• El panel de AWS Systems Manager CloudWatch dejará de estar disponible después del 30 de abril de 2026. Los clientes pueden seguir utilizando la consola de Amazon CloudWatch para ver, crear y administrar sus paneles de Amazon CloudWatch, tal y como lo hacen actualmente. Para obtener más información, consulte la [documentación del panel de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

# Administrar instancias de EC2 con Systems Manager
<a name="systems-manager-setting-up-ec2"></a>

Complete las tareas de esta sección para instalar y configurar roles, permisos y recursos iniciales para AWS Systems Manager. Las tareas que se describen en esta sección las realizan normalmente los administradores de sistemas y una Cuenta de AWS. Una vez completados estos pasos, los usuarios de la organización pueden utilizar Systems Manager para configurar, administrar y acceder a las instancias de Amazon Elastic Compute Cloud (Amazon EC2).

**nota**  
Si tiene previsto utilizar Systems Manager para administrar y configurar máquinas locales, siga los pasos de configuración en [Administrador de nodos en entornos híbridos y multinube con Systems Manager](systems-manager-hybrid-multicloud.md). Si tiene previsto utilizar tanto instancias de Amazon EC2 *como* máquinas que no sean EC2 en un entorno [híbrido y multinube](operating-systems-and-machine-types.md#supported-machine-types), siga primero los pasos que se indican a continuación. En esta sección, se presentan los pasos en el orden recomendado para configurar los roles, los usuarios, los permisos y los recursos iniciales que se van a utilizar en sus operaciones de Systems Manager. 

Si ya utiliza otros Servicios de AWS, ya ha completado algunos de estos pasos. Sin embargo, otros pasos son específicos de Systems Manager. Por lo tanto, le recomendamos revisar toda esta sección para asegurarse de que lo tenga todo listo para utilizar todas las herramientas de Systems Manager. 

**Topics**
+ [Configuración de permisos de instancia requeridos para Systems Manager](setup-instance-permissions.md)
+ [Mejora de la seguridad de las instancias de EC2 mediante puntos de conexión de VPC para Systems Manager](setup-create-vpc.md)

# Configuración de permisos de instancia requeridos para Systems Manager
<a name="setup-instance-permissions"></a>

De forma predeterminada, AWS Systems Manager no tiene permiso para realizar acciones en sus instancias. Puede proporcionar permisos de instancia a nivel de cuenta mediante un rol de AWS Identity and Access Management (IAM) o a nivel de instancia mediante un perfil de instancia. Si su caso de uso lo permite, le recomendamos que conceda el acceso a nivel de cuenta mediante la configuración de administración de host predeterminada.

**nota**  
Puede omitir este paso y permitir que Systems Manager aplique por usted los permisos necesarios a las instancias cuando se configure la consola unificada. Para obtener más información, consulte [Configuración de AWS Systems Manager](systems-manager-setting-up-console.md).

## Configuración recomendada para permisos de instancia de EC2
<a name="default-host-management"></a>

La configuración de administración de host predeterminada permite a Systems Manager administrar sus instancias de Amazon EC2 de forma automática. Tras activar esta configuración, todas las instancias que utilicen la versión 2 del servicio de metadatos de instancias (IMDSv2) en la Región de AWS y en la Cuenta de AWS con la versión 3.2.582.0 de SSM Agent o posterior instalada se convertirán automáticamente en instancias administradas. La configuración de administración de host predeterminada no admite la versión 1 del servicio de metadatos de instancias. Para obtener información sobre la transición a IMDSv2, consulte [Transición al uso de Servicio de metadatos de instancia versión 2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-transition-to-version-2.html) en la *Guía del usuario de Amazon EC2*. Para obtener información sobre cómo comprobar la versión de SSM Agent instalada en la instancia, consulte [Verificación del número de versión de SSM Agent](ssm-agent-get-version.md). Para obtener información sobre cómo actualizar SSM Agent, consulte [Actualización automática de SSM Agent](ssm-agent-automatic-updates.md#ssm-agent-automatic-updates-console). Entre los beneficios de administrar instancias, se incluyen los siguientes:
+ Conéctese a sus instancias de forma segura mediante Session Manager.
+ Realice escaneos de revisiones automatizados mediante Patch Manager.
+ Consulte información detallada sobre sus instancias mediante Systems Manager Inventory.
+ Realice un seguimiento y administre las instancias mediante Fleet Manager.
+ Mantenga SSM Agent actualizado automáticamente.

Fleet Manager, Inventario, Patch Manager y Session Manager son herramientas de AWS Systems Manager.

