elija **Eliminar widget**.
1. Para agregar un widget a la pantalla, haga lo siguiente:
1. Elija **Añadir widget**.
1. En el panel **Agregar widgets**, haga clic y mantenga pulsado el controlador de arrastre (![\[The drag handle\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/images/drag-handle-dashboard.png)) del widget para agregarlo a la pantalla.
1. Arrastre el widget y suéltelo en el panel principal.
# Reorganización de los widgets en la página **Revisión de información de nodos**
Puede personalizar el diseño de la página **Revisión de información de nodos** al reorganizar los widgets.
**Reorganización de los widgets de la página **Revisión de información de nodos****
1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. En el panel de navegación, elija **Revisión de información de nodos**.
1. Para personalizar el diseño del widget, elija el widget que quiere mover. Haga clic y mantenga presionado el controlador de arrastre (![\[The drag handle\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/images/drag-handle-dashboard.png)) y, a continuación, arrástrelo a su nueva ubicación.
1. Repita este proceso para cada widget que desee cambiar de posición.
Si decide que no le gusta el nuevo diseño, elija **Restablecer el diseño predeterminado** para mover todos los widgets a su ubicación original.
# Exploración de nodos
Puede utilizar la página **Explorar nodos** de Systems Manager para revisar los detalles de los nodos administrados de su organización o cuenta de acuerdo con los criterios que especifique en los filtros. También puede utilizar la integración de Systems Manager con Amazon Q Developer (Amazon Q), una solución de IA generativa de AWS, para hacer búsquedas mediante petiociones de texto.
**Antes de empezar**
Para utilizar la característica **Explorar nodos**, debe incorporar antes su organización o cuenta a la consola unificada de Systems Manager. Para obtener más información, consulte [Cómo configurar la consola unificada de Systems Manager para una organización](systems-manager-setting-up-organizations.md).
Tras la incorporación, abra la [consola de Systems Manager](https://console.aws.amazon.com/systems-manager/) y seleccione **Explorar nodos**.
**nota**
Si creó un índice agregador de Resource Explorer en una región distinta a la de su región local, Systems Manager degradará el índice actual. Posteriormente, Systems Manager promocionará el índice local de su región local como el nuevo índice agregador. Durante este periodo, solo se muestran los nodos de su región local. Este proceso puede tardar hasta 24 horas en completarse.
**Topics**
+ [Exploración de nodos mediante filtros de consola](view-aggregated-node-details-console.md)
+ [Exploración de nodos mediante peticiones de texto en Amazon Q](view-aggregated-node-details-Q.md)
+ [Visualización de los detalles de los nodos individuales y realización de acciones en un nodo](node-detail-actions.md)
+ [Descarga o exportación de un informe de nodos administrados](explore-nodes-download-report.md)
+ [Administración del contenido y de la apariencia de los informes de nodos](explore-nodes-manage-report-display.md)
# Exploración de nodos mediante filtros de consola
En la consola de Systems Manager, puede agrupar los nodos administrados de la siguiente manera:
------
#### [ All nodes (No filter) ]
Lista de todos los nodos administrados de la organización o de la cuenta.
![\[Una lista de los nodos administrados en la página Explorar nodos\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/images/2-explore-nodes-managed-nodes.png)
------
#### [ Node types ]
Proporciona pestañas para ver los datos por separado de las instancias de Amazon Elastic Compute Cloud (Amazon EC2) y de otros tipos de máquinas, además de servidores en sus propias instalaciones (servidores en las instalaciones), dispositivos principales de AWS IoT Greengrass y dispositivos de periferia de AWS IoT y que no son de AWS, así como máquinas virtuales (VM), incluidas las que están en otros entornos en la nube.
![\[Listas de nodos administrados en pestañas de tipos de nodos\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/images/2-explore-nodes-node-types.png)
------
#### [ Operating systems ]
Proporciona una pestaña para cada tipo de sistema operativo de la organización o cuenta, como **Amazon Linux** y **Microsoft Windows Server 2022 Datacenter**. En cada pestaña, puede filtrar aún más la lista si selecciona solo versiones específicas de los sistemas operativos, como *Amazon Linux 2* y *Amazon Linux 2023*.
![\[Listas de nodos administrados en las pestañas del sistema operativo\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/images/2-explore-nodes-operating-system.png)
------
#### [ SSM Agent versions ]
Proporciona una pestaña para cada versión de SSM Agent instalada en los nodos administrados de su flota. En cada pestaña, puede filtrar aún más la lista si selecciona solo versiones específicas de los sistemas operativos, como **Amazon Linux** y **Microsoft Windows Server 2022 Datacenter**.
![\[Listas de nodos administrados en las pestañas de los agentes\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/images/2-explore-nodes-agent-versions.png)
------
Además, en cada una de estas vistas, puedes refinar aún más la lista de nodos notificados si elige ver solo los nodos de una propiedad determinada, como el estado del nodo, el ID de la Cuenta de AWS, el ID de la unidad organizativa, etc.
Puede personalizar la visualización del informe al elegir qué columnas de datos disponibles se mostrarán en la página **Explorar nodos**. También puede descargar informes en formatos `CSV` y `JSON` o exportarlos a Amazon S3 en formato `CSV`.
**Topics**
+ [Elección de una vista de filtros para los resúmenes de nodos administrados](explore-nodes-filter-view.md)
# Elección de una vista de filtros para los resúmenes de nodos administrados
La página **Explorar nodos** de Systems Manager le permite ver datos agregados sobre su flota de acuerdo con una serie de vistas de filtros disponibles.
**Elección de una vista de filtros para los resúmenes de nodos administrados**
1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. En el panel de navegación, elija **Explorar nodos**.
1. En **Vista de filtros**, seleccione una de las opciones de filtro y, si lo desea, restrinja aún más el informe:
+ **Nodos administrados**: en el cuadro de búsqueda (![\[The search icon\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/images/search-icon.png)), puede seleccionar una propiedad y un delimitador, como `Node type = Managed EC2 instances`.
+ **Sistemas operativos**: en la lista **Filtrado de versiones de sistemas operativos**, puede seleccionar un número de versión del sistema operativo. En el cuadro de búsqueda (![\[The search icon\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/images/search-icon.png)), puede seleccionar una propiedad y un delimitador, como `Node type = Managed EC2 instances`.
+ **Versiones de SSM Agent**: en la lista **Filtrado de sistemas operativos**, puede seleccionar un número de versión del sistema operativo. En el cuadro de búsqueda (![\[The search icon\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/images/search-icon.png)), puede seleccionar una propiedad y un delimitador, como `Node type = Managed EC2 instances`.
+ **Tipos de nodos**: en la lista **Filtrado de sistemas operativos**, puede seleccionar un nombre del sistema operativo. En el cuadro de búsqueda (![\[The search icon\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/images/search-icon.png)), puede seleccionar una propiedad y un delimitador, como `Node type = Managed EC2 instances`.
Si lo desea, puede filtrar la lista. A continuación, para ver los detalles de un nodo administrado específico, elija el ID en la columna **ID de nodo**. Desde esa vista detallada, puede realizar una serie de acciones en el nodo.
# Exploración de nodos mediante peticiones de texto en Amazon Q
Gracias a la integración de Systems Manager con Amazon Q Developer, puede usar peticiones de texto para ver la información creada por la IA generativa sobre los nodos administrados.
Amazon Q Developer es un asistente conversacional con tecnología de IA generativa que resulta útil a la hora de comprender, crear, ampliar y utilizar aplicaciones de AWS. A fin de acelerar la creación en AWS, el modelo que hay tras Amazon Q se ha optimizado con contenidos de AWS de alta calidad para generar respuestas más completas, con un mayor volumen de referencias y con las que sea posible tomar más medidas. Para obtener más información, consulte [What is Amazon Q Developer?](https://docs.aws.amazon.com/amazonq/latest/aws-builder-use-ug/what-is.html) en la *Guía del usuario de Amazon Q Developer*.
La integración entre Systems Manager y Amazon Q le permite obtener rápidamente visibilidad y control sobre entornos grandes y distribuidos en varias regiones y Cuentas de AWS. Puede utilizar las consultas en lenguaje natural para buscar rápidamente los datos de nodos y, a continuación, identificar los problemas y tomar medidas con mayor rapidez.
Cuando formula una pregunta en lenguaje natural sobre nodos o instancias administrados, Amazon Q utiliza la acción `ListNodes` de Systems Manager y crea filtros basados en la entrada de texto para recuperar los resultados.
Por ejemplo, supongamos que proporciona a Amazon Q la siguiente petición:
**List my managed nodes running Red Hat Enterprise Linux 9.2**
Amazon Q determina qué filtros incluir en una solicitud y, a continuación, ejecuta una consulta similar a la siguiente:
```
aws ssm list-nodes \
--filters Key=PlatformName,Values='Red Hat Enterprise Linux',Type=Equal Key=PlatformVersion,Values=9.2,Type=Equal
```
Posteriermente, Amazon Q genera un informe sobre las instancias de Red Hat Enterprise Linux de su cuenta, en el que se incluye información como el número de instancias, sus ID y sus regiones.
También puede ver un resumen en JSON de los detalles de cada instancia, así como abrir un enlace para ver las listas completas de nodos administrados o instancias de EC2 en la página **Explorar nodos** de Systems Manager. En **Explorar de nodos** se muestran los resultados que coinciden con los criterios de filtro que incluyó en la petición. Ahí puede cambiar o refinar los filtros de su solicitud, tal y como se describe en [Exploración de nodos](view-aggregated-node-details.md).
**Topics**
+ [Información sobre cómo crear peticiones efectivas para preguntar a Amazon Q sobre su flota](view-aggregated-node-details-Q-prompts.md)
+ [Exploración de los nodos administrados con Amazon Q](explore-managed-nodes-using-Q.md)
# Información sobre cómo crear peticiones efectivas para preguntar a Amazon Q sobre su flota
Cuanto mejor sea la calidad de la pregunta o petición que le dé a Amazon Q, mejor será el resultado que le proporcionará.
**Consejos para las peticiones de las consultas**
Tenga en cuenta los siguientes consejos cuando haga consultas a Amazon Q sobre su flota:
1. Para mejorar la precisión de los resultados, use los términos “nodos administrados” e “instancias administradas” en sus solicitudes en lugar de simplemente “nodos” e “instancias”.
1. Para consultar los resultados en varias cuentas que forman parte de una *organización*, tal como están configuradas en AWS Organizations, debe iniciar sesión en la cuenta de administrador delegado de la región local designada.
1. En la cuenta de administrador delegado, utilice términos para que Amazon Q comprenda que hace preguntas sobre nodos e instancias en toda la organización. Para ello, utilice específicamente términos como “en mi organización” o “en mi cuenta 123456789012”.
**Topics**
+ [Ejemplos de preguntas para Amazon Q](#sample-questions-Q)
+ [Nombres y versiones de sistemas operativos compatibles con las peticiones](#supported-os-names-Q)
## Ejemplos de preguntas para Amazon Q
En la siguiente tabla, incluimos ejemplos de preguntas que muestran algunas formas de crear consultas de Amazon Q que generen mejores resultados.
También ofrecemos ejemplos de los filtros que Amazon Q aplicará al ejecutar el comando [ListNodes](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ListNodes.html), que se generan a partir del contenido de su petición.
| Ejemplo de pregunta en lenguaje natural | Filtros aplicados de Amazon Q |
| --- | --- |
| Show me my Windows managed nodes. | PlatformType = Windows
|
| List my managed instances in account 123456789012. | AccountId = 123456789012
|
| Show me all managed nodes running Amazon Linux 2 across my organization. | PlatformName = Amazon Linux
PlatformVersion = 2
|
| Show me all managed instances running Microsoft Windows Server 2019 Datacenter in my organization. | PlatformName = Microsoft Windows Server 2019 Datacenter
|
| Can you show me all managed nodes with SSM Agent version 3.3.1142.0? | AgentType = amazon-ssm-agent
AgentVersion = 3.3.1142.0
|
| List all Amazon Linux 2 managed instances in account 123456789012 that have SSM Agent version 3.3.1230.0. | PlatformName = Amazon Linux
PlatformVersion = 2
AccountId = 123456789012
AgentType = amazon-ssm-agent
AgentVersion = 3.3.1230.0
|
| What Microsoft Windows Server 2012 R2 Enterprise managed nodes are running in the eu-central-1 region across my entire organization? | PlatformName = Microsoft Windows Server 2012 R2 Enterprise
Region = eu-central-1
|
| Show me all managed instances running Red Hat Linux 7 in ou-d6ty-gxdma6vm. | PlatformName = RHEL Linux
PlatformVersion = 7
OrganizationalUnitId = ou-d6ty-gxdma6vm
|
| What Ubuntu managed instances are in account 123456789012? | PlatformName = Ubuntu
AccountId = 123456789012
|
| List my Linux managed instances. | PlatformType = Linux
|
| Find my macOS managed nodes. | PlatformType = macOS
|
| Show me all versions of Amazon Linux managed nodes in my org. | PlatformName = Amazon Linux
|
| List managed nodes running Amazon Linux 2. | PlatformName = Amazon Linux
PlatformVersion = 2
|
| List the managed nodes with Ubuntu 16.04 in account 123456789012. | PlatformName = Ubuntu
PlatformVersion = 16.04
AccountId = 123456789012
|
| Find all managed nodes that have an SSM Agent version that is not 3.3.987.0. | AgentType = amazon-ssm-agent
AgentVersion != 3.3.987.0
|
| List all managed instances that are not running a Linux operating system. | PlatformType != Linux
|
## Nombres y versiones de sistemas operativos compatibles con las peticiones
Cuando pregunte a Amazon Q acerca de los nodos administrados de su cuenta, será útil proporcionar el nombre de un sistema operativo tal y como aparece en Systems Manager. También puede proporcionar números de versión para reducir aún más los resultados. Por ejemplo, como se muestra en las tablas siguientes, puede solicitar resultados específicos sobre **macOS 14.5**, **Microsoft Windows Server 2019 Datacenter** y **AlmaLinux 9.2 through 9.4**, por citar solo algunos ejemplos.
Es posible que estas listas no sean exhaustivas y se ofrecen solo como ejemplos.
**macOS**
| nombre de la plataforma | Números de versión |
| --- | --- |
| macOS | 13.2, 13.4, 13.7, 14.1, 14.5, 14.6.1, 15.0 |
**Windows**
| Versiones | Números de versión |
| --- | --- |
| Microsoft Windows Server 2012 R2 Datacenter | 6.3.9600 |
| Microsoft Windows Server 2012 R2 Standard | 6.3.9600 |
| Microsoft Windows Server 2012 Standard | 6.2.9200 |
| Microsoft Windows Server 2016 Datacenter | N/A |
| Microsoft Windows Server 2016 Standard | 10.0.14393 |
| Microsoft Windows Server 2019 Datacenter | N/A |
| Microsoft Windows Server 2019 Standard | N/A |
| Microsoft Windows Server 2022 Datacenter | N/A |
| Microsoft Windows Server 2022 Standard | 10.0.20348 |
**Linux**
| Nombres de plataformas | Números de versión |
| --- | --- |
| AlmaLinux | 8.10, 9.2, 9.3, 9.4 |
| Amazon Linux 2 | 2.0 y versiones posteriores |
| Amazon Linux 2023 | 2023.0.20230315.0 y versiones posteriores |
| Bottlerocket | 1.14.3, 1.16.1, 1.18.0, 1.19.1, 1.19.2, 1.19.5, 1.20.0, 1.20.1, 1.20.2, 1.20.3, 1.20.5, 1.21.1, 1.23.0, 1.24.0, 1.24.1, 1.25.0, 1.26.1, |
| CentOS Stream | 9 |
| Debian GNU/Linux | 11 a 12 |
| Servidor de Oracle Linux | 7.8, 8.2, 8.3, 8.8, 8.9, 8.10, 9.4 |
| Red Hat Enterprise Linux | 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, 8.9, 8.10, 9.2, 9.3, 9.4 |
| Red Hat Enterprise LinuxServidor de | 17.3, 7.6, 7.7, 7.8, 7.9 |
| Rocky Linux | 8.6, 8.7, 8.8, 8.9, 8.10, 9.1, 9.2, 9.3, 9.4 |
| Ubuntu Server | 16.04, 18.04, 20.04, 22.04, 24.04 |
# Exploración de los nodos administrados con Amazon Q
La integración de Systems Manager con Amazon Q Developer le permite hacer preguntas sobre los nodos administrados de su flota desde cualquier lugar en la Consola de administración de AWS donde está disponible la interfaz de Amazon Q.
Para obtener más información sobre cómo interactuar con Amazon Q, consulte [Chatting with Amazon Q Developer about AWS](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/chat-with-q.html) en la *Guía del usuario de Amazon Q Developer*.
**Exploración de los nodos administrados con Amazon Q**
1. Desde cualquier lugar de la Consola de administración de AWS, elija el icono de Amazon Q (![\[The Amazon Q icon\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/images/q-icon-white.png)).
1. En el campo de peticiones de la parte inferior del panel de Amazon Q, haga una pregunta sobre los nodos administrados de su cuenta u organización.
**sugerencia**
Para obtener consejos sobre cómo crear peticiones eficaces, consulte la información de [Información sobre cómo crear peticiones efectivas para preguntar a Amazon Q sobre su flota](view-aggregated-node-details-Q-prompts.md).
1. Examine la información sobre nodos específicos o elija **Abrir la consola de AWS Systems Manager** para seguir explorando.
# Visualización de los detalles de los nodos individuales y realización de acciones en un nodo
En una lista de la página **Explorar nodos** de Systems Manager, puede seleccionar un nodo individual para ver detalles completos sobre el equipo o realizar diversas acciones en el nodo. La página **General** de la página de detalles presenta información completa sobre el nodo.
**Visualización de los detalles de cada nodo y realización de acciones en un nodo**
1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. En el panel de navegación, elija **Explorar nodos**.
1. (Opcional) Siga los pasos que se indican en [Elección de una vista de filtros para los resúmenes de nodos administrados](explore-nodes-filter-view.md) para refinar la lista de nodos administrados que se muestran en su organización o cuenta.
1. En la columna **ID de nodo**, seleccione el ID vinculado de un nodo.
1. Para ver más detalles sobre el nodo, en el panel de navegación izquierdo, en la lista **Propiedades**, elija una propiedad para ver más información acerca de los siguientes elementos:
+ **Etiquetas**: muestra una lista de etiquetas aplicadas al nodo. También puede agregar o eliminar etiquetas.
+ **Inventario**: elija un tipo de inventario, como **AWS:Application** o **AWS:Network**, para ver los detalles del inventario del nodo.
+ **Asociaciones**: consulte los detalles de todas las asociaciones de State Manager aplicadas al nodo, lo que incluye los detalles como el estado y el nombre del documento de SSM asociado.
+ **Revisiones**: consulte información resumida sobre las revisiones y el estado de las revisiones del nodo.
+ **Cumplimiento de la configuración**: consulte los detalles de cumplimiento del nodo, como el estado de cumplimiento y la gravedad del problema de cumplimiento.
Para obtener más información acerca de los detalles de las pestañas, consulte [¿Qué es la consola unificada?](systems-manager-unified-console.md).
1. Para realizar acciones en el nodo, utilice las siguientes opciones del menú **Acciones del nodo**:
**nota**
Estas acciones solo están disponibles para los nodos administrados de la región y Cuenta de AWS en la que trabaja actualmente. En el caso de los nodos administrados a los que pueda tener acceso en otras cuentas o regiones, puede acceder a una lista **Propiedades**.
+ **Conectar, iniciar sesión de terminal**: conéctese al nodo mediante [AWS Systems Manager Session Manager](session-manager.md).
+ **Herramientas**
+ **Ver el sistema de archivos**: examine el contenido de la estructura de directorios del nodo. Agregue directorios, cámbieles el nombre y elimínelos. Corte o copie y pegue archivos.
+ **Ver contadores de rendimiento**: consulte la información de rendimiento del nodo, como el uso de la CPU, el tráfico de red y otros tipos de uso.
+ **Procesos administrados**: consulte la información sobre el uso de los recursos en el nodo. Inicie o detenga los procesos en el nodo.
+ **Administre usuarios y grupos**: vea, agregue o elimine cuentas de usuario y grupos de usuarios en el nodo.
+ **Ejecutar el comando run**: utilice [AWS Systems Manager Run Command](run-command.md) para administrar la configuración del nodo. Run Command utiliza [documentos de Systems Manager](documents.md) para hacer cambios bajo demanda, como actualizar aplicaciones o ejecutar scripts de intérprete de comandos de Linux y comandos de Windows PowerShell.
+ **Nodos de revisiones**: utilice la característica **Aplicar revisiones ahora** de [AWS Systems Manager Patch Manager](patch-manager.md) para ejecutar una operación de aplicación de revisión bajo demanda en el nodo desde la consola.
**nota**
Las tareas anteriores también se pueden iniciar desde el menú **Herramientas** del menú de navegación de la izquierda.
