• El panel de AWS Systems Manager CloudWatch dejará de estar disponible después del 30 de abril de 2026. Los clientes pueden seguir utilizando la consola de Amazon CloudWatch para ver, crear y administrar sus paneles de Amazon CloudWatch, tal y como lo hacen actualmente. Para obtener más información, consulte la [documentación del panel de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
# Cómo utilizar roles vinculados a servicios de Systems Manager
AWS Systems Manager utiliza [roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) de AWS Identity and Access Management (IAM). Un rol vinculado a servicios es un tipo único de rol de IAM que está vinculado directamente a Systems Manager. Los roles vinculados a servicios están predefinidos por Systems Manager e incluyen todos los permisos que el servicio requiere para llamar a otros Servicios de AWS en su nombre.
**nota**
Un *rol de servicio* es diferente de un rol vinculado a servicio. Un rol de servicio es un tipo de rol de AWS Identity and Access Management (IAM) que concede permisos a un Servicio de AWS para que pueda acceder a recursos de AWS. Solo unos pocos casos de Systems Manager requieren un rol de servicio. Cuando cree un rol de servicio para Systems Manager, puede elegir los permisos que va a conceder para que pueda acceder a otros recursos de AWS o pueda interactuar con ellos.
Con un rol vinculado a servicios, resulta más sencillo configurar Systems Manager, porque no es preciso agregar los permisos necesarios manualmente. Systems Manager define los permisos de los roles vinculados con su propio servicio y, a menos que esté definido de otra manera, solo Systems Manager puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se puede adjuntar a ninguna otra entidad de IAM.
Solo puede eliminar un rol vinculado a servicios después de eliminar sus recursos relacionados. De esta forma, se protegen los recursos de Systems Manager, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.
**nota**
Para los nodos que no son de EC2 en un entorno [híbrido y multinube](operating-systems-and-machine-types.md#supported-machine-types), necesita disponer un rol de IAM adicional que permita a las máquinas comunicarse con el servicio de Systems Manager. Esta es la rol de servicio de IAM para Systems Manager. Este rol concede a AWS Security Token Service (AWS STS) la confianza *AssumeRole* para el servicio Systems Manager. La acción `AssumeRole` devuelve un conjunto de credenciales de seguridad temporales (consistente en un ID de clave de acceso, una clave de acceso secreta y un token de seguridad). Estas credenciales temporales se usan para obtener acceso a recursos de AWS a los que normalmente no tendría acceso. Para obtener más información, consulte [Creación del rol de servicio de IAM requerido para Systems Manager en entornos híbridos y multinube](hybrid-multicloud-service-role.md) y [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) en la *[Referencia de la API de AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/)*.
Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios que muestran **Sí** en la columna **Roles vinculados a servicios**. Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
**Topics**
+ [Uso de roles para recopilar datos de inventario y ver OpsData](using-service-linked-roles-service-action-1.md)
+ [Uso de roles para recopilar información de la Cuenta de AWS para OpsCenter y Explorer](using-service-linked-roles-service-action-2.md)
+ [Uso de roles para crear OpsData y OpsItems para Explorer](using-service-linked-roles-service-action-3.md)
+ [Uso de roles para crear OpsItems con información operativa en Systems Manager OpsCenter](using-service-linked-roles-service-action-4.md)
+ [Uso de roles para mantener el estado y la consistencia de los recursos aprovisionados de Quick Setup](using-service-linked-roles-service-action-5.md)
+ [Uso de roles para exportar OpsData de Explorer](using-service-linked-roles-service-action-6.md)
+ [Cómo utilizar roles para permitir el acceso a los nodos justo a tiempo](using-service-linked-roles-service-action-8.md)
+ [Cómo utilizar roles para enviar notificaciones de solicitudes de acceso a los nodos justo a tiempo](using-service-linked-roles-service-action-9.md)
# Uso de roles para recopilar datos de inventario y ver OpsData
Systems Manager utiliza el rol vinculado a servicio denominado **`AWSServiceRoleForAmazonSSM`**. AWS Systems Manager utiliza este rol de servicio de IAM para administrar recursos de AWS en su nombre.
## Permisos de roles vinculados al servicio de inventario, OpsData y OpStems
El rol vinculado a servicio `AWSServiceRoleForAmazonSSM` solo confía en `ssm.amazonaws.com` para asumir este rol.