La configuración de administración de host predeterminada permite la administración de instancias sin el uso de perfiles de instancia y garantiza que Systems Manager tenga permisos para administrar todas las instancias de la región y la cuenta. Si los permisos proporcionados no son suficientes para su caso de uso, también puede agregar políticas al rol de IAM predeterminado creado en la configuración de administración de host predeterminada. Como alternativa, si no necesita permisos para todas las capacidades proporcionadas por el rol de IAM predeterminado, puede crear sus propias políticas y roles personalizados. Cualquier cambio realizado en el rol de IAM que elija para la configuración de administración de host predeterminada se aplica a todas las instancias de Amazon EC2 administradas en la región y la cuenta. Para obtener más información acerca de la política que usa la configuración de administración de host predeterminada, consulte [Política administrada por AWS: AmazonSSMManagedEC2InstanceDefaultPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy). Para obtener más información sobre la configuración de administración de host predeterminada, consulte [Administración automática de instancias EC2 con la configuración de administración de hosts predeterminada](fleet-manager-default-host-management-configuration.md).

**importante**  
Las instancias registradas mediante la Configuración de la administración de hosts predeterminada almacenan la información de registro localmente en los directorios `/lib/amazon/ssm` o `C:\ProgramData\Amazon`. Si se eliminan estos directorios o sus archivos, la instancia no podrá adquirir las credenciales necesarias para conectarse a Systems Manager mediante la Configuración de la administración de hosts predeterminada. En estos casos, debe utilizar un perfil de instancia para proporcionar los permisos necesarios a la instancia, o bien volver a crearla.

**nota**  
Este procedimiento está pensado para que solo lo realicen los administradores. Implemente el acceso con privilegios mínimos cuando permita que las personas configuren o modifiquen la configuración de administración de host predeterminada. Debe activar la configuración de administración de host predeterminada en cada Región de AWS en la que desee administrar automáticamente sus instancias de Amazon EC2.