+ **Configuración de nodo**
+ **Agregar etiquetas**: aplique al nodo los pares clave-valor de etiqueta adicionales.
+ **Restablecer la contraseña de usuario del nodo**: establezca una nueva contraseña para un usuario específico del nodo.
+ **Modificar el rol de IAM**: cambie el rol de IAM asociado al nodo. Cree un nuevo rol de IAM para adjuntarlo al nodo.
# Descarga o exportación de un informe de nodos administrados
Puede utilizar la característica **Explorar nodos** de Systems Manager para ver las listas filtradas o sin filtrar de los nodos administrados de su organización o cuenta de AWS en la consola de Systems Manager. En los casos en los que quiera ver los datos sin conexión o procesarlos en otra aplicación, puede guardar el informe como un archivo `CSV` o `JSON`.
Según el tamaño del informe, se le solicitará que descargue el informe en su equipo local o que lo exporte a un bucket de Amazon S3. Los informes se guardan en buckets de S3 solo en formato `CSV`.
**Descarga o exportación de un informe de nodos administrados**
1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. En el panel de navegación, elija **Explorar nodos**.
1. (Opcional) Siga los pasos que se indican en [Elección de una vista de filtros para los resúmenes de nodos administrados](explore-nodes-filter-view.md) para refinar la lista de nodos administrados que se muestran en su organización o cuenta.
1. Elija **Informe** (![\[The download report icon\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/images/download-arrow-icon.png)).
1. Si aparece el cuadro de diálogo **Descargar informe**, haga lo siguiente:
1. En **Nombre de archivo**, asigne un nombre al archivo. Se recomienda especificar un nombre que represente el ámbito del informe, como `all-organization-nodes` o `ec2-instances-out-of-date-agent`.
1. En **Columnas incluidas**, especifique si desea incluir columnas de todos los detalles de los nodos disponibles o solo las que haya seleccionado para su visualización actual.
**sugerencia**
Para obtener información acerca de la administración de las columnas de la visualización de los informes, consulte [Administración del contenido y de la apariencia de los informes de nodos](explore-nodes-manage-report-display.md).
1. En **Formato de archivo**, seleccione **CSV** o **JSON**, según cómo vaya a utilizar el archivo.
1. En **Encabezado de la hoja de cálculo**, para incluir una fila de encabezados de columnas en un archivo `CSV`, seleccione **Incluir fila de nombres de columnas**.
1. Elija **Descargar**.
El informe se guarda en la ubicación de descarga predeterminada según la configuración del navegador.
1. Si se muestra el cuadro de diálogo **Exportar a Amazon S3**, haga lo siguiente:
1. En **URI de S3**, introduzca el URI del bucket en el que se va a exportar el informe.
**sugerencia**
Para ver una lista de los buckets de la consola de Amazon S3, elija **Ver**. Para seleccionar de una lista de buckets de su cuenta, elija **Explorar S3**.
1. En **Método de autorización**, especifique el rol de servicio que se va a utilizar para proporcionar los permisos de exportación del informe al bucket.
Si decide dejar que Systems Manager cree el rol de manera automática, este proporcionará todos los permisos y las instrucciones de confianza necesarios para la operación.
Si quiere usar o crear su propio rol, el rol debe incluir los permisos y las instrucciones de confianza necesarios. Para obtener información acerca de la creación de esta función, consulta [Creación de un rol de servicio personalizado para exportar informes de diagnóstico a S3](create-s3-export-role.md).
1. Elija **Enviar**.
# Creación de un rol de servicio personalizado para exportar informes de diagnóstico a S3
Al ver listas filtradas o sin filtrar de nodos administrados para su organización o cuenta de AWS en la página **Explorar nodos** de Systems Manager, puede exportar la lista como un informe a un bucket de Amazon S3 como archivo `CSV`.
Para ello, debe especificar un rol de servicio con los permisos necesarios y la política de confianza para la operación. Puede elegir que Systems Manager cree el rol de manera automática durante el proceso de descarga del informe. Si lo desea, puede crear por cuenta propia el rol y la política requerida.
**Creación de un rol de servicio personalizado para exportar informes de diagnóstico a S3**
1. Siga los pasos que se indican en la sección [Creación de políticas mediante el editor JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-json-editor) de la *Guía del usuario de IAM*.
+ Utilice lo siguiente para el contenido de la política y asegúrese de sustituir los *valores de los marcadores de posición* por su información propia.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketAcl",
"s3:ListBucket",
"s3:PutLifecycleConfiguration",
"s3:GetLifecycleConfiguration"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
}
}
},
{
"Effect": "Allow",
"Action": [
"ssm:ListNodes"
],
"Resource": "*"
}
]
}
```
------
+ Dele un nombre a la política para reconocerla fácilmente en el siguiente paso.
1. Siga los pasos de [Creación de un rol de IAM mediante políticas de confianza personalizadas (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) de la *Guía del usuario de IAM*.
+ En el paso 4, introduzca la siguiente política de confianza y asegúrese de sustituir los *valores de los marcadores de posición* por su información propia.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SSMAssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "ssm.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
}
]
}
```
------
1. En el paso 10, elija **Paso 2: Agregar permisos** y seleccione el nombre de la política que creó en el paso anterior.
Después de crear el rol, siga los pasos que se indican en [Descarga o exportación de un informe de nodos administrados](explore-nodes-download-report.md) para seleccionarlo.
# Administración del contenido y de la apariencia de los informes de nodos
Puede utilizar la característica **Explorar nodos** de Systems Manager para ver las listas filtradas o sin filtrar de los nodos administrados de su organización o cuenta de AWS en la consola de Systems Manager. Puede elegir entre más de una docena de campos para incluirlos en las listas de nodos, como **ID de nodo**, **Nombre del sistema operativo**, **Región**, etc. También puede reordenar las columnas de las listas e informes y cambiar la forma en que se muestra la lista en la consola.
**Administración del contenido y la apariencia de los informes de nodos**
1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. En el panel de navegación, elija **Explorar nodos**.
1. En el área de **Nodos**, elija el icono de engranaje de preferencias (![\[The preferences gear icon\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/images/preferences-icon.png)).
1. En el cuadro de diálogo **Preferencias**, haga lo siguiente:
1. En **Tamaño de página**, elija cuántas filas se incluyen en cada pantalla de visualización de la consola: **10**, **25** o **50**.
1. En **Ajustar líneas**, seleccione la casilla para mostrar todo el contenido de una celda con el ancho de columna disponible.
1. En **Filas rayadas**, seleccione la casilla para mostrar filas alternantes de fondos claros y sombreados.
1. En **Seleccionar contenido visible**, haga lo siguiente:
+ Active o desactive las columnas individuales para los informes y la visualización de la lista.
+ Para cambiar el orden de las columnas, mantenga pulsado el controlador de arrastre (![\[The drag handle\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/images/drag-handle-dashboard.png)) del nombre de una columna y arrástrelo hacia arriba o hacia abajo en la lista.
1. Elija **Confirmar**.
# Acceso a los nodos justo a tiempo mediante Systems Manager
Con Systems Manager, mejora la seguridad de sus nodos al permitir el acceso *justo a tiempo*. El acceso a los nodos justo a tiempo permite a los usuarios solicitar un acceso temporal y con un límite de tiempo a los nodos, que usted solo puede aprobar cuando sea realmente necesario. Así, se elimina la necesidad de proporcionar un acceso permanente a los nodos que se administran mediante políticas de IAM. Además, Systems Manager proporciona la grabación de sesiones con el protocolo para escritorios remotos (RDP) en los nodos de Windows Server para que pueda respetar los requisitos de cumplimiento, realizar análisis de causas raíz, entre otras tareas. Para utilizar el acceso a los nodos justo a tiempo, debe configurar la consola unificada de Systems Manager.
Con el acceso a los nodos justo a tiempo, puede crear políticas de IAM detalladas para garantizar que solo los usuarios a los que usted autorice puedan enviar solicitudes de acceso a sus nodos. A continuación, creará *políticas de aprobación* que definen las aprobaciones necesarias para conectarse a los nodos. En el caso del acceso a los nodos justo a tiempo, existen políticas de *aprobación automática* y políticas de *aprobación manual*. Una política de aprobación automática define a qué nodos se pueden conectar los usuarios automáticamente. Las políticas de aprobación manual definen el número y los niveles de aprobaciones manuales que se deben proporcionar para acceder a los nodos especificados. Además, puede crear una política de *denegación de acceso*. Una política de denegación de acceso impide explícitamente la aprobación automática de las solicitudes de acceso a los nodos especificados. Una política de denegación de acceso se aplica a todas las cuentas de una organización de AWS Organizations. Las políticas de aprobación automática y manual se aplican solo a las Cuentas de AWS y Regiones de AWS en las que se crearon.
Cuando un usuario intenta conectarse a un nodo, se le solicita que escriba un motivo para hacerlo. A continuación, se evalúan sus políticas de aprobación. Según sus políticas, los usuarios se conectan automáticamente al nodo de destino o Systems Manager crea automáticamente una solicitud de aprobación manual en nombre del solicitante. A continuación, se notifica sobre la solicitud de acceso a los aprobadores especificados en la política de aprobación manual que se aplica al nodo, y estos pueden aprobar o denegar la solicitud. Los aprobadores y los solicitantes pueden recibir notificaciones por correo electrónico o a través de Amazon Q Developer en la integración de aplicaciones de chat con Slack o Microsoft Teams. Systems Manager solo concede acceso a los nodos solicitados cuando los aprobadores especificados proporcionan todas las aprobaciones necesarias. Una vez recibidas todas las aprobaciones necesarias, el usuario puede iniciar tantas sesiones en el nodo como necesite durante el periodo de acceso especificado en la política de aprobación. Systems Manager no finaliza automáticamente las sesiones de acceso a los nodos justo a tiempo. Como práctica recomendada, especifique valores para las preferencias *duración máxima de la sesión* y *tiempo de espera de sesión inactiva*. Estas preferencias impiden que los usuarios permanezcan conectados a los nodos después del periodo de acceso aprobado.
Recomendamos utilizar una combinación de políticas de aprobación para poder proteger los nodos que contienen datos críticos y, al mismo tiempo, permitir que los usuarios se conecten a los nodos menos críticos sin intervención. Por ejemplo, puede requerir aprobaciones manuales para las solicitudes de acceso a los nodos de base de datos y aprobar automáticamente las sesiones para los nodos no persistentes de la capa de presentación.
Systems Manager admite el acceso a los nodos justo a tiempo para los usuarios federados con IAM Identity Center o IAM. Cuando un usuario federado envía una solicitud de acceso, especifica el nodo de destino y el motivo por el que necesita conectarse. Systems Manager compara la identidad del usuario con los parámetros definidos en las políticas de aprobación de la organización. Cuando se cumplen las condiciones de la política de aprobación automática o los aprobadores proporcionan las aprobaciones manualmente, el solicitante puede conectarse al nodo de destino. Cuando un usuario intenta conectarse a un nodo aprobado, Systems Manager crea y usa un token temporal para establecer la sesión.
Dado que el servicio Systems Manager gestiona la autenticación de las solicitudes de acceso y el establecimiento de sesiones, no es necesario utilizar políticas de IAM para gestionar el acceso a los nodos. Al utilizar el acceso a los nodos justo a tiempo, con Systems Manager, su organización puede acercarse a una actitud de cero privilegios permanentes, ya que solo necesita permitir que los usuarios creen solicitudes de acceso en lugar de que inicien sesiones con permisos persistentes en sus nodos. Para que pueda respetar los requisitos de cumplimiento, Systems Manager conserva todas las solicitudes de acceso durante 1 año. Systems Manager también emite eventos de EventBridge para el acceso a los nodos justo a tiempo en caso de que fallen las solicitudes de acceso y las actualizaciones de estado de las solicitudes de acceso que requieren aprobaciones manuales. Para obtener más información, consulte [Cómo monitorear eventos de Systems Manager con Amazon EventBridge](monitoring-eventbridge-events.md).
**Topics**
+ [Cómo configurar acceso justo a tiempo con Systems Manager](systems-manager-just-in-time-node-access-setting-up.md)
+ [Cómo iniciar una sesión de acceso a los nodos justo a tiempo](systems-manager-just-in-time-node-access-start-session.md)
+ [Cómo administrar las solicitudes de acceso justo a tiempo](systems-manager-just-in-time-node-access-manage-requests.md)
+ [Cambio al acceso a los nodos justo a tiempo desde Session Manager](systems-manager-just-in-time-node-access-moving-from-session-manager.md)
+ [Cómo deshabilitar el acceso justo a tiempo con Systems Manager](systems-manager-just-in-time-node-access-disable.md)
+ [Preguntas frecuentes sobre el acceso a los nodos justo a tiempo](just-in-time-node-access-faq.md)
# Cómo configurar acceso justo a tiempo con Systems Manager
Configurar el acceso a los nodos justo a tiempo con Systems Manager implica varios pasos. En primer lugar, debe elegir los *destinos* en los que desee configurar el acceso a los nodos justo a tiempo. Los destinos consisten en unidades organizativas (OU) de AWS Organizations y Regiones de AWS. De forma predeterminada, los mismos destinos que eligió al configurar la consola unificada de Systems Manager se seleccionan para el acceso a los nodos justo a tiempo. Puede elegir configurar el acceso a los nodos justo a tiempo para todos los mismos destinos o para un subconjunto de los destinos que especificó al configurar la consola unificada de Systems Manager. No es posible añadir nuevos destinos que no se seleccionaron al configurar la consola unificada de Systems Manager.
A continuación, creará *políticas de aprobación* para determinar cuándo se requiere una aprobación manual para conectarse a los nodos y cuándo se aprueba automáticamente. Cada cuenta de la organización administra las políticas de aprobación. También puede compartir una política desde la cuenta de administrador delegado para denegar explícitamente la aprobación automática de conexiones a nodos específicos.
**nota**
La configuración del acceso a los nodos justo a tiempo no afecta las políticas de IAM o preferencias existentes que haya configurado para Session Manager. Debe eliminar de las políticas de IAM el permiso para acciones de la API de `StartSession` a fin de garantizar que solo se utilice el acceso al nodo justo a tiempo cuando los usuarios intenten conectarse a los nodos. Tras configurar el acceso a los nodos justo a tiempo, le recomendamos que pruebe las políticas de aprobación con un subconjunto de usuarios y nodos para verificar que funcionen como se desee antes de eliminar los permisos para Session Manager.
**Soporte de autenticación**
Tenga en cuenta los siguientes detalles sobre el soporte de autenticación utilizado para el acceso a nodos justo a tiempo:
+ El acceso a nodos justo a tiempo no admite el tipo de autenticación de inicio de sesión único cuando se conecta a instancias de Windows Server con escritorio remoto.
+ Solo se admiten las credenciales de `AssumeRole` de AWS Security Token Service (AWS STS) de seguridad temporales. Para obtener más información, consulte los siguientes temas de la *guía del usuario de IAM*:
+
+ [Credenciales de seguridad temporales en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [Comparación de credenciales de AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_sts-comparison.html)
+ [Solicitud de credenciales de seguridad temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html)
En las siguientes políticas de IAM, se describen los permisos necesarios para administrar y permitir que los usuarios creen solicitudes de acceso a los nodos justo a tiempo con Systems Manager. Tras comprobar que dispone de los permisos necesarios para utilizar el acceso a los nodos justo a tiempo con Systems Manager, puede continuar con el proceso de configuración. Reemplace cada *example resource placeholder* con su propia información.