Puede utilizar el rol vinculado a servicio de Systems Manager `AWSServiceRoleForAmazonSSM` para lo siguiente:
+ La herramienta Inventario de Systems Manager utiliza el rol vinculado a servicios `AWSServiceRoleForAmazonSSM` para recopilar metadatos de inventario de etiquetas y grupos de recursos.
+ La herramienta Explorer utiliza el rol vinculado a servicios `AWSServiceRoleForAmazonSSM` para habilitar la visualización de OpsData y OpsItems de varias cuentas. Este rol vinculado a servicios también permite a Explorer crear una regla administrada cuando activa a Security Hub CSPM como origen de datos desde Explorer o OpsCenter.
**importante**
Antes, la consola de Systems Manager ofrecía la posibilidad de elegir el rol vinculado a servicio de IAM `AWSServiceRoleForAmazonSSM` administrado de AWS que utilizar como rol de mantenimiento para las tareas. Ya no se recomienda utilizar este rol y su política asociada, `AmazonSSMServiceRolePolicy`, para tareas de periodo de mantenimiento. Si está utilizando actualmente este rol para tareas de periodo de mantenimiento, le recomendamos que deje de hacerlo. En su lugar, cree su propio rol de IAM que permita la comunicación entre Systems Manager y otros Servicios de AWS cuando se ejecuten las tareas de periodo de mantenimiento.
Para obtener más información, consulte [Configuración de Maintenance Windows](setting-up-maintenance-windows.md).
La política administrada que se utiliza para proporcionar permisos para el rol `AWSServiceRoleForAmazonSSM` es `AmazonSSMServiceRolePolicy`. Para obtener información detallada acerca de los permisos que concede, consulte [Política administrada de AWS: AmazonSSMServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSSMServiceRolePolicy).
## Creación del rol vinculado al servicio `AWSServiceRoleForAmazonSSM` de Systems Manager
Puede utilizar la consola de IAM para crear un rol vinculado a servicios con el caso de uso de **EC2**. El uso de comandos para IAM en la AWS Command Line Interface (AWS CLI) o mediante la API de IAM, crea un rol vinculado a servicios con el nombre de servicio `ssm.amazonaws.com`. Para obtener más información, consulte [Creating a service-linked role](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) en la *Guía del usuario de IAM*.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta.
## Modificación del rol vinculado al servicio `AWSServiceRoleForAmazonSSM` de Systems Manager
Systems Manager no le permite modificar el rol vinculado al servicio `AWSServiceRoleForAmazonSSM`. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminación del rol vinculado al servicio `AWSServiceRoleForAmazonSSM` de Systems Manager
Si ya no necesita utilizar ninguna característica ni ningún servicio que requiera un rol vinculado a un servicio, le recomendamos que elimine el rol. De esta forma no conservará una entidad no utilizada que no se monitorice ni se mantenga de forma activa. Puede utilizar la consola de IAM, la AWS CLI o la API de IAM para eliminar manualmente el rol vinculado a servicios. Para ello, primero debe limpiar manualmente los recursos del rol vinculado a servicio y, a continuación, eliminarlo manualmente.
Dado que al rol vinculado a servicios `AWSServiceRoleForAmazonSSM` lo pueden utilizar varias herramientas, asegúrese de que ninguna de ellas esté utilizando el rol antes de intentar eliminarlo.
+ **Inventario**: si elimina el rol vinculado a servicios utilizado por la herramienta Inventario, los datos de Inventario relacionados con las etiquetas y los grupos de recursos dejarán de estar sincronizados. Debe limpiar los recursos del rol vinculado a servicio antes de eliminarlo manualmente.
+ **Explorer:** si elimina el rol vinculado a servicios utilizado por la herramienta Explorer, OpsData y OpsItems entre cuentas y entre regiones ya no son visibles.
**nota**
Si el servicio Systems Manager está utilizando el rol cuando se intentan eliminar etiquetas o grupos de recursos, es posible que la eliminación falle. En tal caso, espere unos minutos e intente de nuevo la operación.
**Para eliminar los recursos de Systems Manager que se utilizan en `AWSServiceRoleForAmazonSSM`**
1. Para eliminar etiquetas, consulte [Add and delete tags on an individual resource](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags) (Adición y eliminación de etiquetas en un recurso individual).
1. Para eliminar grupos de recursos, consulte [Eliminación de grupos de Grupos de recursos de AWS](https://docs.aws.amazon.com/ARG/latest/userguide/deleting-resource-groups.html).