**Para activar la configuración de administración de host predeterminada**  
Puede activar la configuración de administración de host predeterminada desde la consola de Fleet Manager. Para completar correctamente este procedimiento con la Consola de administración de AWS o la herramienta de línea de comandos que prefiera, debe tener permisos para las operaciones de las API [GetServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetServiceSetting.html), [ResetServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_ResetServiceSetting.html) y [UpdateServiceSetting](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateServiceSetting.html). Además, debe tener permisos `iam:PassRole` para el rol de IAM `AWSSystemsManagerDefaultEC2InstanceManagementRole`. A continuación, se muestra una política de ejemplo. Reemplace cada *example resource placeholder* con su propia información.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:GetServiceSetting",
                "ssm:ResetServiceSetting",
                "ssm:UpdateServiceSetting"
            ],
            "Resource": "arn:aws:ssm:us-east-1:111122223333:servicesetting/ssm/managed-instance/default-ec2-instance-management-role"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::111122223333:role/service-role/AWSSystemsManagerDefaultEC2InstanceManagementRole",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "ssm.amazonaws.com"
                    ]
                }
            }
        }
    ]
}
```

------

Antes de empezar, si tiene perfiles de instancia adjuntos a sus instancias de Amazon EC2, elimine todos los permisos que permitan la operación `ssm:UpdateInstanceInformation`. SSM Agent intenta usar los permisos del perfil de instancia antes de usar los permisos de configuración de administración de host predeterminados. Si permite la operación `ssm:UpdateInstanceInformation` en los perfiles de su instancia, la instancia no utilizará los permisos de la configuración de administración de host predeterminada.

1. Abra la consola de AWS Systems Manager en [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. En el panel de navegación, elija **Fleet Manager**.

1. Seleccione **Configurar la Configuración de la administración de hosts predeterminada** en el menú desplegable **Administración de la cuenta**.

1. Active **Habilitar configuración de administración de host predeterminada**.

1. Elija el rol de IAM que se utiliza para habilitar las herramientas de Systems Manager en sus instancias. Recomendamos utilizar el rol predeterminado que proporciona la configuración de administración de host predeterminada. Contiene el conjunto mínimo de permisos necesarios para administrar sus instancias de Amazon EC2 mediante Systems Manager. Si prefiere utilizar un rol personalizado, la política de confianza del rol debe permitir que Systems Manager sea una entidad de confianza.

1. Elija **Configurar** para completar la configuración. 

Tras activar la configuración de administración de host predeterminada, es posible que las instancias tarden 30 minutos en utilizar las credenciales del rol que ha elegido. Debe activar la configuración de administración de host predeterminada en cada región en la que desee administrar automáticamente sus instancias de Amazon EC2.

## Configuración alternativa para permisos de instancia de EC2
<a name="instance-profile-add-permissions"></a>

Para otorgar acceso a nivel de instancias individuales, debe utilizar un perfil de instancia de AWS Identity and Access Management (IAM). Un perfil de instancias es un contenedor que pasa información del rol de IAM a una instancia de Amazon Elastic Compute Cloud (Amazon EC2) al momento del lanzamiento. Puede crear un perfil de instancias para Systems Manager, adjuntando una o más políticas de IAM que definan los permisos necesarios para un nuevo rol o para un rol que ya haya creado.

**nota**  
Puede utilizar Quick Setup, una herramienta de AWS Systems Manager, para configurar rápidamente un perfil de instancias en todas las instancias de su Cuenta de AWS. Quick Setup también crea un rol de servicio de IAM (o rol de *asunción*), lo que permite a Systems Manager ejecutar comandos de forma segura en las instancias en su nombre. Si utiliza Quick Setup, puede omitir este paso (paso 3) y el paso 4. Para obtener más información, consulte [AWS Systems Manager Quick Setup](systems-manager-quick-setup.md). 

Tenga en cuenta los siguientes detalles sobre cómo crear un perfil de instancias de IAM:
+ Si está configurando equipos que no son de EC2 en un entorno [híbrido y multinube](operating-systems-and-machine-types.md#supported-machine-types) para Systems Manager, no es necesario crear un perfil de instancia para ellos. En su lugar, configure los servidores y las máquinas virtuales para que utilicen el rol de servicio de IAM. Para obtener más información, consulte [Creación del rol de servicio de IAM requerido para Systems Manager en entornos híbridos y multinube](hybrid-multicloud-service-role.md).
+ Si cambia el perfil de instancias de IAM, puede pasar un tiempo antes de que las credenciales de la instancia se actualicen. El SSM Agent no procesará solicitudes hasta que esto ocurra. Para acelerar el proceso de actualización, puede reiniciar el SSM Agent o la instancia.

En función de si va a crear un nuevo rol para su perfil de instancias o si va a agregar los permisos necesarios para un rol existente, utilice uno de los siguientes procedimientos.<a name="setup-instance-profile-managed-policy"></a>

**Para crear un perfil de instancias para instancias administradas de Systems Manager (consola)**

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Roles** y luego seleccione **Crear rol**.

1. En **Trusted entity type** (Tipo de entidad de confianza), elija **Servicio de AWS**.

1. Inmediatamente debajo de **Use case** (Caso de uso), seleccione **EC2** y, a continuación, **Next** (Siguiente).