## Política de IAM para habilitar el acceso a los nodos justo a tiempo
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "QuickSetupConfigurationManagers",
"Effect": "Allow",
"Action": [
"ssm-quicksetup:CreateConfigurationManager",
"ssm-quicksetup:DeleteConfigurationManager",
"ssm-quicksetup:GetConfiguration",
"ssm-quicksetup:GetConfigurationManager",
"ssm-quicksetup:GetServiceSettings",
"ssm-quicksetup:ListConfigurationManagers",
"ssm-quicksetup:ListConfigurations",
"ssm-quicksetup:ListQuickSetupTypes",
"ssm-quicksetup:ListTagsForResource",
"ssm-quicksetup:TagResource",
"ssm-quicksetup:UntagResource",
"ssm-quicksetup:UpdateConfigurationDefinition",
"ssm-quicksetup:UpdateConfigurationManager",
"ssm-quicksetup:UpdateServiceSettings"
],
"Resource": "*"
},
{
"Sid": "QuickSetupDeployments",
"Effect": "Allow",
"Action": [
"cloudformation:DescribeStackSetOperation",
"cloudformation:ListStacks",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackResources",
"cloudformation:ListStackSetOperations",
"cloudformation:ListStackInstances",
"cloudformation:DescribeStackSet",
"cloudformation:ListStackSets",
"cloudformation:DescribeStackInstance",
"cloudformation:DescribeOrganizationsAccess",
"cloudformation:ActivateOrganizationsAccess",
"cloudformation:GetTemplate",
"cloudformation:ListStackSetOperationResults",
"cloudformation:DescribeStackEvents",
"cloudformation:UntagResource",
"ssm:DescribeAutomationExecutions",
"ssm:GetAutomationExecution",
"ssm:ListAssociations",
"ssm:DescribeAssociation",
"ssm:GetDocument",
"ssm:ListDocuments",
"ssm:DescribeDocument",
"ssm:GetOpsSummary",
"organizations:DeregisterDelegatedAdministrator",
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators",
"organizations:ListRoots",
"organizations:ListParents",
"organizations:ListOrganizationalUnitsForParent",
"organizations:DescribeOrganizationalUnit",
"organizations:ListAWSServiceAccessForOrganization",
"iam:ListRoles",
"iam:ListRolePolicies",
"iam:GetRole",
"iam:CreatePolicy",
"cloudformation:TagResource"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudformation:RollbackStack",
"cloudformation:CreateStack",
"cloudformation:UpdateStack",
"cloudformation:DeleteStack"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-JITNA*",
"arn:aws:cloudformation:*:*:stack/AWS-QuickSetup-*",
"arn:aws:cloudformation:*:*:type/resource/*",
"arn:aws:cloudformation:*:*:stack/StackSet-SSMQuickSetup"
]
},
{
"Sid": "StackSetOperations",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStackSet",
"cloudformation:UpdateStackSet",
"cloudformation:DeleteStackSet",
"cloudformation:DeleteStackInstances",
"cloudformation:CreateStackInstances",
"cloudformation:StopStackSetOperation"
],
"Resource": [
"arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-JITNA*",
"arn:aws:cloudformation:*:*:type/resource/*",
"arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-JITNA*:*"
]
},
{
"Sid": "IamRolesMgmt",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:DeleteRole",
"iam:GetRole",
"iam:AttachRolePolicy",
"iam:PutRolePolicy",
"iam:DetachRolePolicy",
"iam:GetRolePolicy",
"iam:ListRolePolicies"
],
"Resource": [
"arn:aws:iam::*:role/AWS-QuickSetup-JITNA*",
"arn:aws:iam::*:role/service-role/AWS-QuickSetup-JITNA*"
]
},
{
"Sid": "IamPassRole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/AWS-QuickSetup-JITNA*",
"arn:aws:iam::*:role/service-role/AWS-QuickSetup-JITNA*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"ssm.amazonaws.com",
"ssm-quicksetup.amazonaws.com",
"cloudformation.amazonaws.com"
]
}
}
},
{
"Sid": "SSMAutomationExecution",
"Effect": "Allow",
"Action": "ssm:StartAutomationExecution",
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/AWS-EnableExplorer",
"arn:aws:ssm:us-east-1:111122223333:automation-execution/*"
]
},
{
"Sid": "SSMAssociationPermissions",
"Effect": "Allow",
"Action": [
"ssm:DeleteAssociation",
"ssm:CreateAssociation",
"ssm:StartAssociationsOnce"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:association/*"
},
{
"Sid": "SSMResourceDataSync",
"Effect": "Allow",
"Action": [
"ssm:CreateResourceDataSync",
"ssm:UpdateResourceDataSync"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:resource-data-sync/AWS-QuickSetup-*"
},
{
"Sid": "ListResourceDataSync",
"Effect": "Allow",
"Action": [
"ssm:ListResourceDataSync"
],
"Resource": "*"
},
{
"Sid": "CreateServiceLinkedRoles",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"accountdiscovery.ssm.amazonaws.com",
"ssm.amazonaws.com",
"ssm-quicksetup.amazonaws.com",
"stacksets.cloudformation.amazonaws.com"
]
}
},
"Resource": "*"
},
{
"Sid": "CreateStackSetsServiceLinkedRole",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/stacksets.cloudformation.amazonaws.com/AWSServiceRoleForCloudFormationStackSetsOrgAdmin"
},
{
"Sid": "AllowSsmJitnaPoliciesCrudOperations",
"Effect": "Allow",
"Action": [
"ssm:CreateDocument",
"ssm:UpdateDocument",
"ssm:UpdateDocumentDefaultVersion",
"ssm:GetDocument",
"ssm:DescribeDocument",
"ssm:DeleteDocument"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/SSM-JustInTimeAccessDenyAccessOrgPolicy"
],
"Condition": {
"StringEquals": {
"ssm:DocumentType": [
"AutoApprovalPolicy"
]
}
}
},
{
"Sid": "AllowAccessRequestOpsItemOperations",
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem",
"ssm:DescribeOpsItems",
"ssm:GetOpsSummary",
"ssm:DeleteOpsItem",
"ssm:ListOpsItemEvents"
],
"Resource": "*"
},
{
"Sid": "IdentityCenterPermissions",
"Effect": "Allow",
"Action": [
"sso:DescribeRegisteredRegions",
"sso:ListDirectoryAssociations",
"identitystore:GetUserId",
"identitystore:DescribeUser",
"identitystore:DescribeGroup",
"identitystore:ListGroupMembershipsForMember"
],
"Resource": "*"
}
]
}
```
------
## Política de IAM para configurar el acceso a los nodos justo a tiempo
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSsmJitnaPoliciesCrudOperations",
"Effect": "Allow",
"Action": [
"ssm:CreateDocument",
"ssm:UpdateDocument",
"ssm:UpdateDocumentDefaultVersion",
"ssm:GetDocument",
"ssm:DescribeDocument",
"ssm:DeleteDocument"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/*"
],
"Condition": {
"StringEquals": {
"ssm:DocumentType": [
"ManualApprovalPolicy",
"AutoApprovalPolicy"
]
}
}
},
{
"Sid": "AllowSsmJitnaPoliciesListOperations",
"Effect": "Allow",
"Action": [
"ssm:ListDocuments",
"ssm:ListDocumentVersions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/SSM-JustInTimeAccessTokenRole",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"justintimeaccess.ssm.amazonaws.com"
]
}
}
},
{
"Sid": "AllowAccessRequestOpsItemOperations",
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem",
"ssm:DescribeOpsItems",
"ssm:GetOpsSummary",
"ssm:DeleteOpsItem",
"ssm:ListOpsItemEvents"
],
"Resource": "*"
},
{
"Sid": "AllowSessionManagerPreferencesOperation",
"Effect": "Allow",
"Action": [
"ssm:CreateDocument",
"ssm:GetDocument",
"ssm:DescribeDocument",
"ssm:UpdateDocument",
"ssm:DeleteDocument"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:document/SSM-SessionManagerRunShell",
"Condition": {
"StringEquals": {
"ssm:DocumentType": "Session"
}
}
},
{
"Sid": "AllowSessionManagerOperations",
"Effect": "Allow",
"Action": [
"ssm:DescribeSessions",
"ssm:GetConnectionStatus",
"ssm:TerminateSession"
],
"Resource": "*"
},
{
"Sid": "AllowRDPConnectionRecordingOperations",
"Effect": "Allow",
"Action": [
"ssm-guiconnect:UpdateConnectionRecordingPreferences",
"ssm-guiconnect:GetConnectionRecordingPreferences",
"ssm-guiconnect:DeleteConnectionRecordingPreferences"
],
"Resource": "*"
},
{
"Sid": "AllowRDPConnectionRecordingKmsOperation",
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SystemsManagerJustInTimeNodeAccessManaged": "true"
},
"StringLike": {
"kms:ViaService": "ssm-guiconnect.*.amazonaws.com"
},
"Bool": {
"aws:ViaAWSService": "true"
}
}
},
{
"Sid": "AllowFleetManagerOperations",
"Effect": "Allow",
"Action": [
"ssm-guiconnect:GetConnection",
"ssm-guiconnect:ListConnections"
],
"Resource": "*"
},
{
"Sid": "SNSTopicManagement",
"Effect": "Allow",
"Action": [
"sns:CreateTopic",
"sns:SetTopicAttributes"
],
"Resource": [
"arn:aws:sns:us-east-1:111122223333:SSM-JITNA*"
]
},
{
"Sid": "SNSListTopics",
"Effect": "Allow",
"Action": [
"sns:ListTopics"
],
"Resource": "*"
},
{
"Sid": "EventBridgeRuleManagement",
"Effect": "Allow",
"Action": [
"events:PutRule",
"events:PutTargets"
],
"Resource": [
"arn:aws:events:us-east-1::rule/SSM-JITNA*"
]
},
{
"Sid": "ChatbotSlackManagement",
"Effect": "Allow",
"Action": [
"chatbot:CreateSlackChannelConfiguration",
"chatbot:UpdateSlackChannelConfiguration",
"chatbot:DescribeSlackChannelConfigurations",
"chatbot:DescribeSlackWorkspaces",
"chatbot:DeleteSlackChannelConfiguration",
"chatbot:RedeemSlackOauthCode",
"chatbot:DeleteSlackWorkspaceAuthorization",
"chatbot:GetSlackOauthParameters"
],
"Resource": "*"
},
{
"Sid": "ChatbotTeamsManagement",
"Effect": "Allow",
"Action": [
"chatbot:ListMicrosoftTeamsChannelConfigurations",
"chatbot:CreateMicrosoftTeamsChannelConfiguration",
"chatbot:UpdateMicrosoftTeamsChannelConfiguration",
"chatbot:ListMicrosoftTeamsConfiguredTeams",
"chatbot:DeleteMicrosoftTeamsChannelConfiguration",
"chatbot:RedeemMicrosoftTeamsOauthCode",
"chatbot:DeleteMicrosoftTeamsConfiguredTeam",
"chatbot:GetMicrosoftTeamsOauthParameters",
"chatbot:TagResource"
],
"Resource": "*"
},
{
"Sid": "SSMEmailSettings",
"Effect": "Allow",
"Action": [
"ssm:UpdateServiceSetting",
"ssm:GetServiceSetting"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:servicesetting/ssm/access-request/email-role-mapping",
"arn:aws:ssm:us-east-1:111122223333:servicesetting/ssm/access-request/enabled-email-notifications"
]
},
{
"Sid": "AllowViewingJitnaCloudWatchMetrics",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/SSM/JustInTimeAccess"
}
}
},
{
"Sid": "QuickSetupConfigurationManagers",
"Effect": "Allow",
"Action": [
"ssm-quicksetup:ListConfigurationManagers",
"ssm-quicksetup:ListConfigurations",
"ssm-quicksetup:ListQuickSetupTypes",
"ssm-quicksetup:GetConfiguration",
"ssm-quicksetup:GetConfigurationManager"
],
"Resource": "*"
},
{
"Sid": "QuickSetupDeployments",
"Effect": "Allow",
"Action": [
"cloudformation:ListStacks",
"cloudformation:DescribeStacks",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators"
],
"Resource": "*"
},
{
"Sid": "ManualPolicy",
"Effect": "Allow",
"Action": [
"sso:DescribeRegisteredRegions",
"ssm:GetServiceSetting",
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "SessionPreference",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "AllowIamListForKMS",
"Effect": "Allow",
"Action": [
"iam:ListUsers"
],
"Resource": "arn:aws:iam::111122223333:user/*"
},
{
"Sid": "KMSPermission",
"Effect": "Allow",
"Action": [
"kms:TagResource",
"kms:ListAliases",
"kms:CreateAlias"
],
"Resource": "*"
},
{
"Sid": "KMSCreateKey",
"Effect": "Allow",
"Action": [
"kms:CreateKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/SystemsManagerJustInTimeNodeAccessManaged": "true"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"SystemsManagerJustInTimeNodeAccessManaged"
]
}
}
},
{
"Sid": "AllowIamRoleForChatbotAction",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::111122223333:role/role name",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"chatbot.amazonaws.com"
]
}
}
},
{
"Sid": "AllowIamServiceRoleForChat",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::111122223333:role/aws-service-role/management.chatbot.amazonaws.com/AWSServiceRoleForAWSChatbot"
},
{
"Sid": "CloudWatchLogs",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups"
],
"Resource": "arn:aws:logs:*:111122223333:log-group::log-stream:"
},
{
"Sid": "IdentityStorePermissions",
"Effect": "Allow",
"Action": [
"sso:ListDirectoryAssociations",
"identitystore:GetUserId",
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"identitystore:DescribeGroup",
"identitystore:DescribeUser"
],
"Resource": "*"
}
]
}
```
------
## Política de IAM para los aprobadores de solicitudes de acceso
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAccessRequestDescriptions",
"Effect": "Allow",
"Action": [
"ssm:DescribeOpsItems",
"ssm:GetOpsSummary",
"ssm:ListOpsItemEvents"
],
"Resource": "*"
},
{
"Sid": "AllowGetSpecificAccessRequest",
"Effect": "Allow",
"Action": [
"ssm:GetOpsItem"
],
"Resource": "arn:aws:ssm:us-east-1:111122223333:opsitem/*"
},
{
"Sid": "AllowApprovalRejectionSignal",
"Effect": "Allow",
"Action": [
"ssm:SendAutomationSignal"
],
"Resource": "arn:aws:ssm:*:*:automation-execution/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SystemsManagerJustInTimeNodeAccessManaged": "true"
}
}
},
{
"Sid": "QuickSetupConfigurationManagers",
"Effect": "Allow",
"Action": [
"ssm-quicksetup:ListConfigurationManagers",
"ssm-quicksetup:ListConfigurations",
"ssm-quicksetup:GetConfigurationManager",
"ssm-quicksetup:ListQuickSetupTypes",
"ssm-quicksetup:GetConfiguration"
],
"Resource": "*"
},
{
"Sid": "QuickSetupDeployments",
"Effect": "Allow",
"Action": [
"cloudformation:ListStacks",
"cloudformation:DescribeStacks",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators"
],
"Resource": "*"
},
{
"Sid": "AllowSsmJitnaPoliciesCrudOperations",
"Effect": "Allow",
"Action": [
"ssm:GetDocument",
"ssm:DescribeDocument"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:document/*"
],
"Condition": {
"StringEquals": {
"ssm:DocumentType": [
"ManualApprovalPolicy",
"AutoApprovalPolicy"
]
}
}
},
{
"Sid": "AllowSsmJitnaPoliciesListOperations",
"Effect": "Allow",
"Action": [
"ssm:ListDocuments",
"ssm:ListDocumentVersions"
],
"Resource": "*"
},
{
"Sid": "IDCPermissions",
"Effect": "Allow",
"Action": [
"sso:DescribeRegisteredRegions",
"sso:ListDirectoryAssociations",
"identitystore:GetUserId",
"identitystore:DescribeUser",
"identitystore:DescribeGroup",
"identitystore:ListGroupMembershipsForMember"
],
"Resource": "*"
}
]
}
```
------
## Política de IAM para usuarios con acceso a los nodos justo a tiempo
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowJITNAOperations",
"Effect": "Allow",
"Action": [
"ssm:StartAccessRequest",
"ssm:GetAccessToken"
],
"Resource": "*"
},
{
"Sid": "AllowOpsItemCreationAndRetrieval",
"Effect": "Allow",
"Action": [
"ssm:CreateOpsItem",
"ssm:GetOpsItem"
],
"Resource": "arn:aws:ssm:*:*:opsitem/*"
},
{
"Sid": "AllowListAccessRequests",
"Effect": "Allow",
"Action": [
"ssm:DescribeOpsItems",
"ssm:GetOpsSummary",
"ssm:ListOpsItemEvents",
"ssm:DescribeSessions"
],
"Resource": "*"
},
{
"Sid": "RequestManualApprovals",
"Action": "ssm:StartAutomationExecution",
"Effect": "Allow",
"Resource": "arn:aws:ssm:*:*:document/*",
"Condition": {
"StringEquals": {
"ssm:DocumentType": "ManualApprovalPolicy"
}
}
},
{
"Sid": "StartManualApprovalsAutomationExecution",
"Effect": "Allow",
"Action": "ssm:StartAutomationExecution",
"Resource": "arn:aws:ssm:*:*:automation-execution/*"
},
{
"Sid": "CancelAccessRequestManualApproval",
"Effect": "Allow",
"Action": "ssm:StopAutomationExecution",
"Resource": "arn:aws:ssm:*:*:automation-execution/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SystemsManagerJustInTimeNodeAccessManaged": "true"
}
}
},
{
"Sid": "DescribeEC2Instances",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeTags",
"ec2:GetPasswordData"
],
"Resource": "*"
},
{
"Sid": "AllowListSSMManagedNodesAndTags",
"Effect": "Allow",
"Action": [
"ssm:DescribeInstanceInformation",
"ssm:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "QuickSetupConfigurationManagers",
"Effect": "Allow",
"Action": [
"ssm-quicksetup:ListConfigurationManagers",
"ssm-quicksetup:GetConfigurationManager",
"ssm-quicksetup:ListConfigurations",
"ssm-quicksetup:ListQuickSetupTypes",
"ssm-quicksetup:GetConfiguration"
],
"Resource": "*"
},
{
"Sid": "AllowSessionManagerOperations",
"Effect": "Allow",
"Action": [
"ssm:DescribeSessions",
"ssm:GetConnectionStatus"
],
"Resource": "*"
},
{
"Sid": "AllowRDPOperations",
"Effect": "Allow",
"Action": [
"ssm-guiconnect:ListConnections",
"ssm:GetConnectionStatus"
],
"Resource": "*"
},
{
"Sid": "QuickSetupDeployments",
"Effect": "Allow",
"Action": [
"cloudformation:ListStacks",
"cloudformation:DescribeStacks",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators"
],
"Resource": "*"
},
{
"Sid": "AllowSsmJitnaPoliciesReadOnly",
"Effect": "Allow",
"Action": [
"ssm:GetDocument",
"ssm:DescribeDocument"
],
"Resource": [
"arn:aws:ssm:*:111122223333:document/*"
],
"Condition": {
"StringEquals": {
"ssm:DocumentType": [
"ManualApprovalPolicy",
"AutoApprovalPolicy"
]
}
}
},
{
"Sid": "AllowSsmJitnaPoliciesListOperations",
"Effect": "Allow",
"Action": [
"ssm:ListDocuments",
"ssm:ListDocumentVersions"
],
"Resource": "*"
},
{
"Sid": "ExploreNodes",
"Effect": "Allow",
"Action": [
"ssm:ListNodesSummary",
"ssm:ListNodes",
"ssm:DescribeInstanceProperties"
],
"Resource": "*"
},
{
"Sid": "IdentityStorePermissions",
"Effect": "Allow",
"Action": [
"sso:DescribeRegisteredRegions",
"sso:ListDirectoryAssociations",
"identitystore:GetUserId",
"identitystore:DescribeUser",
"identitystore:DescribeGroup"
],
"Resource": "*"
}
]
}
```
------
**nota**
Para restringir el acceso a las operaciones de la API que crean, actualizan o eliminan políticas de aprobación, utilice la clave de condición `ssm:DocumentType` para los tipos de documento `AutoApprovalPolicy` y `ManualApprovalPolicy `. Las operaciones `StartAccessRequest` y `GetAccessToken` de la API no admiten las siguientes claves de contexto globales:
`aws:SourceVpc`
`aws:SourceVpce`
`aws:VpcSourceIp`
`aws:UserAgent`
`aws:MultiFactorAuthPresent`
Para obtener más información sobre las claves de contexto de condición para Systems Manager, consulte [Claves de condición para AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-policy-keys) en la *Referencia de autorizaciones de servicio*.
En el siguiente procedimiento, se describe cómo completar el primer paso de la configuración del acceso a los nodos justo a tiempo.
**Cómo configurar el acceso a los nodos justo a tiempo**
1. Inicie sesión en la cuenta de administrador delegado de Systems Manager de la organización.
1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. En el panel de navegación, seleccione **Acceso a nodos justo a tiempo**.
1. Seleccione **Habilitar la nueva experiencia**.
1. Elija las regiones donde desee habilitar el acceso a los nodos justo a tiempo. De forma predeterminada, las mismas regiones que eligió al configurar la consola unificada de Systems Manager se seleccionan para el acceso a los nodos justo a tiempo. No es posible añadir nuevas regiones que no se seleccionaron al configurar la consola unificada de Systems Manager.
1. Seleccione **Habilitar el acceso a los nodos justo a tiempo**.
No se aplica ningún cargo por usar el acceso a los nodos justo a tiempo durante los 30 días posteriores a la activación de la característica. Después del periodo de prueba de 30 días, se aplicará un cargo por utilizarla. Para más información, consulte [Precios de AWS Systems Manager](https://aws.amazon.com/systems-manager/pricing/).
# Cómo crear políticas de aprobación para sus nodos
Las políticas de aprobación definen qué aprobaciones necesitan los usuarios para acceder a un nodo. Dado que el acceso a los nodos justo a tiempo elimina la necesidad de contar con permisos permanentes para acceder a los nodos mediante políticas de IAM, usted debe crear políticas de aprobación para permitir el acceso. Si no hay políticas de aprobación que se apliquen a un nodo, los usuarios no podrán solicitar el acceso.
En el acceso a los nodos justo a tiempo, hay tres tipos de políticas: *aprobación automática*, *denegación de acceso* y *aprobación manual*.
**Tipos de políticas de acceso a los nodos justo a tiempo**
+ Una política de aprobación automática define a qué nodos se pueden conectar los usuarios automáticamente.
+ Las políticas de aprobación manual definen el número y los niveles de aprobaciones manuales que se deben proporcionar para acceder a los nodos especificados.
+ Una política de denegación de acceso impide explícitamente la aprobación automática de las solicitudes de acceso a los nodos especificados.
Una política de denegación de acceso se aplica a todas las cuentas de una organización de AWS Organizations. Por ejemplo, puede denegar explícitamente las aprobaciones automáticas para el grupo `Intern` a los nodos etiquetados con la clave `Production`. Las políticas de aprobación automática y manual se aplican solo a las Cuentas de AWS y Regiones de AWS en las que se crearon. Cada cuenta de miembro de su organización administra sus propias políticas de aprobación. Las políticas de aprobación se evalúan en el siguiente orden:
1. Denegación de acceso
1. Aprobación automática
1. Manual
Aunque solo puede tener una política de denegación de acceso por organización y una política de aprobación automática por cuenta y región, es probable que tenga varias políticas de aprobación manual en una cuenta. Al evaluar las políticas de aprobación manual, el acceso a los nodos justo a tiempo siempre favorece la política más específica para un nodo. Las políticas de aprobación manual se evalúan en el siguiente orden:
1. Destino específico según la etiqueta
1. Todos los destinos de los nodos
Por ejemplo, tiene un nodo etiquetado con la clave `Demo`. En la misma cuenta, tiene una política de aprobación manual que se dirige a todos los nodos y requiere una aprobación de un nivel. También tiene una política de aprobación manual que requiere dos aprobaciones de dos niveles para los nodos etiquetados con la clave `Demo`. Systems Manager aplica la política que dirige la etiqueta `Demo` al nodo, ya que es más específica que la política que se dirige a todos los nodos. Esto le permite crear una política general para todos los nodos de la cuenta, lo que garantiza que los usuarios puedan enviar solicitudes de acceso y, al mismo tiempo, le permite crear políticas más detalladas según sea necesario.
Según su organización, es posible que se apliquen varias etiquetas a los nodos. En esta situación, si se aplican varias políticas de aprobación manual a un nodo, las solicitudes de acceso fallan. Por ejemplo, un nodo está etiquetado con las claves `Production` y `Database`. En la misma cuenta, tiene una política de aprobación manual que se aplica a los nodos etiquetados con la clave `Production` y otra política de aprobación manual que se aplica a los nodos etiquetados con la clave `Database`. Esto provoca un conflicto en el nodo que está etiquetado con ambas claves, y las solicitudes de acceso fallan. Systems Manager redirige al usuario a la solicitud fallida. Allí, verá los detalles sobre las políticas y etiquetas en conflicto para poder realizar los ajustes necesarios si dispone de los permisos requeridos. De lo contrario, puede notificar a un colega en la organización que tenga los permisos necesarios para modificar las políticas. Los conflictos de políticas que provocan solicitudes de acceso fallidas emiten eventos de EventBridge, lo que le ofrece flexibilidad para crear sus propios flujos de trabajo de respuesta. Además, Systems Manager les envía, a los destinatarios especificados, notificaciones por correo electrónico en caso de conflictos de políticas que provoquen solicitudes de acceso fallidas. Para obtener más información acerca de la configuración de notificaciones por correo electrónico para políticas en conflicto, consulte [Cómo configurar las notificaciones para las solicitudes de acceso justo a tiempo](systems-manager-just-in-time-node-access-notifications.md).
En una política de *denegación de acceso*, se utiliza el lenguaje de políticas de Cedar para definir, de forma explícita, a qué nodos no se pueden conectar automáticamente los usuarios en la organización. Esta política se crea y se comparte desde la cuenta de administrador delegado de su organización. La política de denegación de acceso tiene prioridad sobre todas las políticas de aprobación automática. Solo puede tener una política de denegación de acceso por organización.