**Para eliminar manualmente el rol vinculado al servicio `AWSServiceRoleForAmazonSSM` mediante IAM**
Utilice la consola de IAM, la AWS CLI o la API de IAM para eliminar el rol vinculado a servicios `AWSServiceRoleForAmazonSSM`. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones admitidas para el rol vinculado al servicio `AWSServiceRoleForAmazonSSM` de Systems Manager
Systems Manager admite el uso del rol vinculado al servicio `AWSServiceRoleForAmazonSSM` en todas las Regiones de AWS en las que el servicio está disponible. Para obtener más información, consulte [Puntos de conexión y cuotas de AWS Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html).
# Uso de roles para recopilar información de la Cuenta de AWS para OpsCenter y Explorer
Systems Manager utiliza el rol vinculado al servicio denominado **`AWSServiceRoleForAmazonSSM_AccountDiscovery`**. AWS Systems Manager utiliza este rol de servicio de IAM para llamar a otros Servicios de AWS con objeto de descubrir información sobre la Cuenta de AWS.
## Permisos de roles vinculados al servicio de detección de cuentas de Systems Manager
El rol vinculado al servicio `AWSServiceRoleForAmazonSSM_AccountDiscovery` depende de los siguientes servicios para asumir el rol:
+ `accountdiscovery.ssm.amazonaws.com`
La política de permisos del rol permite que Systems Manager realice las siguientes acciones en los recursos especificados:
+ `organizations:DescribeAccount`
+ `organizations:DescribeOrganizationalUnit`
+ `organizations:DescribeOrganization`
+ `organizations:ListAccounts`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:ListDelegatedServicesForAccount`
+ `organizations:ListDelegatedAdministrators`
+ `organizations:ListRoots`
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Cómo crear el rol vinculado al servicio `AWSServiceRoleForAmazonSSM_AccountDiscovery` de Systems Manager
Debe crear un rol vinculado a servicios si desea utilizar Explorer y OpsCenter, herramientas de Systems Manager, en varias Cuentas de AWS. En OpsCenter, debe crear manualmente un rol vinculado a servicios. Para obtener más información, consulte [(Opcional) Configuración manual de OpsCenter para administrar OpsItems de forma centralizada entre cuentas](OpsCenter-getting-started-multiple-accounts.md).
En Explorer, si crea una sincronización de datos de recursos mediante Systems Manager en la Consola de administración de AWS, puede crear el rol vinculado a servicios mediante la elección del botón **Create role** (Crear rol). Si desea crear una sincronización de datos de recursos mediante programación, debe crear el rol antes de crear la sincronización de datos de recursos. Puede crear el rol con la operación [CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html) de la API.
## Modificación del rol vinculado al servicio `AWSServiceRoleForAmazonSSM_AccountDiscovery` de Systems Manager
Systems Manager no le permite modificar el rol vinculado al servicio `AWSServiceRoleForAmazonSSM_AccountDiscovery`. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Cómo eliminar el rol vinculado al servicio `AWSServiceRoleForAmazonSSM_AccountDiscovery` de Systems Manager
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no conservará una entidad no utilizada que no se monitorice ni se mantenga de forma activa. Sin embargo, debe limpiar el rol vinculado a servicios antes de eliminarlo manualmente.
### Limpieza del rol vinculado al servicio de `AWSServiceRoleForAmazonSSM_AccountDiscovery`
Para poder utilizar IAM con objeto de eliminar el rol vinculado al servicio `AWSServiceRoleForAmazonSSM_AccountDiscovery`, antes debe eliminar todas las sincronizaciones de datos del recurso de Explorer.
**nota**
Si el servicio Systems Manager está utilizando el rol cuando intenta eliminar los recursos, la eliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo la operación.
### Eliminar manualmente el rol vinculado al servicio `AWSServiceRoleForAmazonSSM_AccountDiscovery`
Utilice la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado a servicios de `AWSServiceRoleForAmazonSSM_AccountDiscovery`. Para obtener más información, consulte [Eliminar un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones admitidas para el rol vinculado al servicio `AWSServiceRoleForAmazonSSM_AccountDiscovery` de Systems Manager
Systems Manager admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte [Puntos de conexión y cuotas de AWS Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html).