1. En la página **Agregar permisos**, haga lo siguiente: 
   + Utilice el campo **Search** (Buscar) para localizar la política **AmazonSSMManagedInstanceCore**. Seleccione la casilla de verificación situada junto a su nombre, como se muestra en la siguiente ilustración.   
![\[La casilla de verificación está seleccionada en la fila AmazonSSMManagedInstanceCore.\]](http://docs.aws.amazon.com/es_es/systems-manager/latest/userguide/images/setup-instance-profile-2.png)

     La consola conserva la selección aunque busque otras políticas.
   + Si ha creado una política de bucket de S3 personalizada en el procedimiento anterior, [(Opcional) Crear una política personalizada para el acceso al bucket de S3](#instance-profile-custom-s3-policy), búsquela y seleccione la casilla de verificación situada junto a su nombre.
   + Si tiene previsto unir instancias a una instancia de Active Directory administrada por Directory Service, busque **AmazonSSMDirectoryServiceAccess** y seleccione la casilla de verificación situada junto a su nombre.
   + Si tiene previsto utilizar EventBridge o los Registros de CloudWatch para administrar o supervisar la instancia, busque **CloudWatchAgentServerPolicy** y seleccione la casilla de verificación situada junto a su nombre.

1. Elija **Siguiente**.

1. En **Role name** (Nombre del rol), ingrese un nombre para el nuevo perfil de instancias, por ejemplo, **SSMInstanceProfile**.
**nota**  
Anote el nombre del rol. Elegirá este rol cuando cree instancias nuevas que desee administrar mediante Systems Manager.

1. (Opcional) En **Description** (Descripción), actualice la descripción de este perfil de instancia.

1. (Opcional) En **Tags** (Etiquetas), agregue uno o varios pares de valores etiqueta-clave para organizar, seguir o controlar el acceso a este rol, y luego elija **Create role** (Crear rol). El sistema le devuelve a la página **Roles**.<a name="setup-instance-profile-custom-policy"></a>

**Para agregar permisos de perfil de instancias para Systems Manager a un rol existente (consola)**

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, elija **Roles** y, a continuación, elija el rol existente que desea asociar con un perfil de instancias para operaciones de Systems Manager.

1. En la pestaña **Permissions** (Permisos), elija **Add permissions, Attach policies** (Agregar permisos, Adjuntar políticas).

1. En la página **Attach policy** (Adjuntar política), lleve a cabo las siguientes operaciones:
   + Utilice el campo **Search** (Buscar) para localizar la política **AmazonSSMManagedInstanceCore**. Seleccione la casilla de verificación situada junto a su nombre. 
   + Si ha creado una política de bucket de S3 personalizada, búsquela y seleccione la casilla de verificación situada junto a su nombre. Para obtener más información sobre las políticas personalizadas del bucket de S3 para un perfil de instancia, consulte [(Opcional) Crear una política personalizada para el acceso al bucket de S3](#instance-profile-custom-s3-policy).
   + Si tiene previsto unir instancias a una instancia de Active Directory administrada por Directory Service, busque **AmazonSSMDirectoryServiceAccess** y seleccione la casilla de verificación situada junto a su nombre.
   + Si tiene previsto utilizar EventBridge o los Registros de CloudWatch para administrar o supervisar la instancia, busque **CloudWatchAgentServerPolicy** y seleccione la casilla de verificación situada junto a su nombre.

1. Seleccione **Asociar políticas**.

Para obtener información acerca de cómo se actualiza un rol para que incluya una entidad de confianza o que restrinja aún más el acceso, consulte [Modificación de un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) en la *Guía del usuario de IAM*. 

## (Opcional) Crear una política personalizada para el acceso al bucket de S3
<a name="instance-profile-custom-s3-policy"></a>

La creación de una política personalizada para el acceso a Amazon S3 solo es necesaria si utiliza un punto de enlace de la VPC o un bucket de S3 de su propiedad en sus operaciones de Systems Manager. Puede adjuntar esta política al rol de IAM predeterminado creado por la configuración de administración de host predeterminada o a un perfil de instancia que haya creado en el procedimiento anterior.

Para obtener más información acerca de los buckets de S3 administrados de AWS a los que proporciona acceso en la siguiente política, consulte [SSM Agent Comunicaciones de AWS con buckets de S3 administrados de](ssm-agent-technical-details.md#ssm-agent-minimum-s3-permissions).

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Policies (Políticas)** y, a continuación, seleccione **Create policy (Crear política)**. 

1. Seleccione la pestaña **JSON** y sustituya el texto predeterminado con lo siguiente.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "s3:GetObject",
               "Resource": [
                   "arn:aws:s3:::aws-ssm-us-east-2/*",
                   "arn:aws:s3:::aws-windows-downloads-us-east-2/*",
                   "arn:aws:s3:::amazon-ssm-us-east-2/*",
                   "arn:aws:s3:::amazon-ssm-packages-us-east-2/*",
                   "arn:aws:s3:::us-east-2-birdwatcher-prod/*",
                   "arn:aws:s3:::aws-ssm-distributor-file-us-east-2/*",
                   "arn:aws:s3:::aws-ssm-document-attachments-us-east-2/*",
                   "arn:aws:s3:::patch-baseline-snapshot-us-east-2/*"
               ]
           },
           {
               "Effect": "Allow",
               "Action": [
                   "s3:GetObject",
                   "s3:PutObject",
                   "s3:PutObjectAcl",
                   "s3:GetEncryptionConfiguration"
               ],
               "Resource": [
                   "arn:aws:s3:::amzn-s3-demo-bucket/*",
                   "arn:aws:s3:::amzn-s3-demo-bucket"
               ]
           }
       ]
   }
   ```