En una política de *aprobación automática*, se utiliza el lenguaje de políticas de Cedar para definir qué usuarios pueden conectarse automáticamente a los nodos especificados sin aprobación manual. Si una solicitud de acceso se aprueba automáticamente, la duración del acceso es de 1 hora. Este valor no se puede cambiar. Solo puede tener una política de aprobación automática por cuenta y región.
En una política de aprobación *manual*, se especifica la duración del acceso, cuántos niveles de aprobación se requieren, el número de aprobadores necesarios por nivel y los nodos a los que pueden aprobar las solicitudes de acceso justo a tiempo. La duración del acceso para una política de aprobación manual debe estar entre 1 y 336 horas. Si especifica varios niveles de aprobaciones, las aprobaciones de la solicitud de acceso se procesan de un nivel a la vez. Esto significa que todas las aprobaciones que necesite para un nivel deben proporcionarse antes de que el proceso de aprobación pase a los niveles siguientes. Si especifica varias etiquetas en una política de aprobación manual, se evalúan como instrucciones `or`, no como instrucciones `and`. Por ejemplo, si crea una política de aprobación manual que incluye las etiquetas `Application`, `Web` y `Test`, la política se aplica a cualquier nodo que esté etiquetado con una de esas claves. La política no se aplica solo a los nodos que están etiquetados con las tres claves.
Recomendamos utilizar una combinación de políticas manuales con la política de aprobación automática para ayudar a proteger los nodos que tienen datos críticos y, al mismo tiempo, permitir que los usuarios se conecten a los nodos menos críticos sin intervención. Por ejemplo, puede requerir aprobaciones manuales para las solicitudes de acceso a los nodos de base de datos y aprobar automáticamente las sesiones para los nodos no persistentes de la capa de presentación.
En los siguientes procedimientos, se describe cómo crear políticas de aprobación para el acceso a los nodos justo a tiempo.
**Topics**
+ [Cómo crear políticas de aprobación manual sobre el acceso a los nodos justo a tiempo](systems-manager-just-in-time-node-access-create-manual-policies.md)
+ [Estructura de instrucciones y operadores integrados para políticas de aprobación automática y denegación de acceso](auto-approval-deny-access-policy-statement-structure.md)
+ [Cómo crear una política de aprobación automática sobre el acceso a los nodos justo a tiempo](systems-manager-just-in-time-node-access-create-auto-approval-policies.md)
+ [Cómo crear una política de denegación sobre el acceso a los nodos justo a tiempo](systems-manager-just-in-time-node-access-create-deny-access-policies.md)
+ [Cómo crear políticas de aprobación para el acceso a los nodos justo a tiempo con Amazon Q](systems-manager-just-in-time-node-access-create-approval-policies-q-ide-cli.md)
# Cómo crear políticas de aprobación manual sobre el acceso a los nodos justo a tiempo
En el siguiente procedimiento, se describe cómo crear políticas de aprobación manual. Systems Manager le permite crear hasta 50 políticas de aprobación manual por Cuenta de AWS y Región de AWS.
**Cómo crear una política de aprobación manual**
1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. En el panel de navegación, seleccione **Administrar acceso a nodos**.
1. En la sección **Detalles de la política** del paso **Crear política de aprobación manual**, introduzca un nombre y una descripción para la política de aprobación.
1. Introduzca un valor en **Duración del acceso**. Esta es la cantidad máxima de tiempo que un usuario puede tener la sesión iniciada en un nodo después de que se apruebe una solicitud de acceso. Este valor debe estar entre 1 y 336 horas.
1. En la sección **Destinos de los nodos**, introduzca los pares clave-valor de etiquetas asociados a los nodos sobre los que desea que se aplique la política. Si ninguna de las etiquetas especificadas en la política está asociada a un nodo, entonces esta no se aplica.
1. En la sección **Aprobadores de solicitudes de acceso**, introduzca los usuarios o grupos que desee que puedan aprobar las solicitudes de acceso a los destinos de los nodos en la política. Los aprobadores de las solicitudes de acceso pueden ser usuarios y grupos de IAM Identity Center o roles de IAM. Puede especificar hasta 5 aprobadores por nivel y hasta 5 niveles de aprobadores.
1. Seleccione **Crear política de aprobación manual**.
# Estructura de instrucciones y operadores integrados para políticas de aprobación automática y denegación de acceso
En la siguiente tabla, se muestra la estructura de las políticas de aprobación automática y denegación de acceso.
| Componente | Sintaxis |
| --- | --- |
| effect | `permit \| forbid` |
| scope | `(principal, action, resource)` |
| cláusula de condición | when {
principal or resource has attribute name
}; |
## Componentes de política
Una política de aprobación automática o denegación de acceso contiene los siguientes componentes:
+ **Efecto**: `permit` (permitir) o `forbid` (denegar) el acceso.
+ **Alcance**: las entidades principales, las acciones y los recursos a los que se aplica el efecto. Puede dejar el alcance de Cedar sin definir si no identifica entidades principales, acciones o recursos específicos. En este caso, la política se aplica a todas las entidades principales, acciones y recursos posibles. Para el acceso a los nodos justo a tiempo, `action` siempre es `AWS::SSM::Action::"getTokenForInstanceAccess"`.
+ **Cláusula de condición**: el contexto en el que se aplica el efecto.
## Comentarios
Puede incluir comentarios en sus políticas de . Los comentarios se definen como una línea que comienza por `//` y termina con un carácter de nueva línea.
En el siguiente ejemplo se muestran comentarios en una política.
```
// Allows users in the Engineering group from the Platform org to automatically connect to nodes tagged with Engineering and Production keys.
permit (
principal in AWS::IdentityStore::Group::"d4q81745-r081-7079-d789-14da1EXAMPLE",
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has organization && resource.hasTag("Engineering") && resource.hasTag("Production") && principal.organization == "Platform"
};
```
## Cláusulas múltiples
Puede utilizar más de una cláusula de condición en una declaración de política mediante el operador `&&`.
```
// Allow access if node has tag where the tag key is Environment
// & tag value is Development
permit(principal, action == AWS::SSM::getTokenForInstanceAccess, resource)
when {
resource.hasTag("Environment") &&
resource.getTag("Environment") == "Development"
};
```
## Caracteres reservados
El siguiente ejemplo muestra cómo escribir una política si una propiedad de contexto utiliza un `:` (punto y coma), que es un carácter reservado en el lenguaje de la política.
```
permit (
principal,
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has employeeNumber && principal.employeeNumber like "E-1*" && resource.hasTag("Purpose") && resource.getTag("Purpose") == "Testing"
}
```
Para ver otros ejemplos, consulte [Ejemplo de instrucciones de políticas](#policy-statement-examples).
## Esquema de acceso a los nodos justo a tiempo
A continuación, se muestra el esquema Cedar para el acceso a los nodos justo a tiempo.
```
namespace AWS::EC2 {
entity Instance tags String;
}
namespace AWS::IdentityStore {
entity Group;
entity User in [Group] {
employeeNumber?: String,
costCenter?: String,
organization?: String,
division?: String,
};
}
namespace AWS::IAM {
entity Role;
type AuthorizationContext = {
principalTags: PrincipalTags,
};
entity PrincipalTags tags String;
}
namespace AWS::SSM {
entity ManagedInstance tags String;
action "getTokenForInstanceAccess" appliesTo {
principal: [AWS::IdentityStore::User],
resource: [AWS::EC2::Instance, AWS::SSM::ManagedInstance],
context: {
"iam": AWS::IAM::AuthorizationContext
}
};
}
```
## Operadores integrados
Al crear el contexto de una política de aprobación automática o denegación de acceso con varias condiciones, puede utilizar el operador `&&` para añadir condiciones adicionales. También hay muchos otros operadores integrados que puede utilizar para añadir un poder de expresión adicional a las condiciones de su política. La siguiente tabla contiene todos los operadores integrados como referencia.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/auto-approval-deny-access-policy-statement-structure.html)
## Ejemplo de instrucciones de políticas
A continuación, se muestran ejemplos de instrucciones de políticas.
```
// Users assuming IAM roles with a principal tag of "Elevated" can automatically access nodes tagged with the "Environment" key when the value equals "prod"
permit(principal, action == AWS::SSM::getTokenForInstanceAccess, resource)
when {
// Verify IAM role principal tag
context.iam.principalTags.getTag("AccessLevel") == "Elevated" &&
// Verify the node has a tag with "Environment" tag key and a tag value of "prod"
resource.hasTag("Environment") &&
resource.getTag("Environment") == "prod"
};
```
```
// Identity Center users in the "Contractor" division can automatically access nodes tagged with the "Environment" key when the value equals "dev"
permit(principal, action == AWS::SSM::getTokenForInstanceAccess, resource)
when {
// Verify that the user is part of the "Contractor" division
principal.division == "Contractor" &&
// Verify the node has a tag with "Environment" tag key and a tag value of "dev"
resource.hasTag("Environment") &&
resource.getTag("Environment") == "dev"
};
```
```
// Identity Center users in a specified group can automatically access nodes tagged with the "Environment" key when the value equals "Production"
permit(principal in AWS::IdentityStore::Group::"d4q81745-r081-7079-d789-14da1EXAMPLE",
action == AWS::SSM::getTokenForInstanceAccess,
resource)
when {
resource.hasTag("Environment") &&
resource.getTag("Environment") == "Production"
};
```
# Cómo crear una política de aprobación automática sobre el acceso a los nodos justo a tiempo
En las políticas de aprobación automática, se utiliza el lenguaje de políticas Cedar para definir qué usuarios pueden conectarse automáticamente a los nodos especificados sin aprobación manual. Una política de aprobación automática contiene varias instrucciones `permit` que especifican `principal` y `resource`. Cada instrucción incluye una cláusula `when` que define las condiciones de la aprobación automática.
A continuación, se muestra un ejemplo de política de aprobación automática.
```
permit (
principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has costCenter && resource.hasTag("CostCenter") && principal.costCenter == resource.getTag("CostCenter")
};
permit (
principal in AWS::IdentityStore::Group::"d4q81745-r081-7079-d789-14da1EXAMPLE",
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has organization && resource.hasTag("Engineering") && resource.hasTag("Production") && principal.organization == "Platform"
};
permit (
principal,
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has employeeNumber && principal.employeeNumber like "E-1*" && resource.hasTag("Purpose") && resource.getTag("Purpose") == "Testing"
};
```
En el siguiente procedimiento, se describe cómo crear una política de aprobación automática sobre el acceso a los nodos justo a tiempo. Si una solicitud de acceso se aprueba automáticamente, la duración del acceso es de 1 hora. Este valor no se puede cambiar. Solo puede tener una política de aprobación automática por Cuenta de AWS y Región de AWS. Para obtener más información acerca de cómo crear instrucciones de políticas, consulte [Estructura de instrucciones y operadores integrados para políticas de aprobación automática y denegación de acceso](auto-approval-deny-access-policy-statement-structure.md).
**Cómo crear una política de aprobación automática**
1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. En el panel de navegación, seleccione **Administrar acceso a nodos**.
1. En la pestaña **Políticas de aprobación**, seleccione **Crear política de aprobación automática**.
1. Introduzca la instrucción de la política de aprobación automática en la sección **Instrucción de la política**. Puede usar las **Instrucciones de ejemplo** proporcionadas que le ayudarán a crear la política.
1. Seleccione **Crear política de aprobación automática**.
# Cómo crear una política de denegación sobre el acceso a los nodos justo a tiempo
Las políticas de denegación de acceso utilizan el lenguaje de políticas Cedar para definir a qué nodos no se pueden conectar automáticamente los usuarios sin una aprobación manual. Una política de denegación de acceso contiene varias instrucciones `forbid` que especifican la `principal` y el `resource`. Cada instrucción incluye una cláusula `when` que define las condiciones para denegar explícitamente la aprobación automática.
A continuación, se muestra un ejemplo de política de denegación de acceso.
```
forbid (
principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
resource.hasTag("Environment") && resource.getTag("Environment") == "Production"
};
forbid (
principal,
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has division && principal.division != "Finance" && resource.hasTag("DataClassification") && resource.getTag("DataClassification") == "Financial"
};
forbid (
principal,
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has employeeNumber && principal.employeeNumber like "TEMP-*" && resource.hasTag("Criticality") && resource.getTag("Criticality") == "High"
};
```
En el siguiente procedimiento, se describe cómo crear una política de denegación de acceso sobre los nodos justo a tiempo. Para obtener más información acerca de cómo crear instrucciones de políticas, consulte [Estructura de instrucciones y operadores integrados para políticas de aprobación automática y denegación de acceso](auto-approval-deny-access-policy-statement-structure.md).
**nota**
Observe la siguiente información.
Puede crear políticas de denegación de acceso mientras está conectado a la cuenta de administración de AWS o a la cuenta de administrador delegado. La organización de AWS Organizations solo puede tener una política de denegación de acceso.
El acceso a los nodos justo a tiempo utiliza AWS Resource Access Manager (AWS RAM) para compartir su política de denegación de acceso con las cuentas de miembro de su organización. Si desea compartir su política de denegación de acceso con las cuentas de miembro de su organización, debe habilitar el uso compartido de recursos desde la cuenta de administración de su organización. Para obtener más información, consulte [Habilitar el uso compartido de recursos dentro de AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) en la *Guía del usuario de AWS RAM*.
**Cómo crear una política de denegación de acceso**
1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. En el panel de navegación, seleccione **Administrar acceso a nodos**.
1. En la pestaña **Políticas de aprobación**, seleccione **Crear política de denegación de acceso**.
1. Introduzca su instrucción para la política de denegación de acceso en la sección **Instrucción de la política**. Puede usar las **Instrucciones de ejemplo** proporcionadas que le ayudarán a crear la política.
1. Seleccione **Crear política de denegación de acceso**.
# Cómo crear políticas de aprobación para el acceso a los nodos justo a tiempo con Amazon Q
El uso de Amazon Q Developer para la línea de comandos proporciona orientación y soporte en varios aspectos del desarrollo de software. En el caso del acceso a los nodos justo a tiempo, Amazon Q le permite crear políticas de aprobación mediante la generación y actualización del código de las políticas, el análisis de las instrucciones de las políticas y mucho más. A continuación, se describe cómo crear políticas de aprobación mediante Amazon Q para la línea de comandos.
## Cómo identificar su caso de uso
El primer paso para crear políticas de aprobación es definir claramente su caso de uso. Por ejemplo, en su organización, es posible que desee aprobar automáticamente las solicitudes de acceso a los nodos con una etiqueta `Environment:Testing`. También puede denegar explícitamente las aprobaciones automáticas a los nodos con una etiqueta `Environment:Production` si el ID de un empleado comienza por `TEMP`. En el caso de los nodos con una etiqueta `Tier:Database`, es posible que desee requerir dos niveles de aprobaciones manuales.
En cualquier situación, es posible que prefiera una política o condición en lugar de otra. Por lo tanto, recomendamos que defina claramente los comportamientos de la política que desee a fin de determinar qué instrucciones se ajustan mejor a su caso de uso y sus preferencias.
## Cómo configurar el entorno de desarrollo.
Instale Amazon Q para la línea de comandos donde desee crear las políticas de aprobación. Para obtener información sobre la instalación de Amazon Q para la línea de comandos, consulte [Instalación de Amazon Q para la línea de comandos](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/command-line-installing.html) en la *Guía del usuario de Amazon Q Developer*.
También recomendamos instalar el servidor MCP para obtener la documentación de AWS. Este servidor MCP conecta Amazon Q para la línea de comandos con los recursos de documentación más actuales. Para obtener información sobre el uso de MCP con Amazon Q para la línea de comandos, consulte [Using MCP with Amazon Q Developer](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/command-line-mcp.html) en la *Guía del usuario de Amazon Q Developer*.
Para obtener más información sobre el servidor MCP de la documentación de AWS, consulte [AWS Documentation MCP Server](https://awslabs.github.io/mcp/servers/aws-documentation-mcp-server/).
Si aún no lo ha hecho, instale y configure la AWS CLI. Para obtener más información, consulte [Instalación o actualización de la última versión de AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
## Cómo desarrollar el contenido de la política de aprobación
Luego de identificar el caso de uso y configurar el entorno, ya puede desarrollar el contenido de las políticas. Su caso de uso y sus preferencias determinarán en gran medida los tipos de políticas de aprobación e instrucciones que utilice.
Si no sabe cómo utilizar una política concreta o necesita más información sobre el esquema de una política, consulte [Cómo crear políticas de aprobación para sus nodos](systems-manager-just-in-time-node-access-approval-policies.md) y los temas siguientes. En estos temas, se explica en detalle cómo se evalúan las políticas y se proporcionan ejemplos prácticos de instrucciones.
En el siguiente procedimiento, se describe cómo crear políticas de aprobación con Amazon Q para la línea de comandos.
**nota**
Amazon Q Developer utiliza IA generativa. Es posible que necesite verificar las respuestas. Consulte [Política de IA responsable de AWS](https://aws.amazon.com/ai/responsible-ai/policy/).
**Cómo crear políticas de aprobación mediante Amazon Q para la línea de comandos**
1. Abra la terminal e inicie una sesión con Amazon Q.
```
$ q chat
```
1. Introduzca una petición y describa qué tipo de instrucción de política desee crear. Por ejemplo, a partir de la situación anterior para una política de aprobación, podría introducir la siguiente petición:
```
Create a Cedar policy statement that allows a principal to use the “getTokenForInstanceAccess" action for a resource
that has a tag key “Environment” and tag value of “Testing”. Use the following example statement for reference to verify the syntax.
permit (
principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
principal has organization && resource.hasTag("Engineering") && resource.hasTag("Production") && principal.organization == "Platform"
};
The Cedar policy statement you create must be valid. Validate the Cedar statement using the AWS documentation provided for just-in-time node access policy statement structure and make sure you abide by the schema.
```
1. Al introducir esta petición de ejemplo, se obtuvo el siguiente resultado:
```
Based on the AWS documentation for Cedar policy statements and the examples provided, I'll create a valid Cedar policy
statement that allows a principal to use the "getTokenForInstanceAccess" action for resources with the tag key "Environment" and tag value "Testing".
Here's the Cedar policy statement:
permit (
principal,
action == AWS::SSM::Action::"getTokenForInstanceAccess",
resource
)
when {
resource.hasTag("Environment") &&
resource.getTag("Environment") == "Testing"
};
This policy statement:
1. Uses the permit effect to allow access
2. Applies to any principal (since no specific principal is defined)
3. Specifically targets the "getTokenForInstanceAccess" action
4. Applies to resources that have a tag with key "Environment" and value "Testing"
5. Uses the proper syntax for the condition clause with the hasTag() and getTag() operators
The statement follows the Cedar policy language structure as documented in the AWS Systems Manager documentation for just-in-time node access policies.
```
1. Pegue la instrucción de la política en un nuevo archivo Cedar para validar la sintaxis. También puede usar el [área de pruebas de Cedar](https://www.cedarpolicy.com/en/playground) para validar la instrucción.
1. Tras validar la instrucción, guarde el archivo Cedar.
1. Desde la terminal, ejecute el siguiente comando de AWS CLI para crear un documento SSM con el contenido de la política. Antes de utilizar las políticas de aprobación en un entorno de producción, pruébelas con un subconjunto de identidades y nodos en una Cuenta de AWS y Región de AWS.
**nota**
En el caso de una política de aprobación automática, el nombre del documento debe ser `SSM-JustInTimeAccessAutoApprovalPolicy`. Solo puede haber una política de aprobación automática por Cuenta de AWS y Región de AWS. En el caso de una política de denegación de acceso, el nombre del documento debe ser `SSM-JustInTimeAccessDenyAccessOrgPolicy`. Solo puede haber una política de denegación de acceso por organización de AWS Organizations, y la política debe crearse en la cuenta de administrador delegado de Systems Manager. Las restricciones de denominación de las políticas de aprobación manual son las mismas que las de otros documentos SSM. Para obtener más información, consulte [CreateDocument](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_CreateDocument.html#systemsmanager-CreateDocument-request-Name).
------
#### [ Linux & macOS ]
```
aws ssm create-document \
--content file://path/to/file/policyContent.cedar \
--name "SSM-JustInTimeAccessAutoApprovalPolicy" \
--document-type "AutoApproval"
```
------
#### [ Windows ]
```
aws ssm create-document ^
--content file://C:\path\to\file\policyContent.cedar ^
--name "SSM-JustInTimeAccessAutoApprovalPolicy" ^
--document-type "AutoApproval"
```
------
#### [ PowerShell ]
```
$cedar = Get-Content -Path "C:\path\to\file\policyContent.cedar" | Out-String
New-SSMDocument `
-Content $cedar `
-Name "SSM-JustInTimeAccessAutoApprovalPolicy" `
-DocumentType "AutoApproval"
```
------
# Cómo actualizar las preferencias de sesión de acceso a los nodos justo a tiempo
Con el acceso a los nodos justo a tiempo, puede especificar las preferencias generales de sesión y registro en cada Cuenta de AWS y Región de AWS de su organización. Como alternativa, puede usar CloudFormation StackSets para crear un documento de preferencias de la sesión en varias cuentas y regiones a fin de tener preferencias coherentes. Para obtener información sobre el esquema de los documentos de preferencias de la sesión, consulte [Esquema del documento de Session](session-manager-schema.md).