## Actualizaciones del rol vinculado al servicio de AWSServiceRoleForAmazonSSM\$1AccountDiscovery
Puede consultar los detalles sobre las actualizaciones del rol vinculado al servicio de AWSServiceRoleForAmazonSSM\$1AccountDiscovery, ya que este servicio comenzó a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de Systems Manager [Historial del documento](systems-manager-release-history.md).
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| Nuevos permisos agregados | Este rol vinculado a servicios ahora incluye los permisos `organizations:DescribeOrganizationalUnit` y `organizations:ListRoots`. Estos permisos habilitan a una cuenta de administración de AWS Organizations o a una cuenta de administrador delegado de Systems Manager a trabajar con OpsItems en varias cuentas. Para obtener más información, consulte [(Opcional) Configuración manual de OpsCenter para administrar OpsItems de forma centralizada entre cuentas](OpsCenter-getting-started-multiple-accounts.md). | 17 de octubre de 2022 |
# Uso de roles para crear OpsData y OpsItems para Explorer
Systems Manager usa el rol vinculado a servicio denominado **`AWSServiceRoleForSystemsManagerOpsDataSync`**. AWS Systems Manager usa este rol de servicio de IAM para que Explorer cree OpsData y OpsItems.
## Permisos de roles vinculados al servicio de sincronización de OpsData de Systems Manager
El rol vinculado al servicio `AWSServiceRoleForSystemsManagerOpsDataSync` depende de los siguientes servicios para asumir el rol:
+ `opsdatasync.ssm.amazonaws.com`
La política de permisos del rol permite que Systems Manager realice las siguientes acciones en los recursos especificados:
+ Systems Manager Explorer requiere que un rol vinculado al servicio otorgue permiso para actualizar un resultado de seguridad cuando se actualiza un OpsItem, que cree y actualice un OpsItem y que desactive el origen de datos de Security Hub CSPM cuando los clientes eliminen una regla administrada por SSM.
La política administrada que se utiliza para proporcionar permisos para el rol `AWSServiceRoleForSystemsManagerOpsDataSync` es `AWSSystemsManagerOpsDataSyncServiceRolePolicy`. Para obtener información detallada acerca de los permisos que concede, consulte [Política administrada por AWS: AWSSystemsManagerOpsDataSyncServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy).
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Cómo crear el rol vinculado al servicio `AWSServiceRoleForSystemsManagerOpsDataSync` de Systems Manager
No necesita crear manualmente un rol vinculado a servicios. Cuando se habilita Explorer en la Consola de administración de AWS, Systems Manager se encarga de crear el rol vinculado a servicio.
**importante**
Este rol vinculado a servicios se puede mostrar en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Además, si utilizaba el servicio de Systems Manager antes del 1 de enero de 2017, cuando comenzó a admitir los roles vinculados a servicios, Systems Manager creó el rol `AWSServiceRoleForSystemsManagerOpsDataSync` en su cuenta. Para obtener más información, consulte [Un nuevo rol ha aparecido en mi cuenta de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando se habilita Explorer en la Consola de administración de AWS, Systems Manager se encarga de volver a crear el rol vinculado a servicio.
También puede utilizar la consola de IAM para crear un rol vinculado a servicios con el caso de uso del **rol de servicio de AWS que permite que Explorer cree OpsData y OpsItems**. En la AWS CLI o la API de AWS, cree un rol vinculado al servicio con el nombre de servicio `opsdatasync.ssm.amazonaws.com`. Para obtener más información, consulte [Creación de un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) en la *Guía del usuario de IAM*. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.
## Cómo modificar el rol vinculado al servicio `AWSServiceRoleForSystemsManagerOpsDataSync` de Systems Manager
Systems Manager no le permite modificar el rol vinculado al servicio `AWSServiceRoleForSystemsManagerOpsDataSync`. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Cómo eliminar el rol vinculado al servicio `AWSServiceRoleForSystemsManagerOpsDataSync` de Systems Manager
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no conservará una entidad no utilizada que no se monitorice ni se mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.
**nota**
Si el servicio Systems Manager está utilizando el rol cuando intenta eliminar los recursos, la eliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo la operación.
El procedimiento para eliminar los recursos de Systems Manager que utiliza el rol `AWSServiceRoleForSystemsManagerOpsDataSync` depende de si ha configurado Explorer o OpsCenter para integrarse en Security Hub CSPM.
**Para eliminar los recursos de Systems Manager que se utiliza el rol `AWSServiceRoleForSystemsManagerOpsDataSync`**
+ Para impedir que Explorer cree nuevos OpsItems para los resultados de Security Hub CSPM, consulte [Cómo dejar de recibir resultados](explorer-securityhub-integration.md#explorer-securityhub-integration-disable-receive).