------
**nota**  
El primer elemento `Statement` solo es necesario si utiliza un punto de conexión de VPC.  
El segundo elemento `Statement` solo es necesario si utiliza un bucket de S3 que ya haya creado para usarlo en sus operaciones de Systems Manager.  
El permiso de la lista de control de acceso de `PutObjectAcl` solo es necesario si planea permitir el acceso entre cuentas para los buckets de S3 en otras cuentas.  
El elemento `GetEncryptionConfiguration` es necesario si el bucket de S3 está configurado para utilizar el cifrado.  
Si el bucket de S3 está configurado para utilizar el cifrado, entonces la raíz del bucket de S3 (por ejemplo, `arn:aws:s3:::amzn-s3-demo-bucket`) debe aparecer en la sección **Recurso**. Su usuario, grupo o rol debe estar configurado con acceso al bucket raíz.

1. Si está utilizando un punto de enlace de la VPC en sus operaciones, haga lo siguiente: 

   En el primer elemento `Statement`, sustituya cada marcador de *región* con el identificador de la Región de AWS en la que se utilizará esta política. Por ejemplo, utilice `us-east-2` para la región EE. UU. Este (Ohio). Para ver una lista de los valores de *regiones* admitidos, consulte la columna **Región** en [Puntos de conexión de servicio de Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) en la *Referencia general de Amazon Web Services*.
**importante**  
Recomendamos que evite el uso de caracteres comodín (\$1) en lugar de regiones específicas en esta política. Por ejemplo, utilice `arn:aws:s3:::aws-ssm-us-east-2/*` y no `arn:aws:s3:::aws-ssm-*/*`. El uso de caracteres comodín podría conceder acceso a buckets de S3 a los que no quiere darlo. Si desea utilizar el perfil de instancia para más de una región, le recomendamos repetir el primer elemento de `Statement` de cada región.

   -o bien-

   Si no va a utilizar un punto de enlace de la VPC en sus operaciones, puede eliminar el primer elemento `Statement`.

1. Si está utilizando un bucket de S3 de su propiedad en sus operaciones de Systems Manager, haga lo siguiente:

   En el segundo elemento de `Statement`, sustituya *amzn-s3-demo-bucket* con el nombre de un bucket de S3 en su cuenta. Utilizará este bucket para sus operaciones de Systems Manager. Otorga permisos para objetos del bucket mediante `"arn:aws:s3:::my-bucket-name/*"` como recurso. Para obtener más información acerca de cómo se proporcionan permisos para buckets u objetos en buckets, consulte el tema [Acciones de políticas para Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/using-with-s3-actions.html) en la *Guía del usuario de Amazon Simple Storage Service* y en la publicación del blog de AWS [IAM Policies and Bucket Policies and ACLs\$1 Oh, My\$1 (Control del acceso a los recursos de S)](https://aws.amazon.com/blogs/security/iam-policies-and-bucket-policies-and-acls-oh-my-controlling-access-to-s3-resources/).
**nota**  
Si utiliza más de un bucket, facilite el ARN de cada uno. Consulte el siguiente ejemplo sobre los permisos de los buckets.  

   ```
   "Resource": [
   "arn:aws:s3:::amzn-s3-demo-bucket1/*",
   "arn:aws:s3:::amzn-s3-demo-bucket2/*"
                  ]
   ```

   -o bien-

   Si no va a utilizar un bucket de S3 de su propiedad en las operaciones de Systems Manager, puede eliminar el segundo elemento `Statement`.

1. Elija **Siguiente: etiquetas**.

1. (Opcional) Para agregar etiquetas, elija **Add tag** (Agregar etiqueta) e ingrese las etiquetas preferidas para la política.

1. Elija **Siguiente: Revisar**.

1. En **Name** (Nombre), ingrese un nombre para identificar esta política, por ejemplo, **SSMInstanceProfileS3Policy**.

1. Elija **Crear política**.

## Consideraciones sobre políticas adicionales para las instancias administradas
<a name="instance-profile-policies-overview"></a>

En esta sección, se describen algunas de las políticas que puede agregar al rol de IAM predeterminado creado por la configuración de administración de host predeterminada o a los perfiles de instancia para AWS Systems Manager. Para proporcionar permisos para la comunicación entre las instancias y la API de Systems Manager, le recomendamos que cree políticas personalizadas que reflejen las necesidades del sistema y los requisitos de seguridad. En función de su plan de operaciones, es posible que necesite permisos representados en una o varias de las otras políticas.

**Política: `AmazonSSMDirectoryServiceAccess`**  
Solo es necesaria si planea unir instancias de Amazon EC2 para Windows Server a un directorio de Microsoft AD.  
Esta política administrada de AWS permite a SSM Agent acceder a AWS Directory Service en su nombre para las solicitudes de unión al dominio por parte de la instancia administrada. Para obtener más información, consulte [Cómo unir fácilmente una instancia de EC2 de Windows](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/launching_instance.html) en la *Guía de administración de AWS Directory Service*.

**Política: `CloudWatchAgentServerPolicy`**  
Solo es necesaria si planea instalar y ejecutar el agente de CloudWatch en sus instancias para leer métricas y datos de registro en una instancia y escribirlos en Amazon CloudWatch. Esto sirve para monitorear, analizar y responder rápidamente a problemas o cambios en los recursos de AWS.  
Su rol de IAM predeterminado creado por la configuración de administración de host predeterminada o el perfil de instancia necesita esta política solo si utilizará características como Amazon EventBridge o Registros de Amazon CloudWatch. (También puede crear una política más restrictiva que, por ejemplo, limite la escritura de acceso a un flujo de registro específico de los Registros de CloudWatch).  
El uso de las características de EventBridge y los Registros de CloudWatch es opcional. No obstante, le recomendamos que las configure al principio de su proceso de configuración de Systems Manager si ha decidido usarlas. Para obtener más información, consulte la *[Guía del usuario de Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/)* y la *[Guía del usuario de Registros de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)*.
Para crear políticas de IAM con permisos para herramientas adicionales de Systems Manager, consulte los siguientes recursos:  
+ [Restringir el acceso a los parámetros de Parameter Store mediante políticas de IAM](sysman-paramstore-access.md)
+ [Configuración de Automation](automation-setup.md)
+ [Paso 2: Verificar o agregar permisos de instancia para Session Manager](session-manager-getting-started-instance-profile.md)