Para fines de registro, recomendamos utilizar la opción de transmisión con Registros de Amazon CloudWatch. Esta característica permite enviar un flujo continuo de registros de datos de sesión a los Registros de CloudWatch. Los detalles esenciales, como los comandos que un usuario ha ejecutado en una sesión, el ID del usuario que ejecutó los comandos y las marcas de tiempo para el momento en que los datos de sesión se transmiten a los Registros de CloudWatch, se incluyen cuando se efectúa el streaming de los datos de la sesión. Con el streaming de los datos de la sesión, los registros tienen formato JSON para ayudarlo a integrarse a sus soluciones de registro existentes.
Systems Manager no finaliza automáticamente las sesiones de acceso a los nodos justo a tiempo. Como práctica recomendada, especifique los valores para configurar la *duración máxima de la sesión* y el *tiempo de espera de la sesión inactiva*. Con estos valores, podrá evitar que un usuario permanezca conectado a un nodo durante más tiempo que el periodo aprobado en una solicitud de acceso. En el siguiente procedimiento, se describe cómo actualizar las preferencias de la sesión para el acceso a los nodos justo a tiempo.
**importante**
Debe etiquetar las claves de AWS KMS utilizadas para el cifrado de Session Manager y el registro RDP en el acceso justo a tiempo al nodo con la clave de etiqueta `SystemsManagerJustInTimeNodeAccessManaged` y el valor de la etiqueta `true`.
Para obtener más información acerca del etiquetado de claves KMS, consulte [Etiquetas en AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/tagging-keys.html) en la *Guía para desarrolladores de AWS Key Management Service*.
**Cómo actualizar las preferencias de sesión**
1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Seleccione **Configuración** en el panel de navegación.
1. Seleccione la pestaña **Acceso a los nodos justo a tiempo**.
1. En la sección **Preferencias de la sesión**, seleccione **Editar**.
1. Actualice las preferencias generales y de registro según sea necesario, y seleccione **Guardar**.
# Cómo configurar las notificaciones para las solicitudes de acceso justo a tiempo
Puede configurar Systems Manager para que envíe notificaciones a las direcciones de correo electrónico o al cliente de chat para los aprobadores y el solicitante cuando un usuario cree una solicitud de acceso a los nodos justo a tiempo. La notificación contiene el motivo de la solicitud de acceso proporcionado por el solicitante, la Cuenta de AWS, la Región de AWS, el estado de la solicitud y el ID del nodo de destino. Actualmente, Systems Manager admite los clientes Slack y Microsoft Teams mediante la integración con Amazon Q Developer en aplicaciones de chat. Cuando se utilizan notificaciones a través de clientes de chat, los aprobadores de las solicitudes de acceso pueden interactuar directamente con estas solicitudes. Esto elimina la necesidad de iniciar sesión en la consola para tomar medidas en relación con las solicitudes de acceso.
**Antes de empezar**
Antes de configurar un cliente de chat para las notificaciones de acceso a los nodos justo a tiempo, tenga en cuenta el siguiente requisito:
+ Si utiliza roles de IAM para gestionar las identidades de los usuarios en la cuenta, debe asociar manualmente las direcciones de correo electrónico de los aprobadores o solicitantes que posean el rol asociado y a quienes desee enviar notificaciones. De lo contrario, no se podrá notificar por correo electrónico a los destinatarios previstos.
En los siguientes procedimientos, se describe cómo configurar las notificaciones para las solicitudes de acceso a los nodos justo a tiempo.
**Cómo configurar un cliente de chat para las notificaciones de acceso a los nodos justo a tiempo**
1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Seleccione **Configuración** en el panel de navegación.
1. Seleccione la pestaña **Acceso a los nodos justo a tiempo**.
1. En la sección **Chat**, seleccione **Configurar nuevo cliente**.
1. En el menú desplegable **Seleccionar tipo de cliente**, elija el tipo de cliente de chat que desee configurar y seleccione **Siguiente**.
1. Se le solicitará que permita que Amazon Q Developer en aplicaciones de chat acceda al cliente de chat que utiliza. Seleccione **Permitir**.
1. En la sección **Configurar canal**, introduzca la información del canal del cliente de chat y seleccione los tipos de notificaciones que desee recibir.
1. Si está configurando las notificaciones de Slack, invite a "@Amazon Q" a todos los canales de Slack en los que se estén configurando las notificaciones.
1. Seleccione **Configurar canal**.
**nota**
Para poder aprobar o rechazar las solicitudes de acceso directamente desde un canal de Slack, asegúrese de que el rol de IAM configurado con el canal de Slack tenga permisos `ssm:SendAutomationSignal` y una política de confianza que incluya el chatbot:
```
{
"Effect": "Allow",
"Principal": {
"Service": "chatbot.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
```
**Cómo configurar las notificaciones por correo electrónico para las notificaciones de acceso a los nodos justo a tiempo**
1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Seleccione **Configuración** en el panel de navegación.
1. Seleccione la pestaña **Acceso a los nodos justo a tiempo**.
1. En la sección **Correo electrónico**, seleccione **Editar**.
1. Seleccione **Añadir correos electrónicos**, elija el **rol de IAM** al que desee asociar manualmente las direcciones de correo electrónico.
1. Ingrese su dirección de correo electrónico en el campo **Dirección de correo electrónico**. Siempre que se cree una solicitud de acceso que requiera la aprobación del rol de IAM que especificó, se notificará a las direcciones de correo electrónico asociadas a ese rol.
1. Seleccione **Añadir dirección de correo electrónico**.
# Cómo grabar conexiones RDP
El acceso a los nodos justo a tiempo incluye la posibilidad de grabar las conexiones con el protocolo para escritorios remotos (RDP) realizadas con los nodos de Windows Server. Para grabar las conexiones RDP, se necesita un bucket de S3 y una clave de AWS Key Management Service (AWS KMS) administrada por el cliente. La AWS KMS key se usa para cifrar temporalmente los datos de la grabación mientras se generan y almacenan en los recursos de Systems Manager. La clave administrada por el cliente debe ser una clave simétrica con un uso de cifrado y descifrado. Puede usar una clave multirregional para la organización o debe crear una clave administrada por el cliente en cada región en la que haya habilitado el acceso a los nodos justo a tiempo.
Si habilitó el cifrado de KMS en el bucket de S3 en el que almacena las grabaciones, debe dar acceso a la clave administrada por el cliente. Esta clave se utiliza para el cifrado del bucket en la entidad principal de servicio `ssm-guiconnect`. Esta clave administrada por el cliente puede ser diferente a la que especifique en la configuración de grabación, y debe incluir para que se requiere el permiso `kms:CreateGrant` para establecer conexiones.
## Configuración del cifrado de bucket de S3 para las grabaciones RDP
Las grabaciones de su conexión se almacenan en el bucket de S3 que especifique al habilitar la grabación RDP.
Si utiliza una clave de KMS como mecanismo de cifrado predeterminado para el bucket de S3 (SSE-KMS), debe permitir que la entidad principal de servicio `ssm-guiconnect` acceda a la acción `kms:GenerateDataKey` en la clave. Recomendamos usar una clave administrada por el cliente al usar el cifrado de SSE-KMS con un bucket de S3. Esto se debe a que puede actualizar la política de claves asociada para una clave administrada por el cliente. No puede actualizar las políticas de claves para Claves administradas por AWS.
**importante**
Debe etiquetar las claves de AWS KMS utilizadas para el cifrado de Session Manager y el registro de RDP en el acceso al nodo justo a tiempo con la clave de etiqueta `SystemsManagerJustInTimeNodeAccessManaged` y el valor de etiqueta `true`.
Para obtener más información acerca del etiquetado de claves KMS, consulte [Etiquetas en AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/tagging-keys.html) en la *Guía para desarrolladores de AWS Key Management Service*.
Utilice la siguiente política de claves administrada por el cliente para permitir que el servicio `ssm-guiconnect` acceda a la clave KMS para el almacenamiento en S3. Para obtener información sobre la actualización de una clave administrada por el cliente, consulte [Cambio de una política de claves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) en la *Guía para desarrolladores de AWS Key Management Service*.
Reemplace cada *example resource placeholder* con su propia información:
+ *account-id* representa el ID de Cuenta de AWS que inicia la conexión.
+ *region* representa la Región de AWS donde está ubicado el bucket de S3. (Puede usar `*` si el bucket recibirá grabaciones de varias regiones. Ejemplo: `s3.*.amazonaws.com`.)
**nota**
Puede usar `aws:SourceOrgID` en la política en lugar de `aws:SourceAccount` si la cuenta pertenece a una organización en AWS Organizations.
```
{
"Sid": "Allow the GUI Connect service principal to access S3",
"Effect": "Allow",
"Principal": {
"Service": "ssm-guiconnect.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account-id"
},
"StringLike": {
"kms:ViaService": "s3.region.amazonaws.com"
}
}
}
```
## Cómo configurar permisos de IAM para grabar conexiones RDP
Además de los permisos de IAM necesarios del acceso a los nodos justo a tiempo, el usuario o el rol que utilice deben tener los siguientes permisos en función de la tarea que deba realizar.
**Permisos para configurar la grabación de conexiones**
Para configurar la grabación de conexiones RDP, se necesitan los siguientes permisos:
+ `ssm-guiconnect:UpdateConnectionRecordingPreferences`
+ `ssm-guiconnect:GetConnectionRecordingPreferences`
+ `ssm-guiconnect:DeleteConnectionRecordingPreferences`
+ `kms:CreateGrant`
**Permisos para iniciar conexiones**
Para establecer conexiones RDP con acceso a los nodos justo a tiempo, se necesitan los siguientes permisos:
+ `ssm-guiconnect:CancelConnection`
+ `ssm-guiconnect:GetConnection`
+ `ssm-guiconnect:StartConnection`
+ `kms:CreateGrant`
**Antes de empezar**
Para almacenar las grabaciones de las conexiones, primero debe crear un bucket de S3 y añadir la siguiente política de bucket. Reemplace cada *example resource placeholder* con su propia información.
Para obtener información sobre cómo agregar una política de bucket, consulte [Cómo agregar una política de bucket mediante la consola de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) en la *Guía del usuario de Amazon Simple Storage Service*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConnectionRecording",
"Effect": "Allow",
"Principal": {
"Service": [
"ssm-guiconnect.amazonaws.com"
]
},
"Action": "s3:PutObject",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition":{
"StringEquals":{
"aws:SourceAccount":"111122223333"
}
}
}
]
}
```
------
## Habilitación y configuración de la grabación de conexiones RDP
En el siguiente procedimiento, se describe cómo habilitar y configurar la grabación de conexiones RDP.
**Para habilitar y configurar la grabación de conexiones RDP**
1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Seleccione **Configuración** en el panel de navegación.
1. Seleccione la pestaña **Acceso a los nodos justo a tiempo**.
1. En la sección **Grabación RDP**, seleccione **Habilitar grabación RDP**.
1. Elija el bucket de S3 en el que desee cargar las grabaciones de las sesiones.
1. Elija la clave administrada por el cliente que desee utilizar para cifrar temporalmente los datos de la grabación mientras se generan y almacenan en los recursos de Systems Manager. Puede ser una clave administrada por el cliente diferente a la que utiliza para cifrar el bucket.
1. Seleccione **Guardar**.
## Valores de estado de la grabación de conexiones RDP
Los valores de estado válidos para las grabaciones de conexiones RDP son los siguientes:
+ `Recording`: la conexión está en proceso de grabación.
+ `Processing`: el video se está procesando una vez finalizada la conexión.
+ `Finished`: estado terminal exitoso; el video de grabación de la conexión se procesó correctamente y se cargó en el bucket especificado.
+ `Failed`: estado terminal fallido. La conexión no se grabó correctamente.
+ `ProcessingError`: se produjeron uno o más errores o fallos intermedios durante el procesamiento del vídeo. Las posibles causas incluyen fallos de dependencia del servicio o falta de permisos debido a una configuración incorrecta en el bucket de S3 especificado para almacenar las grabaciones. El servicio sigue intentando procesar cuando la grabación se encuentra en este estado.
**nota**
`ProcessingError` puede deberse a que la entidad principal de servicio `ssm-guiconnect` no tenga permiso para cargar objetos en el bucket de S3 una vez establecida la conexión. Otra posible causa es la falta de permisos de KMS en la clave de KMS que se utiliza para el cifrado del bucket de S3.
# Cómo modificar destinos
Cuando configura el acceso a los nodos justo a tiempo, debe elegir los *destinos* en los que desee hacerlo. Los destinos consisten en unidades organizativas (OU) de AWS Organizations y Regiones de AWS. De forma predeterminada, los mismos destinos que eligió al configurar la consola unificada de Systems Manager se seleccionan para el acceso a los nodos justo a tiempo. Puede elegir configurar el acceso a los nodos justo a tiempo para todos los mismos destinos o para un subconjunto de los destinos que especificó al configurar la consola unificada de Systems Manager. No es posible añadir nuevos destinos que no se seleccionaron al configurar la consola unificada de Systems Manager. Puede cambiar los destinos que seleccionó después de configurar el acceso a los nodos justo a tiempo.
En el siguiente procedimiento, se describe cómo modificar los destinos para el acceso a los nodos justo a tiempo.
**Cómo modificar destinos**
1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Seleccione **Configuración** en el panel de navegación.
1. Seleccione la pestaña **Acceso a los nodos justo a tiempo**.
1. En la sección **Objetivos**, seleccione **Editar**.
1. Seleccione las **Unidades organizativas** y las **Regiones** en las que desee usar el acceso a los nodos justo a tiempo.
1. Seleccione **Guardar**.
# Cómo cambiar proveedores de identidades
De forma predeterminada, el acceso a los nodos justo a tiempo utiliza IAM como proveedor de identidades. Después de habilitar el acceso a los nodos justo a tiempo, los clientes que utilicen la consola unificada con una organización pueden modificar esta configuración para usar IAM Identity Center. El acceso a los nodos justo a tiempo no admite IAM Identity Center como proveedor de identidades cuando se configura para una sola cuenta y región.
En el siguiente procedimiento, se describe cómo modificar el proveedor de identidades para el acceso a los nodos justo a tiempo.
**Cómo modificar proveedores de identidades**
1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Seleccione **Configuración** en el panel de navegación.
1. Seleccione la pestaña **Acceso a los nodos justo a tiempo**.
1. En la sección **Identidad del usuario**, seleccione **Editar**.
1. Elija **AWS IAM Identity Center**.
1. Seleccione **Guardar**.
# Cómo iniciar una sesión de acceso a los nodos justo a tiempo
Tras habilitar y configurar el acceso a los nodos justo a tiempo y configurar las preferencias de sesión y notificación, los usuarios pueden iniciar las sesiones de acceso a los nodos justo a tiempo. Puede iniciar las sesiones mediante el acceso a los nodos justo a tiempo desde la consola de Systems Manager o desde la AWS Command Line Interface mediante el complemento Session Manager. Las sesiones de acceso a los nodos justo a tiempo se pueden iniciar en los nodos de la misma cuenta y región. En los siguientes procedimientos, se describe cómo iniciar sesiones con acceso a los nodos justo a tiempo.
**nota**
Si los usuarios utilizaban anteriormente Session Manager para conectarse a los nodos, debe eliminar los permisos de Session Manager; por ejemplo, `ssm:StartSession` de las políticas de IAM para iniciar sesiones mediante el acceso a los nodos justo a tiempo. De lo contrario, cuando se conecten a los nodos, seguirán utilizando Session Manager.
**Cómo iniciar una sesión con acceso a los nodos justo a tiempo mediante la consola**
1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. En el panel de navegación, elija **Explorar nodos**.
1. Seleccione el nodo al que desee conectarse.
1. En el menú desplegable **Acciones**, seleccione **Conectar**.
Si las políticas de aprobación de su organización no le permiten conectarse automáticamente al nodo, deberá enviar una solicitud de acceso. Después de completar la información necesaria y enviar la solicitud de acceso, podrá iniciar sesiones en el nodo una vez que se hayan recibido todas las aprobaciones necesarias.
**Cómo iniciar una sesión con acceso a los nodos justo a tiempo mediante la AWS CLI**
1. Ejecute el siguiente comando para iniciar el flujo de trabajo de la solicitud de acceso y asegúrese de sustituir los *valores del marcador de posición* con sus datos.
```
aws ssm start-access-request \
--targets Key=InstanceIds,Values=i-02573cafcfEXAMPLE
--reason "Troubleshooting networking performance issue"
```
Según las políticas de aprobación de su organización, se conectará automáticamente al nodo o se iniciará el proceso de aprobación manual. En el caso de las solicitudes que requieren aprobaciones manuales, anote el ID de la solicitud de acceso que aparece en la respuesta.
1. Espere a que se realicen todas las aprobaciones necesarias.
1. Una vez que se hayan realicen todas las aprobaciones necesarias, ejecute el siguiente comando para obtener un token de acceso que contenga las credenciales temporales. Reemplace los *valores de marcador de posición* con su información.
```
aws ssm get-access-token \
--access-request-id oi-12345abcdef
```
Anote el token de acceso devuelto en la respuesta.
1. Ejecute el siguiente comando para utilizar la credencial temporal en la AWS CLI y asegúrese de sustituir los *valores del marcador de posición* con sus datos.
```
export AWS_SESSION_TOKEN=AQoDYXdzEJr...
```
1. Ejecute el siguiente comando para iniciar una sesión en el nodo y asegúrese de sustituir los *valores del marcador de posición* con sus datos.
```
aws ssm start-session \
--target i-02573cafcfEXAMPLE
```
# Cómo administrar las solicitudes de acceso justo a tiempo
Para aumentar la visibilidad en toda la organización, Systems Manager replica las solicitudes de acceso en la cuenta de administrador delegado de la organización. Para que pueda respetar los requisitos de cumplimiento, Systems Manager conserva todas las solicitudes de acceso durante 1 año. En los siguientes temas, se describe cómo administrar las solicitudes de acceso a los nodos justo a tiempo. Esta información está destinada a los aprobadores de solicitudes de acceso. Antes de empezar, le recomendamos revisar las políticas de IAM y asegurarse de que dispone de los permisos necesarios para administrar el acceso a los nodos justo a tiempo. Para obtener más información, consulte [Cómo configurar acceso justo a tiempo con Systems Manager](systems-manager-just-in-time-node-access-setting-up.md).
**Topics**
+ [Cómo aprobar y denegar solicitudes de acceso a los nodos justo a tiempo](systems-manager-just-in-time-node-access-approve-deny-requests.md)
# Cómo aprobar y denegar solicitudes de acceso a los nodos justo a tiempo
Los aprobadores de solicitudes de acceso pueden aprobar o denegar las solicitudes de acceso a los nodos justo a tiempo desde la consola unificada de Systems Manager o mediante la herramienta de línea de comandos que prefieran. Esta información está destinada a los aprobadores de solicitudes de acceso. Si no dispone de los permisos necesarios para aprobar o rechazar solicitudes de acceso, póngase en contacto con su administrador. En los siguientes procedimientos, se describe cómo aprobar o denegar las solicitudes de acceso a los nodos justo a tiempo.
**Cómo aprobar y denegar solicitudes de acceso a los nodos justo a tiempo mediante la consola**
1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. En el panel de navegación, seleccione **Administrar acceso a nodos**.
1. Seleccione la pestaña **Solicitudes de acceso**.
1. Seleccione el botón **Solicitudes para mí**.
1. Seleccione la casilla de verificación situada junto a la solicitud de acceso que desee aprobar o denegar.
1. Seleccione **Aprobar** o **Rechazar**.
Tras aprobar una solicitud de acceso, puede revocar su aprobación en cualquier momento si selecciona **Revocar**.
**Cómo aprobar y denegar solicitudes de acceso a los nodos justo a tiempo mediante la línea de comandos**
1. Anote el ID de la solicitud de acceso que aparece en la notificación. Por ejemplo, *oi-12345abcdef*.
1. Ejecute el siguiente comando para obtener los detalles del flujo de trabajo de la aprobación de la solicitud de acceso y asegúrese de sustituir los *valores del marcador de posición* con sus datos.
```
aws ssm get-ops-item \
--ops-item-id oi-12345abcdef
```
Anote el valor de `automationExecutionId` en el campo `/aws/accessrequest` correspondiente a `OperationalData`. Por ejemplo, *9231944f-61c6-40be-8bce-8ee2bEXAMPLE*.
1. Ejecute el siguiente comando para aprobar o denegar la solicitud de acceso. Utilice el tipo de señal `Approve` para aprobar la solicitud y `Deny` para denegarla. Asegúrese de reemplazar los *valores de marcador de posición* con sus datos.