+ Para evitar que OpsCenter cree nuevos resultados de OpsItems para Security Hub CSPM, consulte
**Para eliminar manualmente el rol vinculado al servicio `AWSServiceRoleForSystemsManagerOpsDataSync` mediante IAM**
Puede usar la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado a un servicio de `AWSServiceRoleForSystemsManagerOpsDataSync`. Para obtener más información, consulte [Eliminar un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones admitidas para el rol vinculado al servicio `AWSServiceRoleForSystemsManagerOpsDataSync` de Systems Manager
Systems Manager admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio esté disponible. Para obtener más información, consulte [Puntos de conexión y cuotas de AWS Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html).
Systems Manager no admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio está disponible. Puede usar el rol `AWSServiceRoleForSystemsManagerOpsDataSync` en las siguientes regiones.
****
| Región de AWSNombre de | Identidad de la región | Compatibilidad en Systems Manager |
| --- | --- | --- |
| Este de EE. UU. (Norte de Virginia) | us-east-1 | Sí |
| Este de EE. UU. (Ohio) | us-east-2 | Sí |
| Oeste de EE. UU. (Norte de California) | us-west-1 | Sí |
| Oeste de EE. UU. (Oregón) | us-west-2 | Sí |
| Asia-Pacífico (Mumbai) | ap-south-1 | Sí |
| Asia-Pacífico (Osaka) | ap-northeast-3 | Sí |
| Asia-Pacífico (Seúl) | ap-northeast-2 | Sí |
| Asia-Pacífico (Singapur) | ap-southeast-1 | Sí |
| Asia-Pacífico (Sídney) | ap-southeast-2 | Sí |
| Asia-Pacífico (Tokio) | ap-northeast-1 | Sí |
| Canadá (centro) | ca-central-1 | Sí |
| Europa (Fráncfort) | eu-central-1 | Sí |
| Europa (Irlanda) | eu-west-1 | Sí |
| Europa (Londres) | eu-west-2 | Sí |
| Europa (París) | eu-west-3 | Sí |
| Europa (Estocolmo) | eu-north-1 | Sí |
| América del Sur (São Paulo) | sa-east-1 | Sí |
| AWS GovCloud (US) | us-gov-west-1 | No |
# Uso de roles para crear OpsItems con información operativa en Systems Manager OpsCenter
Systems Manager utiliza el rol vinculado a servicio denominado **`AWSServiceRoleForAmazonSSM_OpsInsights`**. AWS Systems Manager utiliza este rol de servicio de IAM para crear y actualizar OpsItems con información operativa en OpsCenter de Systems Manager.
## Permisos de roles vinculados al servicio `AWSServiceRoleForAmazonSSM_OpsInsights` para OpsItems de información operativa de Systems Manager
El rol vinculado al servicio `AWSServiceRoleForAmazonSSM_OpsInsights` depende de los siguientes servicios para asumir el rol:
+ `opsinsights.ssm.amazonaws.com`
La política de permisos del rol permite que Systems Manager realice las siguientes acciones en los recursos especificados:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateOpsItem",
"Effect": "Allow",
"Action": [
"ssm:CreateOpsItem",
"ssm:AddTagsToResource"
],
"Resource": "*"
},
{
"Sid": "AllowAccessOpsItem",
"Effect": "Allow",
"Action": [
"ssm:UpdateOpsItem",
"ssm:GetOpsItem"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SsmOperationalInsight": "true"
}
}
}
]
}
```
------
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Creación del rol vinculado al servicio `AWSServiceRoleForAmazonSSM_OpsInsights` de Systems Manager
Debe crear un rol vinculado a servicios. Si habilita información operativa mediante Systems Manager en la Consola de administración de AWS, puede crear el rol vinculado a servicios mediante la elección del botón **Enable** (Habilitar).
## Cómo modificar el rol vinculado al servicio `AWSServiceRoleForAmazonSSM_OpsInsights` de Systems Manager
Systems Manager no le permite editar la función vinculada al servicio `AWSServiceRoleForAmazonSSM_OpsInsights`. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Cómo eliminar el rol vinculado al servicio `AWSServiceRoleForAmazonSSM_OpsInsights` de Systems Manager
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma, no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar el rol vinculado a servicios antes de eliminarlo manualmente.