## Adjuntar el perfil de instancia de Systems Manager a una instancia (consola)
<a name="attach-instance-profile"></a>

El siguiente procedimiento describe cómo asociar un perfil de instancia de IAM a una instancia de Amazon EC2 mediante la consola de Amazon EC2.

1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. En el panel de navegación, bajo **Instances**, elija **Instances**.

1. Diríjase a la instancia de EC2 en la lista y elíjala.

1. En el menú **Actions** (Acciones), elija **Security** (Seguridad), **Modify IAM role** (Modificar rol de IAM).

1. En **IAM role (Rol de IAM)**, seleccione el perfil de instancia creado utilizando el procedimiento que se describe en [Configuración alternativa para permisos de instancia de EC2](#instance-profile-add-permissions).

1. Elija **Update **IAM role**** (Actualizar rol de IAM).

Para obtener más información acerca de cómo adjuntar roles de IAM a instancias, elija una de las siguientes opciones, en función del tipo de sistema operativo seleccionado:
+ [Asociación de un rol de IAM a una instancia](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html#attach-iam-role) en la *Guía del usuario de Amazon EC2*
+ [Asociación de un rol de IAM a una instancia](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/iam-roles-for-amazon-ec2.html#attach-iam-role) en la *Guía del usuario de Amazon EC2*

Continuar con [Mejora de la seguridad de las instancias de EC2 mediante puntos de conexión de VPC para Systems Manager](setup-create-vpc.md).

# Mejora de la seguridad de las instancias de EC2 mediante puntos de conexión de VPC para Systems Manager
<a name="setup-create-vpc"></a>

Puede mejorar la posición de seguridad de los nodos administrados (incluidas las máquinas que no son de EC2 en su entorno [híbrido y multinube](operating-systems-and-machine-types.md#supported-machine-types)) mediante la configuración de AWS Systems Manager para que use un punto de conexión de VPC de interfaz en Amazon Virtual Private Cloud (Amazon VPC). Mediante un punto de conexión de VPC de la interfaz (punto de conexión de la interfaz), puede conectarse a servicios con tecnología de AWS PrivateLink. AWS PrivateLink es una tecnología que permite obtener acceso de forma privada a las API de Amazon Elastic Compute Cloud (Amazon EC2) y Systems Manager mediante direcciones IP privadas. 

AWS PrivateLink restringe todo el tráfico de red entre las instancias administradas, Systems Manager y Amazon EC2 y la red de Amazon. Esto significa que las instancias administradas no tienen acceso a Internet. Si utiliza AWS PrivateLink, no necesita una puerta de enlace de Internet, un dispositivo NAT ni una puerta de enlace privada virtual. 

No es necesario configurar AWS PrivateLink, pero es recomendable. Para obtener más información sobre AWS PrivateLink y los puntos de conexión de VPC, consulte [AWS PrivateLink y los puntos de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html).

**nota**  
La alternativa a usar un punto de enlace de la VPC es permitir el acceso a Internet saliente en las instancias administradas. En este caso, las instancias administradas también deben permitir el tráfico saliente HTTPS (puerto 443) a los siguientes puntos de enlace:  
`ssm.region.amazonaws.com`
`ssmmessages.region.amazonaws.com`
`ec2messages.region.amazonaws.com`
SSM Agent inicia todas las conexiones al servicio de Systems Manager en la nube. Por este motivo, no es necesario configurar el firewall para permitir el tráfico entrante a las instancias de Systems Manager.  
Para obtener más información acerca de los puntos de enlace, consulte [Referencia: ec2messages, ssmmessages y otras operaciones de la API](systems-manager-setting-up-messageAPIs.md).  
Si utiliza Systems Manager en un entorno que *solo* admite IPv6, también debe permitir el tráfico saliente a los siguientes puntos de conexión:  
`ssm.region.api.aws`
`ssmmessages.region.api.aws`
`ec2messages.region.api.aws`
Para obtener más información acerca de los puntos de conexión de doble pila, consulte los puntos de conexión de [doble pila](https://docs.aws.amazon.com/general/latest/gr/rande.html#dual-stack-endpoints) en la *Guía de referencia general de AWS*.  
También debe asegurarse de que se pueda acceder a los buckets de operaciones de revisiones desde sus nodos, tal y como se describe en [Referencia: buckets de Amazon S3 para operaciones de aplicación de revisiones](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-operations-s3-buckets.html).