```
aws ssm send-automation-signal \
--automation-execution-id 9231944f-61c6-40be-8bce-8ee2bEXAMPLE \
--signal-type "Approve"
```
# Cambio al acceso a los nodos justo a tiempo desde Session Manager
Al habilitar el acceso a los nodos justo a tiempo, Systems Manager no realiza ningún cambio en los recursos existentes para Session Manager. Esto garantiza que no haya interrupciones en su entorno existente y que los usuarios puedan seguir iniciando sesión mientras usted crea y valida las políticas de aprobación. Una vez que desee probar las políticas de aprobación, debe modificar las políticas de IAM existentes para completar la transición al acceso a los nodos justo a tiempo. Esto implica añadir a las identidades los permisos necesarios para el acceso a los nodos justo a tiempo y eliminar el permiso para el funcionamiento de la API de `StartSession` para Session Manager. Recomendamos probar las políticas de aprobación con un subconjunto de identidades y nodos en una Cuenta de AWS y Región de AWS.
Para obtener más información acerca de los permisos necesarios para el acceso a los nodos justo a tiempo, consulte [Cómo configurar acceso justo a tiempo con Systems Manager](systems-manager-just-in-time-node-access-setting-up.md).
Para obtener más información sobre cómo modificar y asignar los permisos a una entidad principal de IAM, consulte [Adición y eliminación de permisos de identidad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) en la *Guía del usuario de IAM*.
A continuación, se detalla un método para pasar al acceso a los nodos justo a tiempo desde Session Manager.
Pasar de Session Manager al acceso a los nodos justo a tiempo requiere de una planificación y pruebas cuidadosas para garantizar una transición fluida sin interrumpir sus operaciones. En las siguientes secciones, se describe cómo puede completar este proceso.
## Requisitos previos
Antes de comenzar, asegúrese de haber realizado las siguientes tareas:
+ Configuró la consola unificada de Systems Manager.
+ Verificó que tiene permisos para modificar las políticas de IAM en la cuenta.
+ Identificó todas las políticas y roles de IAM que actualmente otorgan permisos de Session Manager.
+ Documentó la configuración actual de Session Manager, incluidas las preferencias de sesión y los ajustes de registro.
## Evaluación
Evalúe el entorno actual y realice las siguientes acciones para describir los comportamientos de aprobación deseados:
1. **Haga un inventario de los nodos**: identifique todos los nodos a los que los usuarios acceden actualmente a través de Session Manager.
1. **Identifique los patrones de acceso de los usuarios**: documente qué usuarios o roles necesitan acceder a qué nodos y en qué circunstancias.
1. **Trace los flujos de trabajo de aprobación**: determine quién debe aprobar las solicitudes de acceso para los distintos tipos de nodos.
1. **Revise la estrategia de etiquetado**: asegúrese de que los nodos estén correctamente etiquetados para respaldar las políticas de aprobación planificadas.
1. **Audite las políticas de IAM existentes**: identifique todas las políticas que incluyen permisos de Session Manager.
## Planificación
### Estrategia por fases
Al pasar de Session Manager al acceso a los nodos justo a tiempo, recomendamos utilizar un enfoque por fases, como el siguiente:
1. **Fase 1, ajustes y configuración**: habilite el acceso a los nodos justo a tiempo sin modificar los permisos de Session Manager existentes.
1. **Fase 2, desarrollo de políticas**: cree y pruebe políticas de aprobación para los nodos.
1. **Fase 3, migración piloto**: modifique un pequeño grupo de nodos no críticos, usuarios o roles de Session Manager para que admitan el acceso a los nodos justo a tiempo.
1. **Fase 4, migración completa**: migre gradualmente todos los nodos, usuarios o roles restantes.
### Consideraciones sobre el cronograma
Considere los siguientes factores al crear su cronograma para pasar de Session Manager al acceso a los nodos justo a tiempo:
+ Dedique tiempo a la capacitación de los usuarios y a su adaptación al nuevo flujo de trabajo de aprobación.
+ Programe las migraciones durante los periodos de menor actividad operativa.
+ Incluya tiempo adicional para la resolución de problemas y los ajustes.
+ Planifique un periodo de funcionamiento paralelo en el que ambos sistemas estén disponibles.
## Pasos para la implementación
### Fase 1: ajustes y configuración
1. Habilite el acceso a los nodos justo a tiempo en la consola de Systems Manager. Para ver los pasos detallados, consulte [Cómo configurar acceso justo a tiempo con Systems Manager](systems-manager-just-in-time-node-access-setting-up.md).
1. Configure las preferencias de sesión para el acceso a los nodos justo a tiempo a fin de que coincidan con los ajustes actuales de Session Manager. Para obtener más información, consulte [Cómo actualizar las preferencias de sesión de acceso a los nodos justo a tiempo](systems-manager-just-in-time-node-access-session-preferences.md).
1. Configure las preferencias de notificación para las solicitudes de acceso. Para obtener más información, consulte [Cómo configurar las notificaciones para las solicitudes de acceso justo a tiempo](systems-manager-just-in-time-node-access-notifications.md).
1. Si utiliza conexiones con el protocolo para escritorios remotos (RDP) a nodos de Windows Server, configure la grabación RDP. Para obtener más información, consulte [Cómo grabar conexiones RDP](systems-manager-just-in-time-node-access-rdp-recording.md).
### Fase 2: desarrollo de políticas
1. Cree políticas de IAM para los administradores del acceso a los nodos justo a tiempo y los usuarios.
1. Desarrolle políticas de aprobación basadas en sus requisitos de seguridad y caso de uso.
1. Pruebe las políticas en un entorno que no sea de producción para asegurarse de que funcionen como se espera.
### Fase 3: migración piloto
1. Seleccione un pequeño grupo de usuarios y nodos no críticos para la prueba piloto.
1. Cree nuevas políticas de IAM para los usuarios piloto que incluyan permisos de acceso a los nodos justo a tiempo.
1. Elimine los permisos de Session Manager (`ssm:StartSession`) de las políticas de IAM de los usuarios piloto.
1. Capacite a los usuarios piloto sobre el nuevo flujo de trabajo de solicitudes de acceso.
1. Supervise el piloto para detectar problemas y recopile comentarios.
1. Ajuste las políticas y los procedimientos en función de los resultados del piloto.
**Ejemplo de modificación de la política de IAM para los usuarios piloto**
Política original con permisos de Session Manager:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession",
"ssm:ResumeSession",
"ssm:TerminateSession"
],
"Resource": "*"
}
]
}
```
------
Política modificada para el acceso a los nodos justo a tiempo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartAccessRequest",
"ssm:GetAccessToken",
"ssm:ResumeSession",
"ssm:TerminateSession"
],
"Resource": "*"
}
]
}
```
------
### Fase 4: migración completa
Desarrolle un cronograma para migrar los usuarios y nodos restantes en lotes.
## Metodología de pruebas
Durante todo el proceso de migración, realice las siguientes pruebas:
+ **Validación de las políticas**: verifique que las políticas de aprobación se apliquen correctamente a los nodos y usuarios previstos.
+ **Flujo de trabajo de la solicitud de acceso**: pruebe el flujo de trabajo completo, desde la solicitud de acceso hasta el establecimiento de la sesión, tanto para situaciones de aprobación automática como de aprobación manual.
+ **Notificaciones**: verifique que los aprobadores reciban las notificaciones a través de los canales configurados (correo electrónico, Slack, Microsoft Teams).
+ **Registro y supervisión**: verifique que los registros de las sesiones y las solicitudes de acceso se capturan y almacenan correctamente.
## Prácticas recomendadas para una migración exitosa
+ **Comunicación a tiempo y frecuente**: informe a los usuarios sobre el cronograma de migración y las ventajas del acceso a los nodos justo a tiempo.
+ **Comience con sistemas no críticos**: inicie la migración con entornos de desarrollo o prueba antes de pasar a la producción.
+ **Documente todo**: mantenga registros detallados de las políticas de aprobación, los cambios en las políticas de IAM y los ajustes en la configuración.
+ **Supervise y ajuste**: supervise continuamente las solicitudes de acceso y los flujos de trabajo de aprobación, y ajuste las políticas según sea necesario.
+ **Establezca la gobernanza**: cree un proceso para revisar y actualizar periódicamente las políticas de aprobación a medida que cambie el entorno.
# Cómo deshabilitar el acceso justo a tiempo con Systems Manager
En el siguiente procedimiento, se describe cómo deshabilitar el acceso a los nodos justo a tiempo. Después de deshabilitar el acceso a los nodos justo a tiempo, es posible que los usuarios de la organización no puedan conectarse a los nodos a menos que ya haya implementado otros métodos de conexión.
**Cómo deshabilitar el acceso a los nodos justo a tiempo**
1. Inicie sesión en la cuenta de administrador delegado de Systems Manager de la organización.
1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Seleccione **Configuración** en el panel de navegación.
1. En la pestaña **Acceso a los nodos justo a tiempo**, seleccione **Deshabilitar**.
# Preguntas frecuentes sobre el acceso a los nodos justo a tiempo
## ¿Cómo puedo pasar de Session Manager al acceso a los nodos justo a tiempo?
Tras configurar la consola unificada y habilitar el acceso a los nodos justo a tiempo, debe modificar las políticas de IAM existentes para completar la transición al acceso a los nodos justo a tiempo. Esto incluye añadir los permisos necesarios del acceso a los nodos justo a tiempo y eliminar el permiso del funcionamiento de la API de `StartSession` para Session Manager. Para obtener más información acerca de las políticas de IAM sobre el acceso a los nodos justo a tiempo, consulte [Cómo configurar acceso justo a tiempo con Systems Manager](systems-manager-just-in-time-node-access-setting-up.md).
## ¿Tengo que configurar la consola unificada para utilizar el acceso a los nodos justo a tiempo?
Sí, la configuración de la consola unificada es un requisito previo del acceso a los nodos justo a tiempo. Sin embargo, después de configurar la consola unificada y habilitar el acceso a los nodos justo a tiempo, existen varios métodos para conectarse a ellos. Por ejemplo, puede iniciar sesiones de acceso a los nodos justo a tiempo desde la consola de Amazon EC2 y la AWS CLI. Para obtener más información sobre la configuración de la consola unificada, consulte [Cómo configurar la consola unificada de Systems Manager para una organización](systems-manager-setting-up-organizations.md).
## ¿El acceso a los nodos justo a tiempo conlleva gastos?
Systems Manager ofrece una prueba gratuita de 30 días para el acceso a los nodos justo a tiempo. Una vez finalizada la prueba, el acceso a los nodos justo a tiempo conlleva gastos. Para más información, consulte [Precios de AWS Systems Manager](https://aws.amazon.com/systems-manager/pricing/).
## ¿Cuál es la prioridad de las políticas de aprobación sobre el acceso a los nodos justo a tiempo?
Las políticas de aprobación se evalúan en el siguiente orden:
1. Denegación de acceso
1. Aprobación automática
1. Manual
## ¿Cómo se evalúan las políticas de aprobación manual?
El acceso a los nodos justo a tiempo siempre favorece la política más específica para un nodo. Las políticas de aprobación manual se evalúan en el siguiente orden:
1. Destino específico según la etiqueta
1. Todos los destinos de los nodos
## ¿Qué ocurre si no hay una política de aprobación que se aplique a un nodo?
Para conectarse a un nodo mediante el acceso justo a tiempo, se le debe aplicar una política de aprobación. Si no hay políticas de aprobación que se apliquen a un nodo, los usuarios no podrán solicitar el acceso.
## ¿Varias políticas de aprobación pueden estar dirigidas a una etiqueta?
Una etiqueta solo puede ser el destino una vez en las políticas de aprobación.
## ¿Qué ocurre si se aplican varias políticas de aprobación manual a un nodo debido a la superposición de etiquetas?
Cuando se aplican varias políticas de aprobación manual a un nodo, se genera un conflicto, y los usuarios no pueden solicitar acceso. Tenga esto en cuenta al crear las políticas de aprobación manual, ya que algunas instancias pueden tener varias etiquetas según su caso.
## ¿Puedo usar el acceso a los nodos justo a tiempo para solicitar acceso e iniciar sesiones en nodos de todas las cuentas y regiones?
El acceso a los nodos justo a tiempo permite solicitar acceso e iniciar sesiones en nodos de la misma cuenta y región que el solicitante.
## ¿Puedo usar el acceso a los nodos justo a tiempo para solicitar acceso e iniciar sesiones en los nodos registrados con una activación híbrida?
Sí, el acceso a los nodos justo a tiempo permite solicitar acceso e iniciar sesiones en los nodos registrados con una activación híbrida. El nodo debe estar registrado en la misma cuenta y región que el solicitante.
# Diagnóstico y corrección
Gracias a la consola unificada de Systems Manager, puede identificar problemas en la flota en una sola operación de diagnóstico. En el caso de las organizaciones, puede intentar corregir todos los destinos o solo algunos de ellos mediante una única operación de Automatización. En el caso de una organización, como administrador de cuentas delegado, puede seleccionar destinos en todas las cuentas y regiones. Si trabaja en una sola cuenta, puede seleccionar destinos en una sola región a la vez.
Systems Manager puede diagnosticar y ayudar a corregir varios tipos de errores de implementación, así como configuraciones desviadas. Systems Manager también puede identificar las instancias de Amazon Elastic Compute Cloud (Amazon EC2) en su cuenta u organización que no puede tratar como *nodos administrados*. El proceso de diagnóstico de instancias de EC2 puede identificar problemas relacionados con configuraciones incorrectas en una nube privada virtual (VPC), en una configuración de sistema de nombres de dominio (DNS) o en un grupo de seguridad de Amazon Elastic Compute Cloud (Amazon EC2).
**nota**
Systems Manager admite instancias de EC2 y otros tipos de equipos en un entorno [híbrido y multinube](operating-systems-and-machine-types.md#supported-machine-types) como *nodos administrados*. Para ser un nodo administrado, AWS Systems Manager Agent (SSM Agent) debe estar instalado en un equipo y Systems Manager debe tener permiso para realizar acciones en el equipo.
En el caso de las instancias de EC2, este permiso se puede proporcionar por cuenta mediante un rol de AWS Identity and Access Management (IAM) o por instancia mediante un perfil de instancia. Para obtener más información, consulte [Configuración de permisos de instancia requeridos para Systems Manager](setup-instance-permissions.md).
En el caso de los equipos que no son de EC2, este permiso se proporciona mediante un rol de servicio de IAM. Para obtener más información, consulte [Creación del rol de servicio de IAM requerido para Systems Manager en entornos híbridos y multinube](hybrid-multicloud-service-role.md).
**Antes de empezar**
Para utilizar la característica **Diagnosticar y corregir** para detectar instancias de EC2 no administradas, antes debe incorporar su organización o cuenta a la consola unificada de Systems Manager. Durante este proceso, debe elegir la opción de crear los roles de IAM y las políticas administradas necesarias para estas operaciones. Para obtener más información, consulte [Cómo configurar la consola unificada de Systems Manager para una organización](systems-manager-setting-up-organizations.md).
Utilice los siguientes temas para identificar y corregir algunos tipos comunes de implementaciones con errores, configuraciones desviadas e instancias de EC2 no administradas.
**Topics**
+ [Diagnóstico y corrección de implementaciones con error](remediating-deployment-issues.md)
+ [Diagnóstico y corrección de configuraciones desviadas](remediating-configuration-drift.md)
+ [Diagnóstico y corrección de instancias de Amazon EC2 no administradas en Systems Manager](remediating-unmanaged-instances.md)
+ [Tipos de impacto de la corrección de las acciones del manual de procedimientos](remediation-impact-type.md)
+ [Visualización del progreso de la ejecución y el historial de las correcciones en Systems Manager](diagnose-and-remediate-execution-history.md)
# Diagnóstico y corrección de implementaciones con error
Systems Manager puede diagnosticar y, después, ayudar a corregir los siguientes tipos de implementaciones con error:
+ Configuración básica para las cuentas de los miembros de la organización
+ Configuración básica para la cuenta de administrador delegado
+ Configuración básica de su cuenta
Utilice el siguiente procedimiento para intentar corregir estos tipos de problemas.
**Diagnóstico y corrección de las implementaciones con error**
1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. En el panel de navegación, elija **Diagnosticar y corregir**.
1. Elija la pestaña **Problemas de implementaciones**.
1. En la sección **Implementaciones con error**, revise la lista de resultados de las implementaciones con error.
1. En la columna **Paso de configuración**, elija el nombre de un resultado para revisar los detalles adicionales acerca del problema. Por ejemplo: **Configuración básica para las cuentas de los miembros de la organización**.
1. En la página de detalles de esa implementación con errores, se puede ver una lista de cuentas y cuántas regiones de cada una de ellas han sufrido errores en la implementación.
1. Seleccione un ID de cuenta para ver información sobre el motivo de los errores de esa cuenta.
1. En el área **Regiones con errores**, examine la información proporcionada en **Motivo del estado**. Esta información puede indicar el motivo de la implementación con errores, lo que podría proporcionar información sobre los cambios de configuración que deben hacerse.
1. Si desea volver a intentar la implementación sin hacer cambios en la configuración, elija **Volver a implementar**.
# Diagnóstico y corrección de configuraciones desviadas
Systems Manager puede diagnosticar y, después, ayudar a corregir los siguientes tipos de configuraciones desviadas:
+ Configuración básica para las cuentas de los miembros de la organización
+ Configuración básica para la cuenta de administrador delegado
+ Configuración básica de su cuenta
Utilice el siguiente procedimiento para intentar corregir este tipo de configuraciones desviadas.
**Diagnóstico y corrección de las configuraciones desviadas**
1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. En el panel de navegación, elija **Diagnosticar y corregir**.
1. Elija la pestaña **Problemas de implementaciones**.
1. En la sección **Implementaciones desviadas**, consulte la lista de resultados de implementaciones con errores.
-o bien-
Para ejecutar un nuevo diagnóstico, elija **Detectar desviaciones**.
1. En la columna **Paso de configuración**, elija el nombre de un resultado para revisar los detalles adicionales acerca del problema. Por ejemplo: **Configuración básica para las cuentas de los miembros de la organización**.
1. En la página de detalles de esa implementación con errores, se puede ver una lista de cuentas y cuántas regiones de cada una de ellas han sufrido cambios de configuración.
1. Seleccione un ID de cuenta para ver la información sobre el motivo de los desvíos de configuración de esa cuenta.
1. En el área **Recursos desviados**, la columna **Recurso** muestra los nombres de los recursos que se han visto afectados. La columna **Tipo de desviación** indica si el recurso se modificó o se eliminó.
1. Para volver a implementar la configuración deseada, elija **Volver a implementar**.
# Diagnóstico y corrección de instancias de Amazon EC2 no administradas en Systems Manager
Para ayudar a administrar las instancias de Amazon Elastic Compute Cloud (Amazon EC2) con Systems Manager, puede utilizar la consola de Systems Manager para hacer lo siguiente:
1. Ejecute un proceso de diagnóstico manual o programado para identificar las instancias de EC2 de su cuenta u organización que actualmente no administra Systems Manager.
1. Identifique los problemas de red o de otro tipo que impiden que Systems Manager administre las instancias.
1. Lleve a cabo una ejecución de Automatización para solucionar el problema de manera automática o acceda a la información para solucionar el problema de forma manual.
Utilice la información de los temas siguientes para diagnosticar y corregir los problemas que impiden que Systems Manager administre las instancias de EC2.
## Cómo contabiliza Systems Manager los nodos afectados en la lista “Problemas de instancias de EC2 no administradas”
El número de nodos declarados como no administrados en la pestaña **Problemas de instancias de EC2 no administradas** representa el número total de instancias con cualquiera de los siguientes valores de estado en el momento del análisis de diagnóstico:
+ `Running`
+ `Stopped`
+ `Stopping`
Este número se indica como **Nodos afectados** en el área **Resumen del problema**. En la siguiente imagen, este número de nodos afectados que Systems Manager no administra actualmente es `40`.
![\[El área “Resumen del problema”, que muestra los 40 nodos afectados en la página Diagnosticar y corregir\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/images/2-unmanaged-EC2-instance-count.png)
A diferencia del informe sobre instancias de EC2 no administradas que se muestra en la página **Revisión de información de nodos**, este recuento de instancias de EC2 no es dinámico. Representa los resultados obtenidos durante el último análisis de diagnóstico notificado y se muestra como el valor del **Tiempo de análisis**. Por lo tanto, recomendamos ejecutar un análisis de diagnóstico para las instancias de EC2 no administradas de forma periódica para mantener actualizada dicha cantidad notificada de nodos afectados.
Para obtener información sobre la cantidad de instancias no administradas en la página **Revisar información sobre los nodos**, consulte [¿Qué es una instancia no administrada?](review-node-insights.md#unmanaged-instance-definition) en el tema [Revisión de la información sobre los nodos](review-node-insights.md).