### Limpieza del rol vinculado al servicio de `AWSServiceRoleForAmazonSSM_OpsInsights`
Para poder utilizar IAM con objeto de eliminar el rol vinculado a servicio `AWSServiceRoleForAmazonSSM_OpsInsights`, antes debe desactivar la información operativa en Systems Manager OpsCenter. Para obtener más información, consulte [Análisis de la información operativa para reducir OpsItems](OpsCenter-working-operational-insights.md).
### Eliminar manualmente el rol vinculado al servicio `AWSServiceRoleForAmazonSSM_OpsInsights`
Utilice la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado a servicios de `AWSServiceRoleForAmazonSSM_OpsInsights`. Para obtener más información, consulte [Eliminar un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones admitidas para el rol vinculado al servicio `AWSServiceRoleForAmazonSSM_OpsInsights` de Systems Manager
Systems Manager no permite el uso de los roles vinculados al servicio en todas las regiones en las que el servicio está disponible. Puede utilizar el rol AWSServiceRoleForAmazonSSM\$1OpsInsights en las siguientes regiones.
****
| Nombre de la región | Identidad de la región | Compatibilidad en Systems Manager |
| --- | --- | --- |
| Este de EE. UU. (Norte de Virginia) | us-east-1 | Sí |
| Este de EE. UU. (Ohio) | us-east-2 | Sí |
| Oeste de EE. UU. (Norte de California) | us-west-1 | Sí |
| Oeste de EE. UU. (Oregón) | us-west-2 | Sí |
| Asia-Pacífico (Mumbai) | ap-south-1 | Sí |
| Asia-Pacífico (Tokio) | ap-northeast-1 | Sí |
| Asia-Pacífico (Seúl) | ap-northeast-2 | Sí |
| Asia-Pacífico (Singapur) | ap-southeast-1 | Sí |
| Asia-Pacífico (Sídney) | ap-southeast-2 | Sí |
| Asia-Pacífico (Hong Kong) | ap-east-1 | Sí |
| Canadá (centro) | ca-central-1 | Sí |
| Europa (Fráncfort) | eu-central-1 | Sí |
| Europa (Irlanda) | eu-west-1 | Sí |
| Europa (Londres) | eu-west-2 | Sí |
| Europa (París) | eu-west-3 | Sí |
| Europa (Estocolmo) | eu-north-1 | Sí |
| Europa (Milán) | eu-south-1 | Sí |
| América del Sur (São Paulo) | sa-east-1 | Sí |
| Medio Oriente (Baréin) | me-south-1 | Sí |
| África (Ciudad del Cabo) | af-south-1 | Sí |
| AWS GovCloud (US) | us-gov-west-1 | Sí |
| AWS GovCloud (US) | us-gov-east-1 | Sí |
# Uso de roles para mantener el estado y la consistencia de los recursos aprovisionados de Quick Setup
Systems Manager usa el rol vinculado a servicios denominado **`AWSServiceRoleForSSMQuickSetup`**.
## Permisos de roles vinculados a servicios de `AWSServiceRoleForSSMQuickSetup` para Systems Manager
El rol vinculado al servicio `AWSServiceRoleForSSMQuickSetup` depende de los siguientes servicios para asumir el rol:
+ `ssm-quicksetup.amazonaws.com`
AWS Systems Manager utiliza este rol de servicio de IAM para comprobar el estado de la configuración, garantizar el uso consistente de los parámetros y los recursos aprovisionados y corregir los recursos cuando se detecta una desviación.
La política de permisos del rol permite que Systems Manager realice las siguientes acciones en los recursos especificados:
+ `ssm` (Systems Manager): lee información sobre el estado en el que deben estar los recursos configurados, incluso en cuentas de administrador delegado.
+ `iam` (AWS Identity and Access Management): esto es necesario para que las sincronizaciones de datos de recursos sean accesibles en todas las organizaciones de AWS Organizations.
+ `organizations` (AWS Organizations): lee información sobre las cuentas de los miembros que pertenecen a una organización, tal como se configuró en Organizaciones.
+ `cloudformation` (CloudFormation): lee información sobre las pilas de CloudFormation que se utilizan para administrar el estado de los recursos y las operaciones de los conjuntos de pilas de CloudFormation.
La política administrada que se utiliza para proporcionar permisos para el rol `AWSServiceRoleForSSMQuickSetup` es `SSMQuickSetupRolePolicy`. Para obtener información detallada acerca de los permisos que concede, consulte [Política administrada de AWS: SSMQuickSetupRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SSMQuickSetupRolePolicy).