**Acerca de Amazon VPC**  
Puede utilizar Amazon Virtual Private Cloud (Amazon VPC) para definir una red virtual en su propia área aislada lógicamente dentro de la Nube de AWS, conocida como una *nube privada virtual (VPC)*. Puede lanzar recursos de AWS, como, por ejemplo, instancias, en su VPC. Una VPC es prácticamente idéntica a una red tradicional que usted puede operar en su propio centro de datos, con los beneficios que supone utilizar la infraestructura escalable de AWS. Puede configurar la VPC, seleccionar su rango de direcciones IP, crear subredes y configurar tablas de enrutamiento, puerta de enlace de red y ajustes de seguridad. Ahora puede conectar sus instancias de la VPC a Internet. Puede conectar la VPC a su propio centro de datos corporativo, lo que convierte la Nube de AWS en una ampliación del centro de datos. Para proteger los recursos de cada subred, puede utilizar varias capas de seguridad, incluidos grupos de seguridad y listas de control de acceso a la red. Para obtener más información, consulte la [Guía del usuario de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/).

**Topics**
+ [Restricciones y limitaciones de los puntos de enlace de la VPC](#vpc-requirements-and-limitations)
+ [Creación de puntos de enlace de la VPC para Systems Manager](#create-vpc-endpoints)
+ [Crear una política de punto de enlace de la VPC de tipo interfaz](#create-vpc-interface-endpoint-policies)

## Restricciones y limitaciones de los puntos de enlace de la VPC
<a name="vpc-requirements-and-limitations"></a>

Antes de configurar los puntos de enlace de la VPC para Systems Manager debe conocer las siguientes restricciones y limitaciones.

**Interconexiones de VPC**  
A los puntos de enlace de la interfaz de VPC se puede acceder a través de una interconexión con VPC *dentro de las regiones* y *entre regiones*. Para obtener más información acerca de las solicitudes de conexión de emparejamiento de VPC para los puntos de conexión de la interfaz de la VPC, consulte [Cuotas de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-peering) en la *Guía del usuario de Amazon Virtual Private Cloud*. 

Las conexiones de punto de conexión de puerta de enlace de VCP no se pueden ampliar más allá de una VPC. Los recursos del otro lado de una interconexión de VPC en la VPC no pueden utilizar el punto de enlace de gateway para comunicarse con los recursos del servicio de punto de enlace de gateway. Para obtener más información acerca de las solicitudes de conexión de emparejamiento de VPC para puntos de conexión de puertas de enlace de la VPC, consulte [Cuotas de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-endpoints) en la *Guía del usuario de Amazon Virtual Private Cloud*

**Conexiones entrantes**  
El grupo de seguridad asociado al punto de enlace de la VPC debe permitir las conexiones entrantes en el puerto 443 desde la subred privada de la instancia administrada. Si no se permiten las conexiones entrantes, la instancia administrada no podrá conectarse a los puntos de enlace de SSM y EC2.

**Resolución de los DNS**  
Si utiliza un servidor DNS personalizado, debe agregar un reenviador condicional para cualquier consulta sobre el dominio `amazonaws.com` al servidor DNS de Amazon de su VPC.

**Buckets de S3**  
Su política de punto de conexión de VPC debe permitir al menos el acceso a los siguientes buckets Amazon S3 enumerados en [SSM Agent Comunicaciones de AWS con buckets de S3 administrados de](ssm-agent-technical-details.md#ssm-agent-minimum-s3-permissions):

**nota**  
Si utiliza un firewall local y planea usar Patch Manager, ese firewall también debe permitir el acceso al punto de enlace de línea de base de revisiones correspondiente.

**Registros de Amazon CloudWatch**  
Si no permite que las instancias accedan a Internet, cree un punto de enlace de la VPC para que los Registros de CloudWatch utilicen características que envíen Registros a CloudWatch. Para obtener más información acerca de cómo crear un punto de enlace para los Registros de CloudWatch, consulte [Creación de un punto de enlace de la VPC para los Registros de CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html#create-VPC-endpoint-for-CloudWatchLogs) en la *Guía del usuario de los Registros de Amazon CloudWatch*.