**Topics**
+ [Cómo contabiliza Systems Manager los nodos afectados en la lista “Problemas de instancias de EC2 no administradas”](#unmanaged-instance-scan-count)
+ [Categorías de problemas de instancias de EC2 no administradas que se pueden diagnosticar](diagnosing-ec2-category-types.md)
+ [Ejecución de un diagnóstico y una corrección opcional para instancias de EC2 no administradas](running-diagnosis-execution-ec2.md)
+ [Programación de un análisis periódico para instancias de EC2 no administradas](schedule-recurring-ec2-diagnosis.md)
# Categorías de problemas de instancias de EC2 no administradas que se pueden diagnosticar
En este tema se muestran las principales categorías de problemas de administración de EC2 y los problemas específicos de cada categoría que Systems Manager puede ayudar a diagnosticar y corregir. Tenga en cuenta que, para algunos de los problemas, Systems Manager puede identificar el problema, pero no proporcionar una corrección automática. En esos casos, la consola de Systems Manager lo dirige a la información que será útil para resolver un problema de forma manual.
El proceso de diagnóstico examina cada grupo de instancias de EC2 a la vez según la nube privada virtual (VPC) a la que pertenezcan.
**Topics**
+ [Categoría de problema: configuración de grupos de seguridad y comunicaciones HTTPS](#unmanaged-ec2-issue-security-groups)
+ [Categoría de problema: configuración de DNS o nombre de host DNS](#unmanaged-ec2-issue-dns-configuration)
+ [Categoría de problema: configuración de punto de conexión de VPC](#unmanaged-ec2-issue-vpc-endpoint-configuration)
+ [Categoría de problema: Configuración de la red ACL](#unmanaged-ec2-issue-nacl-configuration)
## Categoría de problema: configuración de grupos de seguridad y comunicaciones HTTPS
Una operación de diagnóstico podría detectar que SSM Agent no puede comunicarse con el servicio de Systems Manager a través de HTTPS. En esos casos, puede optar por ejecutar un manual de procedimientos de Automatización que intente actualizar los grupos de seguridad adjuntos a las instancias.
**nota**
En ocasiones, es posible que Systems Manager no pueda corregir automáticamente estos problemas, pero puede editar manualmente los grupos de seguridad afectados.
**Tipos de problema admitidos**
+ **Grupo de seguridad de instancias**: no se permite el tráfico saliente en el puerto 443
+ **Grupo de seguridad del punto de conexión de VPC de `ssm`**: no se permite el tráfico entrante en el puerto 443
+ **Grupo de seguridad del punto de conexión de VPC de `ssmmessages`**: no se permite el tráfico entrante en el puerto 443
+ **Grupo de seguridad del punto de conexión de VPC de `ec2messages`**: no se permite el tráfico entrante en el puerto 443
Para obtener más información, consulte [Verificación de las reglas de entrada en los grupos de seguridad de punto de conexión](troubleshooting-ssm-agent.md#agent-ts-ingress-egress-rules) en el tema [Resolución de problemas de SSM Agent](troubleshooting-ssm-agent.md).
## Categoría de problema: configuración de DNS o nombre de host DNS
Una operación de diagnóstico podría detectar que el sistema de nombres de dominio (DNS) o los nombres de host DNS no están configurados correctamente para la VPC. En esos casos, puede optar por ejecutar un manual de procedimientos de Automatización que intente habilitar los atributos `enableDnsSupport` y `enableDnsHostnames` de la VPC afectada.
**Tipos de problema admitidos**
+ La compatibilidad con DNS está deshabilitada en una VPC.
+ Un nombre de host DNS está deshabilitado en una VPC.
Para obtener más información, consulte [Compruebe los atributos relacionados con el DNS de la VPC](troubleshooting-ssm-agent.md#agent-ts-dns-attributes) en el tema [Resolución de problemas de SSM Agent](troubleshooting-ssm-agent.md).
## Categoría de problema: configuración de punto de conexión de VPC
Una operación de diagnóstico podría detectar que los puntos de conexión de VPC no están configurados correctamente para la VPC.
Si los puntos de conexión de VPC requeridos por SSM Agent no existen, Systems Manager intenta ejecutar un manual de procedimientos de Automatización para crear los puntos de conexión de VPC y asociarlos a una subred en cada zona de disponibilidad (AZ) regional correspondiente. Si los puntos de conexión necesarios de la VPC existen, pero no están asociados a una subred en la que se encuentra el problema, el manual de procedimientos asocia los puntos de conexión de VPC a la subred afectada.
**nota**
Systems Manager no admite la solución de todos los problemas de puntos de conexión de VPC mal configurados. En esos casos, Systems Manager le indica las instrucciones de corrección manual en lugar de ejecutar un manual de procedimientos de Automatización.
**Tipos de problema admitidos**
+ No se encontró ningún punto de conexión `ssm.region.amazonaws.com` para PrivateLink.
+ No se encontró ningún punto de conexión `ssmmessages.region.amazonaws.com` para PrivateLink.
+ No se encontró ningún punto de conexión `ec2messages.region.amazonaws.com` para PrivateLink.
**Tipos de problemas diagnosticables**
Systems Manager puede diagnosticar los siguientes tipos de problemas, pero actualmente no hay ningún manual de procedimientos disponible para corregirlos. Para estos problemas, puede editar la configuración manualmente.
+ La subred de una instancia no está adjuntada a un punto de conexión `ssm.region.amazonaws.com`.
+ La subred de una instancia no está adjuntada a un punto de conexión `ssmmessages.region.amazonaws.com`.
+ La subred de una instancia no está adjuntada a un punto de conexión `ec2messages.region.amazonaws.com`.
Para obtener más información, consulte [Verificación de la configuración VPC](troubleshooting-ssm-agent.md#agent-ts-vpc-configuration) en el tema [Resolución de problemas de SSM Agent](troubleshooting-ssm-agent.md).
## Categoría de problema: Configuración de la red ACL
Es probable que una operación de diagnóstico detecte que las listas de control de acceso (NACL) no están correctamente configuradas para la VPC, bloqueando así el tráfico necesario para la configuración de Systems Manager. Las NACL no tienen estado; por lo tanto, tanto las reglas entrantes como las salientes deben permitir el tráfico de Systems Manager.
Systems Manager puede identificar problemas de configuración de la NACL y ofrecer orientación para corregirlos de forma manual.
**Tipos de problema admitidos**
+ **NACL para la subred de instancias**: No se permite el tráfico saliente en el puerto 443 a los puntos de conexión de Systems Manager
+ **NACL para la subred de instancias**: No se permite el tráfico entrante en los puertos efímeros (1024-65535) para las respuestas de Systems Manager
**Tipos de problemas diagnosticables**
Systems Manager puede identificar los siguientes problemas de configuración de la NACL, pero se deben corregir manualmente:
+ Una NACL de la subred de una instancia bloquea el tráfico HTTPS saliente (puerto 443) a los puntos de conexión de Systems Manager
+ Una NACL de la subred de una instancia bloquea el tráfico entrante de puertos efímeros (1024-65535) necesario para las respuestas de Systems Manager
Para obtener más información, consulte [Resolución de problemas de SSM Agent](https://docs.aws.amazon.com/systems-manager/latest/userguide/troubleshooting-ssm-agent.html) y [ACL de red personalizadas para su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/custom-network-acl.html#nacl-ephemeral-ports).
# Ejecución de un diagnóstico y una corrección opcional para instancias de EC2 no administradas
Obtenga información sobre cómo diagnosticar los problemas relacionados con la red y con la VPC que podrían impedir que Systems Manager administre las instancias de EC2.
La operación de diagnóstico puede detectar y agrupar problemas de los siguientes tipos:
+ **Problemas de configuración de red**: tipos de problemas de red que podrían impedir que las instancias de EC2 se comuniquen con el servicio de Systems Manager en la nube. Es posible que haya operaciones de corrección disponibles para estos problemas. Para obtener más información acerca de los problemas de la configuración de red, consulte [Categorías de problemas de instancias de EC2 no administradas que se pueden diagnosticar](diagnosing-ec2-category-types.md).
+ **Problemas no identificados**: una lista de resultados para los casos en los que la operación de diagnóstico no pudo determinar por qué las instancias de EC2 no pueden comunicarse con el servicio de Systems Manager en la nube.
**Ejecución de un diagnóstico y corrección de las instancias de EC2 no administradas**
1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. En el panel de navegación, elija **Diagnosticar y corregir**.
1. Elija la pestaña **Problema de instancias de EC2 no administradas**.
1. En la sección **Resumen del problema**, elija **Ejecutar un nuevo diagnóstico**.
-o bien-
Si es la primera vez que diagnostica problemas de instancias de EC2 no administradas, en la sección **Diagnosticar instancias de EC2 no administradas**, elija **Ejecutar**.
**sugerencia**
Mientras se ejecuta el diagnóstico, elija **Ver el progreso** o **Ver ejecuciones** para supervisar el estado actual de la ejecución. Para obtener más información, consulte [Visualización del progreso de la ejecución y el historial de las correcciones en Systems Manager](diagnose-and-remediate-execution-history.md).
1. Una vez finalizado el diagnóstico, haga lo siguiente:
+ Para los problemas notificados en la sección **Problemas no identificados**, seleccione el enlace **Más información** para obtener información sobre cómo resolver el problema.
+ En el caso de los problemas descritos en la sección **Problemas de configuración de red**, continúe con el siguiente paso.
1. En la lista de tipos de búsqueda, en la columna **Recomendaciones**, para un problema concreto, elija el enlace (por ejemplo, **2 recomendaciones**).
1. En el panel **Recomendaciones** que se abre, elija entre las mitigaciones disponibles:
+ **Más información**: se abre un tema con información sobre cómo resolver un problema manualmente.
+ **Ver el manual de procedimientos**: se abre un panel con información sobre el manual de procedimientos de Automatización que puede ejecutar para resolver el problema con las instancias de EC2, así como opciones para generar una *vista previa* de las acciones que llevaría a cabo el manual de procedimientos. Continúe en el paso siguiente.
1. En el panel del manual de procedimientos, haga lo siguiente:
1. En **Descripción del documento**, puede revisar el contenido, que proporciona información general de las medidas que el manual de procedimientos puede tomar para solucionar los problemas de las instancias de EC2 no administradas. Elija **Ver los pasos** para obtener una vista previa de las acciones individuales que llevaría a cabo el manual de procedimientos.
1. En **Destinos**, haga lo siguiente:
+ Si va a administrar las correcciones para una organización, en **Cuentas**, especifique si este manual de procedimientos se destinará a todas las cuentas o solo a un subconjunto de las cuentas que elija.
+ En **Regiones**, especifique si este manual de procedimientos se destinará a todas las Regiones de AWS de su cuenta u organización, o solo a un subconjunto de las regiones que elija.
1. En **Vista previa del manual de procedimientos**, revise detenidamente la información. En esta información se explica cuál sería el alcance y el impacto que tendría si decidiera ejecutar el manual de procedimientos.
**nota**
Si decide ejecutarlo, se incurriría en gastos. Revise detenidamente la información de la vista previa antes de decidir si desea continuar.
El contenido de **Vista previa del manual de procedimientos** proporciona la siguiente información:
+ En cuántas regiones se llevaría a cabo la operación del manual de procedimientos.
+ (Solo organizaciones) En cuántas unidades organizativas (OU) se ejecutaría la operación.
+ Los tipos de medidas que se tomarían y el número de cada una de ellas.
Los tipos de acción son los siguientes:
+ **Mutante**: el paso del manual de procedimientos hará cambios en los destinos mediante acciones que crean, modifican o eliminan recursos.
+ **No mutante**: el paso del manual de procedimientos recuperaría los datos sobre los recursos, pero no los modificaría. Por lo general, esta categoría incluye `Describe*`, `List*`, `Get*` y acciones de API similares de solo lectura.
+ **Indeterminado**: un paso indeterminado invoca las ejecuciones que hace otro servicio de orquestación, como AWS Lambda, AWS Step Functions o AWS Systems Manager Run Command. Un paso indeterminado también podría llamar a una API de terceros. Automatización de Systems Manager no conoce el resultado de los procesos de orquestación ni de las ejecuciones de API de terceros, por lo que los resultados de los pasos son indeterminados.
1. En este caso, puede elegir una de las siguientes acciones:
+ Detenga y no ejecute el manual de procedimientos.
+ Elija **Ejecutar** para ejecutar el manual de procedimientos con las opciones que ya ha seleccionado.
Si opta por ejecutar la operación, elija **Ver el progreso** o **Ver ejecuciones** para supervisar el estado actual de la ejecución. Para obtener más información, consulte [Visualización del progreso de la ejecución y el historial de las correcciones en Systems Manager](diagnose-and-remediate-execution-history.md).
# Programación de un análisis periódico para instancias de EC2 no administradas
Puede ejecutar un análisis bajo demanda de instancias de Amazon EC2 en su cuenta u organización que Systems Manager no pueda administrar debido a varios problemas de configuración. También puede programar este análisis para que se haga de forma automática y periódica.
**Programación de un análisis periódico para instancias de EC2 no administradas**
1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. En el panel de navegación, elija **Diagnosticar y corregir**.
1. Elija la pestaña **Problema de instancias de EC2 no administradas**.
1. En la sección **Diagnóstico de instancias de EC2 no administradas**, active la opción **Programar un diagnóstico periódico**.
1. En **Frecuencia del diagnóstico**, seleccione si desea ejecutar el diagnóstico una vez al día o una vez a la semana.
1. (Opcional) En **Hora de inicio**, ingrese una hora, en formato de 24 horas, para que comience el diagnóstico. Por ejemplo, para las 20:15 h, especifique **20:15**.
La hora que ingrese corresponde a su zona horaria local actual.
Si no especifica una hora, el análisis de diagnóstico se ejecuta de inmediato. Systems Manager también programa el análisis para que se ejecute en el futuro a la hora actual. Si especifica una hora, Systems Manager espera para ejecutar el análisis de diagnóstico a la hora especificada.
1. Elija **Ejecutar**. El diagnóstico se ejecuta de inmediato, pero también se llevará a cabo según la programación que haya especificado.
# Tipos de impacto de la corrección de las acciones del manual de procedimientos
Systems Manager puede ejecutar operaciones de diagnóstico que detectan tipos determinados de implementaciones con errores y configuraciones desviadas, así como tipos determinados de problemas de configuración que impiden que Systems Manager administre las instancias de EC2. Los resultados del diagnóstico podrían incluir recomendaciones para los manuales de procedimientos de Automatización que puede ejecutar para intentar corregir un problema. Para obtener más información sobre estas operaciones de diagnóstico, consulte los siguientes temas:
+ [Diagnóstico y corrección de implementaciones con error](remediating-deployment-issues.md)
+ [Diagnóstico y corrección de configuraciones desviadas](remediating-configuration-drift.md)
+ [Diagnóstico y corrección de instancias de Amazon EC2 no administradas en Systems Manager](remediating-unmanaged-instances.md)
Cuando Systems Manager identifica un problema que podría solucionarse mediante la ejecución de un manual de procedimientos de Automatización en los recursos afectados, le proporciona una *vista previa de la ejecución*. La vista previa de la ejecución proporciona información sobre los *tipos* de cambios que haría la ejecución del manual de procedimientos en los destinos. Esta información incluye cuántos cambios de cada uno de los tres tipos identificó el diagnóstico.
Estos tipos de cambios son los siguientes:
+ `Mutating`: un paso del manual de procedimientos hará cambios en los destinos mediante acciones que crean, modifican o eliminan recursos.
+ `Non-Mutating`: un paso del runbook recuperaría los datos sobre los recursos, pero no los modificaría. Por lo general, esta categoría incluye `Describe*`, `List*`, `Get*` y acciones de API similares de solo lectura.
+ `Undetermined`: un paso indeterminado invoca las ejecuciones hechas por otro servicio de orquestación, como AWS Lambda, AWS Step Functions o Run Command, una herramienta de AWS Systems Manager. Un paso indeterminado también podría llamar a una API de terceros o ejecutar un script de Python o PowerShell. Automatización de Systems Manager no puede detectar cuál sería el resultado de los procesos de orquestación o de las ejecuciones de una API de terceros y, por lo tanto, no puede evaluarlos. Los resultados de esos pasos deberían revisarse manualmente para determinar su impacto.
Consulte la siguiente tabla para obtener información sobre el tipo de impacto de las acciones de Automatización compatibles.
## Tipos de impacto de las acciones de corrección compatibles
En la tabla se presenta el tipo de impacto (mutante, no mutante e indeterminado) de las diversas acciones que se pueden incluir en un manual de procedimientos.
| Acción¹ | Tipo de impacto |
| --- | --- |
| aws:approve | No mutante |
| aws:assertAwsResourceProperty | No mutante |
| aws:branch | No mutante |
| aws:changeInstanceState | Mutante |
| aws:copyImage | Mutante |
| aws:createImage | Mutante |
| aws:createStack | Mutante |
| aws:createTags | Mutante |
| aws:deleteImage | Mutante |
| aws:deleteStack | Mutante |
| aws:executeAutomation | Indeterminado |
| aws:executeAwsApi | Indeterminado |
| aws:executeScript | Indeterminado |
| aws:executeStateMachine | Indeterminado |
| aws:invokeLambdaFunction | Indeterminado |
| aws:invokeWebhook | Indeterminado |
| aws:loop | Varía. Depende de las acciones del ciclo. |
| aws:pause | No mutante |
| aws:runCommand | Indeterminado |
| aws:runInstances | Mutante |
| aws:sleep | No mutante |
| aws:updateVariable | Mutante |
| aws:waitForAwsResourceProperty | No mutante |
¹ Para obtener más información acerca de las acciones de Automatización, consulte [Referencia de acciones de Automatización de Systems Manager](automation-actions.md).
# Visualización del progreso de la ejecución y el historial de las correcciones en Systems Manager
Puede ver una lista de todas las operaciones de corrección en curso y finalizadas que se hacen mediante la característica **Diagnosticar y corregir** de Systems Manager.
Los datos de la lista del historial de ejecuciones incluyen los siguientes tipos de información:
+ El tipo de ejecución, `Diagnosis` o `Remediation`.
+ El estado de la ejecución, como `Success` o `Failed`.
+ Las horas en que se inició y finalizó la ejecución.
**Visualización del progreso de la ejecución y el historial de las correcciones**
1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. En el panel de navegación, elija **Diagnosticar y corregir**.
1. Elija **Ver ejecuciones**.
**sugerencia**
Cuando se está llevando a cabo una ejecución, también puede seleccionar **Ver el progreso** para abrir la página **Historial de ejecuciones**.
1. (Opcional) En el cuadro de búsqueda (![\[The search icon\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/images/search-icon.png)), introduzca una frase que ayude a reducir la lista de ejecuciones, como **EC2** o **VPC**.
1. (Opcional) Para ver detalles adicionales sobre una ejecución, en la columna **Nombre de ejecución**, elija un nombre de operación, como **AWS-DiagnoseUnmanagedEC2NetworkIssues**.
En el panel de detalles, puede revisar la información sobre todos los pasos intentados durante la operación y sobre todas las entradas y salidas de la ejecución.
# Ajuste de la configuración de Systems Manager
Las opciones de las páginas de **configuración** habilitan y configuran las características de la consola unificada de Systems Manager. Las opciones que se muestran dependen de la cuenta en la que haya iniciado sesión y de si ya ha configurado Systems Manager o no.
**nota**
Las opciones de la página **Configuración** no afectan a las herramientas de Systems Manager (anteriormente denominadas capacidades).
## Ajustes de la configuración de cuenta
Si Systems Manager está habilitado e inició sesión en una cuenta que no es miembro de Organizations o si el administrador delegado no agregó su cuenta de Organizations a Systems Manager, en la página **Configuración de la cuenta** se muestra la opción **Deshabilitar Systems Manager**. Al deshabilitar Systems Manager, este no muestra la consola unificada. Todas las herramientas de Systems Manager siguen en funcionamiento.
## Ajustes de la configuración organizativa
En la pestaña **Configuración organizativa**, la sección **Región local** muestra la Región de AWS elegida como región de origen durante la configuración. En los entornos de varias cuentas y regiones que usan AWS Organizations, Systems Manager agrega automáticamente los datos de nodos de todas las cuentas y regiones a la región local. Agregar datos de esta manera le permite ver los datos de los nodos de todas las cuentas y regiones en una sola ubicación.
**nota**
Si desea cambiar la región local, debe deshabilitar Systems Manager y volverlo a habilitar. Para deshabilitar Systems Manager, seleccione **Deshabilitar**.
La sección **Configuración organizativa** muestra las unidades organizativas de AWS y Regiones de AWS elegidas durante la configuración. Seleccione **Editar** para cambiar qué unidades organizativas y regiones muestran los datos de los nodos en Systems Manager. Para obtener más información acerca de la configuración de Systems Manager para Organizations, consulte [Configuración de AWS Systems Manager](systems-manager-setting-up-console.md).