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Cómo crear el rol vinculado al servicio `AWSServiceRoleForSSMQuickSetup` de Systems Manager
No es necesario crear de forma manual el rol vinculado al servicio AWSServiceRoleForSSMQuickSetup. Cuando crea una configuración de Quick Setup en la Consola de administración de AWS, Systems Manager crea el rol vinculado a servicios por usted.
## Cómo modificar el rol vinculado al servicio `AWSServiceRoleForSSMQuickSetup` de Systems Manager
Systems Manager no le permite editar la función vinculada al servicio `AWSServiceRoleForSSMQuickSetup`. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Cómo eliminar el rol vinculado al servicio `AWSServiceRoleForSSMQuickSetup` de Systems Manager
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma, no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar el rol vinculado a servicios antes de eliminarlo manualmente.
### Limpieza del rol vinculado al servicio de `AWSServiceRoleForSSMQuickSetup`
Para poder utilizar IAM para eliminar el rol vinculado al servicio de `AWSServiceRoleForSSMQuickSetup`, primero debe eliminar las configuraciones de Quick Setup que utilizan el rol. Para obtener más información, consulte [Edición y eliminación de la configuración](quick-setup-using.md#quick-setup-edit-delete).
### Eliminar manualmente el rol vinculado al servicio `AWSServiceRoleForSSMQuickSetup`
Utilice la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado a servicios de `AWSServiceRoleForSSMQuickSetup`. Para obtener más información, consulte los temas siguientes:
+ [Eliminación de un rol vinculado al servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*
+ [https://docs.aws.amazon.com/cli/latest/reference/ssm-quicksetup/delete-configuration-manager.html](https://docs.aws.amazon.com/cli/latest/reference/ssm-quicksetup/delete-configuration-manager.html) en la sección Quick Setup en la *Referencia de la AWS CLI*
+ [https://docs.aws.amazon.com/quick-setup/latest/APIReference/API_DeleteConfigurationManager.html](https://docs.aws.amazon.com/quick-setup/latest/APIReference/API_DeleteConfigurationManager.html) en la *Referencia de la API de Quick Setup*
## Regiones admitidas para el rol vinculado al servicio `AWSServiceRoleForSSMQuickSetup` de Systems Manager
Systems Manager no permite el uso de los roles vinculados al servicio en todas las regiones en las que el servicio está disponible. Puede utilizar el rol AWSServiceRoleForSSMQuickSetup en las siguientes regiones.
+ Este de EE. UU. (Ohio)
+ Este de EE. UU. (Norte de Virginia)
+ Oeste de EE. UU. (Norte de California)
+ Oeste de EE. UU. (Oregón)
+ Asia-Pacífico (Bombay)
+ Asia-Pacífico (Seúl)
+ Asia-Pacífico (Singapur)
+ Asia-Pacífico (Sídney)
+ Asia-Pacífico (Tokio)
+ Canadá (centro)
+ Europa (Fráncfort)
+ Europa (Estocolmo)
+ Europa (Irlanda)
+ Europa (Londres)
+ Europa (París)
+ América del Sur (São Paulo)
# Uso de roles para exportar OpsData de Explorer
AWS Systems Manager Explorer utiliza el rol de servicio **AmazonSSMExplorerExportRole** para exportar los datos de operaciones (OpsData) mediante el manual de procedimientos de automatización `AWS-ExportOpsDataToS3`.
## Permisos de roles vinculados a servicios de Explorer
El rol vinculado a servicio `AmazonSSMExplorerExportRole` solo confía en `ssm.amazonaws.com` para asumir este rol.
Puede usar el rol vinculado a servicio `AmazonSSMExplorerExportRole` para exportar los datos de operaciones (OpsData) mediante el manual de procedimientos de automatización `AWS-ExportOpsDataToS3`. Puede exportar 5000 elementos OpsData de Explorer como un archivo de valores separados por comas (.csv) a un bucket de Amazon Simple Storage Service (Amazon S3).