**DNS en un entorno híbrido y multinube**  
Para obtener más información sobre cómo se configura DNS para trabajar con los puntos de conexión de AWS PrivateLink en entornos [híbridos y multinube](operating-systems-and-machine-types.md#supported-machine-types), consulte [DNS privado para puntos de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-private-dns) en la *Guía del usuario de Amazon VPC*. Si desea utilizar su propio DNS, puede utilizar Route 53 Resolver. Para obtener más información, consulte [Resolving DNS queries between VPCs and your network](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html) en la *Guía para desarrolladores de Amazon Route 53*. 

## Creación de puntos de enlace de la VPC para Systems Manager
<a name="create-vpc-endpoints"></a>

Utilice la siguiente información para crear puntos de conexión de interfaces de VPC para AWS Systems Manager. Este tema se vincula con los procedimientos en la *Guía del usuario de Amazon VPC*. 

**nota**  
*region* representa el identificador de Región de AWS compatible con AWS Systems Manager, como `us-east-2` para la región EE. UU. Este (Ohio). Para ver una lista de los valores de *regiones* admitidos, consulte la columna **Región** en [Puntos de conexión de servicio de Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) en la *Referencia general de Amazon Web Services*.

Siga los pasos descritos en [Create an interface endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) (Creación de un punto de enlace de interfaz) para crear los siguientes puntos de enlace de la interfaz:
+ **`com.amazonaws.region.ssm`** – el punto de conexión para el servicio de Systems Manager.
+ **`com.amazonaws.region.ec2messages`**: Systems Manager utiliza este punto de conexión para realizar llamadas desde SSM Agent al servicio de Systems Manager. A partir de la versión 3.3.40.0 de SSM Agent, Systems Manager comenzó a utilizar el punto de conexión `ssmmessages:*` (Amazon Message Gateway Service) siempre que estaba disponible en lugar del punto de conexión de `ec2messages:*` (Amazon Message Delivery Service).
+ **`com.amazonaws.region.ec2`** – si utiliza Systems Manager para crear instantáneas compatibles con VSS, debe asegurarse de que tiene un punto de conexión al servicio de EC2. Si el punto de conexión de EC2 no está definido, se produce un error en una llamada para enumerar los volúmenes de Amazon EBS adjuntos, lo que hace que el comando de Systems Manager no se ejecute correctamente.
+ **`com.amazonaws.region.s3`** – Systems Manager utiliza este punto de conexión para realizar la actualización SSM Agent. Systems Manager también utiliza este punto de conexión, si, de manera opcional, opta por recuperar scripts u otros archivos almacenados en buckets o cargar registros de salida a un bucket. Si el grupo de seguridad asociado a su instancia restringe el tráfico saliente, debe agregar una regla para permitir el tráfico hacia la lista de prefijos para Amazon S3. Para obtener más información, consulte [Modificación del grupo de seguridad](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-gateway.html#vpc-endpoints-security) en la *Guía de AWS PrivateLink*.
+ **`com.amazonaws.region.ssmmessages`**: este punto de conexión es necesario para que SSM Agent se comunique con el servicio de Systems Manager, para Run Command, y si se conecta a sus instancias a través de un canal de datos seguro mediante Session Manager. Para obtener más información, consulte [AWS Systems Manager Session Manager](session-manager.md) y [Referencia: ec2messages, ssmmessages y otras operaciones de la API](systems-manager-setting-up-messageAPIs.md).
+ (Opcional) **`com.amazonaws.region.kms`**: cree este punto de conexión si desea utilizar cifrado de AWS Key Management Service (AWS KMS) para parámetros de Session Manager o Parameter Store.
+ (Opcional) **`com.amazonaws.region.logs`**: crear este punto de conexión si desea utilizar Registros de Amazon CloudWatch (CloudWatch Logs) para registros de Session Manager, Run Command o SSM Agent.

Para obtener información acerca de los buckets de S3 de AWS administrados a los que SSM Agent debe tener acceso, consulte [SSM Agent Comunicaciones de AWS con buckets de S3 administrados de](ssm-agent-technical-details.md#ssm-agent-minimum-s3-permissions). Si utiliza un punto de conexión de nube privada virtual (VPC) en las operaciones de Systems Manager, necesita conceder permiso explícito en un perfil de instancia de EC2 para Systems Manager o en un rol de servicio para nodos que no son de EC2 en un entorno [híbrido y multinube](operating-systems-and-machine-types.md#supported-machine-types).

## Crear una política de punto de enlace de la VPC de tipo interfaz
<a name="create-vpc-interface-endpoint-policies"></a>

Puede crear políticas para los puntos de enlace de la interfaz de VPC de AWS Systems Manager en la que puede especificar:
+ la entidad principal que puede realizar acciones
+ Las acciones que se pueden realizar
+ los recursos en los que se pueden realizar acciones

Para obtener más información, consulte [Control access to services with VPC endpoints](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) en la *Guía del usuario de Amazon VPC*.