## Configuraciones de características
La sección **Configuraciones de características** le permite habilitar y configurar las funciones clave de Systems Manager que mejoran la administración de nodos en toda la organización. Estas características trabajan juntas para proporcionar una administración, supervisión del cumplimiento y mantenimiento automatizados de los nodos gestionados.
Puede configurar estas características durante la configuración inicial de Systems Manager o modificarlas más adelante a través de la página de Configuración. Cada característica se puede activar o desactivar de forma independiente en función de los requisitos de su organización.
### Configuración de administración de host predeterminada
La Configuración de Administración de Hosts Predeterminada (DHMC) configura automáticamente las instancias de Amazon Elastic Compute Cloud (Amazon EC2) en su organización para que las administre Systems Manager. Cuando está habilitada, DHMC garantiza que las instancias EC2 nuevas y existentes tengan los permisos AWS Identity and Access Management (IAM) y las configuraciones necesarios para comunicarse con los servicios de Systems Manager.
DHMC proporciona los siguientes beneficios:
+ **Asignación automática de roles de IAM**: garantiza que las instancias EC2 tengan los roles y políticas de IAM necesarios para funcionar como nodos gestionados.
+ Corrección de **desviaciones**: corrige automáticamente las desviaciones de configuración cuando las instancias pierden su estado de nodo gestionado.
+ **Incorporación simplificada**: reduce los pasos de configuración manual para las nuevas instancias.
+ **Configuración uniforme**: mantiene una configuración uniforme en toda su flota de EC2.
#### Configuración de la frecuencia de corrección de desviaciones
La corrección de desviaciones detecta y corrige automáticamente cuando las instancias EC2 pierden su configuración de nodos gestionados. Puede configurar la frecuencia con la que Systems Manager comprueba y corrige las desviaciones de configuración.
**Para administrar la configuración de administración de host predeterminada haga lo siguiente:**
1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. En el panel de navegación, seleccione **Configuración**.
1. En la sección **Configuraciones de características**, busque la **configuración de administración de hosts predeterminada**.
1. Para habilitar la DHMC, active el conmutador.
1. En cuanto a **la frecuencia de corrección de desviaciones**, elija la frecuencia con la que desea que Systems Manager compruebe y corrija las desviaciones de configuración:
+ **Diariamente**: comprueba y corrige las desviaciones una vez al día.
+ **Semanalmente**: comprueba y corrige las desviaciones una vez por semana.
+ **Mensualmente**: comprueba y corrige las desviaciones una vez al mes.
1. Seleccione **Save**.
**nota**
Al habilitar DHMC, Systems Manager crea las políticas y roles de IAM necesarios en su cuenta. Estos roles permiten que las instancias EC2 se comuniquen con los servicios de Systems Manager. Para obtener más información sobre los roles de IAM creados con DHMC, consulte [Administrar instancias de EC2 con Systems Manager](systems-manager-setting-up-ec2.md).
### Recopilación de metadatos de inventario
La recopilación de metadatos de inventario reúne automáticamente información detallada sobre sus nodos gestionados, incluidas aplicaciones instaladas, configuraciones de red, actualizaciones del sistema y otros metadatos del sistema. Esta información le ayuda a mantener el cumplimiento, realizar análisis de seguridad y comprender la composición de su infraestructura.
La recopilación de inventario proporciona las siguientes ventajas:
+ **Supervisión del cumplimiento**: realice un seguimiento del software y las configuraciones instalados para generar informes de conformidad.
+ **Análisis de seguridad**: identifique el software obsoleto y las posibles vulnerabilidades de seguridad.
+ **Administración de activos**: mantenga un inventario actualizado de su infraestructura.
+ **Capacidades de consulta**: utilice los datos recopilados con Amazon Q Developer para consultas en lenguaje natural.
#### Tipos de datos de inventario recopilados
Cuando la recopilación de metadatos de inventario está habilitada, Systems Manager recopila los siguientes tipos de información de los nodos gestionados:
+ **Aplicaciones**: paquetes de software y aplicaciones instalados
+ **Configuraciones de red**: interfaces de red, direcciones IP y configuración de red
+ **Actualizaciones del sistema**: parches instalados y actualizaciones disponibles
+ **Propiedades del sistema**: especificaciones de hardware, detalles del sistema operativo y configuraciones del sistema
+ **Servicios**: servicios en ejecución y sus configuraciones
#### Configuración de la frecuencia de recopilación de inventario
Puede configurar la frecuencia con la que Systems Manager recopila metadatos de inventario de los nodos administrados. Una recopilación más frecuente proporciona información más actualizada, pero puede aumentar el uso del servicio de AWS.
**Para configurar la recopilación de metadatos de inventario, haga lo siguiente:**
1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. En el panel de navegación, seleccione **Configuración**.
1. En la sección **Configuraciones de características**, localice la **Recopilación de metadatos de inventario**.
1. Para activar la recopilación de inventario, active el conmutador.
1. En **Frecuencia de recopilación**, elija la frecuencia con la que desea que Systems Manager recopile los datos de inventario:
+ **Diariamente**: recopila los datos de inventario una vez al día.
+ **Semanalmente**: recopila los datos de inventario una vez por semana.
+ **Mensualmente**: recopila los datos de inventario una vez al mes.
1. Seleccione **Save**.
**importante**
La recopilación de inventario requiere que los nodos gestionados tengan los permisos necesarios para recopilar la información del sistema. Asegúrese de que los nodos administrados disponen de los roles y las políticas de IAM adecuados. Para obtener más información acerca de los permisos requeridos, consulte [Inventario de AWS Systems Manager](systems-manager-inventory.md).
### SSM AgentActualizaciones de
Las actualizaciones automáticas de SSM Agent garantizan que los nodos gestionados ejecuten la última versión de SSM Agent. Mantener el agente actualizado proporciona acceso a las características más recientes, mejoras de seguridad y correcciones de errores.
Las actualizaciones automáticas de SSM Agent proporcionan las siguientes ventajas:
+ **Características más recientes**: acceso a las nuevas funciones y mejoras de Systems Manager
+ **Actualizaciones de seguridad**: instalación automática de parches y correcciones de seguridad
+ **Fiabilidad mejorada**: correcciones de errores y mejoras en la estabilidad
+ **Mantenimiento reducido**: elimina la necesidad de actualizar los agentes manualmente
#### Configuración de actualizaciones automáticas del agente
Puede configurar la frecuencia con la que Systems Manager comprueba e instala actualizaciones de SSM Agent en los nodos gestionados. Las actualizaciones periódicas ayudan a garantizar un rendimiento y una seguridad óptimos.
**Para configurar actualizaciones de SSM Agent, haga lo siguiente:**
1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. En el panel de navegación, seleccione **Configuración**.
1. En la sección **Configuraciones de características**, busque **actualizaciones de SSM Agent**.
1. Para activar las actualizaciones automáticas, active el conmutador.
1. En **Frecuencia de actualización**, elija la frecuencia con la que quiere que Systems Manager compruebe e instale las actualizaciones de los agentes:
+ **Diariamente**: comprueba si hay actualizaciones una vez al día.
+ **Semanalmente**: comprueba si hay actualizaciones una vez por semana.
+ **Mensualmente**: comprueba si hay actualizaciones una vez al mes.
1. Seleccione **Save**.
## Configuración de diagnóstico y corrección
La configuración de **Diagnosticar y corregir** determina si Systems Manager analiza automáticamente los nodos para garantizar que se puedan comunicar con Systems Manager. Si está habilitada, la característica se ejecuta automáticamente según la programación que se defina. La característica identifica qué nodos no se pueden conectar a Systems Manager y la razón por la que no pueden hacerlo. Esta característica también proporciona manuales de procedimientos recomendados para solucionar los problemas de red y otros errores que impiden que los nodos se configuren como nodos administrados.
### Programación de un análisis de diagnóstico periódico
Systems Manager puede diagnosticar y ayudar a corregir varios tipos de errores de implementación, así como configuraciones desviadas. Systems Manager también puede identificar las instancias de Amazon Elastic Compute Cloud (Amazon EC2) en su cuenta u organización que no puede tratar como *nodos administrados*. El proceso de diagnóstico de instancias de EC2 puede identificar problemas relacionados con configuraciones incorrectas en una nube privada virtual (VPC), en una configuración de sistema de nombres de dominio (DNS) o en un grupo de seguridad de Amazon Elastic Compute Cloud (Amazon EC2).
Para simplificar la tarea de identificar los nodos que no se pueden conectar a Systems Manager, la característica **Programar diagnósticos periódicos** le permite automatizar un análisis de diagnóstico periódico. Los análisis identifican qué nodos no se pueden conectar a Systems Manager y por qué. Use el siguiente procedimiento para habilitar y configurar un análisis de diagnóstico periódico de los nodos.
**Programación de un análisis de diagnóstico periódico**
1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. En el panel de navegación, elija **Configuración** y luego elija la pestaña **Diagnosticar y corregir**.
1. Active la opción **Programar diagnósticos periódicos**.
1. En **Periodo de análisis**, elija la frecuencia con la que desea que se ejecute el análisis.
1. (Opcional) En **Hora de inicio**, ingrese una hora, en formato de 24 horas, para que comience el diagnóstico. Por ejemplo, para las 20:15 h, especifique **20:15**.
La hora que ingrese corresponde a su zona horaria local actual.
Si no especifica una hora, el análisis de diagnóstico se ejecuta de inmediato. Systems Manager también programa el análisis para que se ejecute en el futuro a la hora actual. Si especifica una hora, Systems Manager espera para ejecutar el análisis de diagnóstico a la hora especificada.
1. Seleccione **Save**.
1. Una vez finalizado el análisis, seleccione **Diagnosticar y corregir** en el menú de navegación de la izquierda para ver los detalles.
Para obtener más información sobre la característica **Diagnosticar y corregir**, consulte [Diagnóstico y corrección](diagnose-and-remediate.md).
### Actualización del cifrado de buckets de S3
Al incorporar Systems Manager, Configuración Rápida crea un bucket de Amazon Simple Storage Service (Amazon S3) en la cuenta de administrador delegado para las configuraciones de AWS Organizations. En las configuraciones de una sola cuenta, el bucket se almacena en la cuenta que se está configurando. Este bucket se utiliza para almacenar los metadatos que se generen durante los análisis de diagnóstico.
Para obtener más información acerca de la configuración de la consola unificada de Systems Manager, consulte [Configuración de AWS Systems Manager](systems-manager-setting-up-console.md).
De forma predeterminada, los datos del bucket se cifran mediante una clave de AWS Key Management Service (AWS KMS) que AWS posee y administra en su nombre.
Puede utilizar una clave de AWS KMS diferente para el cifrado de los buckets. Como alternativa, puede utilizar el cifrado del lado del servidor con AWS KMS keys (SSE-KMS) mediante una clave administrada por el cliente (CMK). Para obtener más información, consulte [Uso de buckets de Amazon S3 y políticas de buckets para Systems Manager](systems-manager-diagnosis-metadata-bucket.md).
**Uso de una clave de AWS KMS diferente para el cifrado de buckets de S3**
1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. En el panel de navegación, elija **Configuración** y luego elija la pestaña **Diagnosticar y corregir**.
1. En el área **Actualizar el cifrado del bucket de S3**, seleccione **Editar**.
1. Seleccione la casilla de verificación **Personalizar la configuración de cifrado (avanzado)**.
1. En **Elija una clave de AWS KMS**, elija o ingrese el nombre de recurso de Amazon (ARN) de la clave.
**sugerencia**
Elija **Crear una clave de AWS KMS** para crear una clave nueva.
1. Seleccione **Save**.
# Uso de buckets de Amazon S3 y políticas de buckets para Systems Manager
Durante el [proceso de incorporación](systems-manager-setting-up-console.md) de AWS Systems Manager, Quick Setup crea un bucket de Amazon Simple Storage Service (Amazon S3) en la cuenta de administrador delegado para la configuración de la organización. En las configuraciones de una sola cuenta, el bucket se almacena en la cuenta que se está configurando.
Puede usar Systems Manager para ejecutar operaciones de diagnóstico en su flota a fin de identificar casos de implementaciones con errores y configuraciones desviadas. Systems Manager también puede detectar casos en los que los problemas de configuración impiden que Systems Manager administre las instancias de EC2 en su cuenta u organización. Los resultados de estas operaciones de diagnóstico se almacenan en este bucket de Amazon S3, que está protegido tanto por un método de cifrado como por una política de bucket de S3. Para obtener información sobre las operaciones de diagnóstico que generan datos en este bucket, consulte [Diagnóstico y corrección](diagnose-and-remediate.md).
**Cambio del método de cifrado del bucket**
De manera predeterminada, el bucket de S3 usa el cifrado del lado del servidor con las claves administradas de Amazon S3 (SSE-S3).
En su lugar, puede usar el cifrado del servidor con AWS KMS keys (SSE-KMS) mediante una clave administrada por el cliente (CMK) como alternativa a las claves administradas de Amazon S3, como se explica en [Cambio a una clave de AWS KMS administrada por el cliente para cifrar los recursos de S3](remediate-s3-bucket-encryption.md).
**Contenido de la política de buckets**
La política de buckets impide que las cuentas de los miembros de una organización se detecten unas a otras. Los permisos de lectura y escritura en el bucket solo están permitidos para los roles de diagnóstico y corrección creados para Systems Manager. El contenido de estas políticas generadas por el sistema se presenta en [Políticas de bucket de S3 para la consola unificada de Systems Manager](remediate-s3-bucket-policies.md).
**aviso**
La modificación de la política de buckets predeterminada puede permitir que las cuentas de los miembros de una organización se detecten entre sí o lean los resultados de los diagnósticos en busca de instancias de otra cuenta. Le recomendamos que actúe con extrema precaución si decide modificar esta política.
**Topics**
+ [Cambio a una clave de AWS KMS administrada por el cliente para cifrar los recursos de S3](remediate-s3-bucket-encryption.md)
+ [Políticas de bucket de S3 para la consola unificada de Systems Manager](remediate-s3-bucket-policies.md)
# Cambio a una clave de AWS KMS administrada por el cliente para cifrar los recursos de S3
Durante el proceso de incorporación de la consola unificada de Systems Manager, Quick Setup crea un bucket de Amazon Simple Storage Service (Amazon S3) en la cuenta de administrador delegado. Este bucket se utiliza para almacenar los datos de salida del diagnóstico generados durante la ejecución del manual de procedimientos de correcciones. De manera predeterminada, el bucket usa el cifrado del lado del servidor con las claves administradas de Amazon S3 (SSE-S3).
Puede revisar el contenido de estas políticas en [Políticas de bucket de S3 para la consola unificada de Systems Manager](remediate-s3-bucket-policies.md).
Sin embargo, puede utilizar el cifrado del lado del servidor con AWS KMS keys (SSE-KMS) mediante una clave administrada por el cliente (CMK) como una alternativa a una AWS KMS key.
Complete las siguientes tareas para configurar Systems Manager para que utilice su CMK.
## Tarea 1: adición de una etiqueta a una CMK existente
AWS Systems Manager utiliza su CMK solo si está etiquetada con el siguiente par clave-valor:
+ Clave: `SystemsManagerManaged`
+ Valor: `true`
Utilice el siguiente procedimiento para proporcionar acceso para cifrar el bucket de S3 con la CMK.
**Adición de una etiqueta a la CMK existente**
1. Abra la consola de AWS KMS en [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. En el panel de navegación izquierdo, elija **Claves administradas por el cliente**.
1. Seleccione la AWS KMS key que desea utilizar con AWS Systems Manager.
1. Seleccione la pestaña **Etiquetas** y, luego, elija **Editar**.
1. Seleccione **Agregar etiqueta**.
1. Haga lo siguiente:
1. En **Tag key (Clave de etiqueta)**, escriba **SystemsManagerManaged**.
1. En **Valor de etiqueta**, introduzca **true**.
1. Seleccione **Save**.
## Tarea 2: modificación de una política de claves de CMK existente
Utilice el siguiente procedimiento para actualizar la [política de claves de KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) de la CMK y permitir que los roles de AWS Systems Manager cifren el bucket de S3 en su nombre.
**Modificación de una política de claves de CMK existente**
1. Abra la consola de AWS KMS en [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. En el panel de navegación izquierdo, elija **Claves administradas por el cliente**.
1. Seleccione la AWS KMS key que desea utilizar con AWS Systems Manager.
1. En la pestaña **Política de claves**, elija **Editar**.
1. Agregue la siguiente instrucción JSON al campo `Statement` y sustituya los *valores de los marcadores de posición* por su propia información.
Asegúrese de agregar todos los ID de Cuenta de AWS incorporados en su organización a AWS Systems Manager en el campo `Principal`.
Para localizar el nombre correcto del bucket en la consola de Amazon S3, en la cuenta de administrador delegado, localice el bucket en el formato `do-not-delete-ssm-operational-account-id-home-region-disambiguator`.
```
{
"Sid": "EncryptionForSystemsManagerS3Bucket",
"Effect": "Allow",
"Principal": {
"AWS": [
"account-id-1",
"account-id-2",
...
]
},
"Action": ["kms:Decrypt", "kms:GenerateDataKey"],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket"
},
"StringLike": {
"kms:ViaService": "s3.*.amazonaws.com"
},
"ArnLike": {
"aws:PrincipalArn": "arn:aws:iam::*:role/AWS-SSM-*"
}
}
}
```
**sugerencia**
Como alternativa, puede actualizar la política de claves de la CMK mediante la clave de condición [aws:PrincipalOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) para conceder a AWS Systems Manager el acceso a la CMK.
## Tarea 3: especificación de la CMK en la configuración de Systems Manager
Tras completar las dos tareas anteriores, utilice el siguiente procedimiento para cambiar el cifrado del bucket de S3. Este cambio garantiza que el proceso de configuración de Quick Setup asociado pueda agregar permisos para que Systems Manager acepte la CMK.
1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. En el panel de navegación, seleccione **Configuración**.
1. En la pestaña **Diagnosticar y corregir**, en la sección **Actualizar el cifrado del bucket de S3**, seleccione **Editar.**
1. Seleccione la casilla de verificación **Personalizar la configuración de cifrado (avanzado)**.
1. En el cuadro de búsqueda (![\[The search icon\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/images/search-icon.png)), elija el ID de una clave existente o pegue el ARN de una clave existente.
1. Seleccione **Save**.
# Políticas de bucket de S3 para la consola unificada de Systems Manager
En este tema se incluyen las políticas de bucket de Amazon S3 que crea Systems Manager al incorporar una organización o una cuenta única a la consola unificada de Systems Manager.
**aviso**
La modificación de la política de buckets predeterminada puede permitir que las cuentas de los miembros de una organización se detecten entre sí o lean los resultados de los diagnósticos en busca de instancias de otra cuenta. Le recomendamos que actúe con extrema precaución si decide modificar esta política.
## Política de buckets de Amazon S3 para una organización
El bucket de diagnóstico se crea con la siguiente política de buckets predeterminada al incorporar una organización a Systems Manager.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyHTTPRequests",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
},
{
"Sid": "DenyNonSigV4Requests",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringNotEquals": {
"s3:SignatureVersion": "AWS4-HMAC-SHA256"
}
}
},
{
"Sid": "AllowAccessLog",
"Effect": "Allow",
"Principal": {
"Service": "logging.s3.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/access-logs/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "000000000000"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:s3:::amzn-s3-demo-bucket"
}
}
},
{
"Sid": "AllowCrossAccountRead",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/actions/*/${aws:PrincipalAccount}/*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "organization-id"
}
}
},
{
"Sid": "AllowCrossAccountWrite",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": "arn:aws:s3:::bucket-name/actions/*/${aws:PrincipalAccount}/*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "organization-id"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/AWS-SSM-DiagnosisExecutionRole-operational-123456789012-home-region",
"arn:aws:iam::*:role/AWS-SSM-DiagnosisAdminRole-operational-123456789012-home-region",
"arn:aws:iam::*:role/AWS-SSM-RemediationExecutionRole-operational-123456789012-home-region",
"arn:aws:iam::*:role/AWS-SSM-RemediationAdminRole-operational-123456789012-home-region"
]
}
}
},
{
"Sid": "AllowCrossAccountListUnderAccountOwnPrefix",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "organization-id"
},
"StringLike": {
"s3:prefix": "*/${aws:PrincipalAccount}/*"
}
}
},
{
"Sid": "AllowCrossAccountGetConfigWithinOrganization",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetEncryptionConfiguration",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "organization-id"
}
}
}
]
}
```
------
## Política de buckets de Amazon S3 para una sola cuenta
El bucket de diagnóstico se crea con la siguiente política de buckets predeterminada al incorporar una sola cuenta a Systems Manager.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyHTTPRequests",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
},
{
"Sid": "DenyNonSigV4Requests",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringNotEquals": {
"s3:SignatureVersion": "AWS4-HMAC-SHA256"
}
}
}
]
}
```
------