La política de permisos del rol permite que Systems Manager realice las siguientes acciones en los recursos especificados:
+ `s3:PutObject`
+ `s3:GetBucketAcl`
+ `s3:GetBucketLocation`
+ `sns:Publish`
+ `logs:DescribeLogGroups`
+ `logs:DescribeLogStreams`
+ `logs:CreateLogGroup`
+ `logs:PutLogEvents`
+ `logs:CreateLogStream`
+ `ssm:GetOpsSummary`
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Cómo crear el rol vinculado al servicio `AmazonSSMExplorerExportRole` de Systems Manager
Systems Manager crea el rol vinculado a servicio `AmazonSSMExplorerExportRole` cuando se exportan OpsData mediante Explorer en la consola de Systems Manager. Para obtener más información, consulte [Exportación de OpsData desde Systems Manager Explorer](Explorer-exporting-OpsData.md).
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta.
## Modificación del rol vinculado al servicio `AmazonSSMExplorerExportRole` de Systems Manager
Systems Manager no le permite modificar el rol vinculado al servicio `AmazonSSMExplorerExportRole`. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminación del rol vinculado al servicio `AmazonSSMExplorerExportRole` de Systems Manager
Si ya no necesita utilizar ninguna característica ni ningún servicio que requiera un rol vinculado a un servicio, le recomendamos que elimine el rol. De esta forma no conservará una entidad no utilizada que no se monitorice ni se mantenga de forma activa. Puede utilizar la consola de IAM, la AWS CLI o la API de IAM para eliminar manualmente el rol vinculado a servicios. Para ello, primero debe limpiar manualmente los recursos del rol vinculado a servicio y, a continuación, eliminarlo manualmente.
**nota**
Si el servicio Systems Manager está utilizando el rol cuando se intentan eliminar etiquetas o grupos de recursos, es posible que la eliminación falle. En tal caso, espere unos minutos e intente de nuevo la operación.
**Para eliminar los recursos de Systems Manager que se utilizan en `AmazonSSMExplorerExportRole`**
1. Para eliminar etiquetas, consulte [Add and delete tags on an individual resource](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags) (Adición y eliminación de etiquetas en un recurso individual).
1. Para eliminar grupos de recursos, consulte [Eliminación de grupos de Grupos de recursos de AWS](https://docs.aws.amazon.com/ARG/latest/userguide/deleting-resource-groups.html).
**Para eliminar manualmente el rol vinculado al servicio `AmazonSSMExplorerExportRole` mediante IAM**
Utilice la consola de IAM, la AWS CLI o la API de IAM para eliminar el rol vinculado a servicios `AmazonSSMExplorerExportRole`. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones admitidas para el rol vinculado al servicio `AmazonSSMExplorerExportRole` de Systems Manager
Systems Manager admite el uso del rol vinculado al servicio `AmazonSSMExplorerExportRole` en todas las Regiones de AWS en las que el servicio está disponible. Para obtener más información, consulte [Puntos de conexión y cuotas de AWS Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html).
# Cómo utilizar roles para permitir el acceso a los nodos justo a tiempo
Systems Manager utiliza el rol vinculado a un servicio denominado **`AWSServiceRoleForSystemsManagerJustInTimeAccess`**. AWS Systems Manager utiliza este rol de servicio de IAM para habilitar el acceso a los nodos justo a tiempo.
## Permisos de roles vinculados a un servicio para el acceso a los nodos justo a tiempo de Systems Manager
El rol vinculado al servicio `AWSServiceRoleForSystemsManagerJustInTimeAccess` depende de los siguientes servicios para asumir el rol:
+ `ssm.amazonaws.com`
La política de permisos del rol permite que Systems Manager realice las siguientes acciones en los recursos especificados:
+ `ssm:CreateOpsItem`
+ `ssm:GetOpsItem`
+ `ssm:UpdateOpsItem`
+ `ssm:DescribeOpsItems`
+ `ssm:DescribeSessions`
+ `ssm:ListTagsForResource`
+ `ssm-guiconnect:ListConnections`
+ `identitystore:ListGroupMembershipsForMember`
+ `identitystore:DescribeUser`
+ `identitystore:GetGroupId`
+ `identitystore:GetUserId`
+ `sso-directory:DescribeUsers`
+ `sso-directory:IsMemberInGroup`
+ `sso:ListInstances`
+ `sso:DescribeRegisteredRegions`
+ `sso:ListDirectoryAssociations`
+ `ec2:DescribeTags`
La política administrada que se utiliza para proporcionar permisos para el rol `AWSServiceRoleForSystemsManagerJustInTimeAccess` es `AWSSystemsManagerEnableJustInTimeAccessPolicy`. Para obtener información detallada acerca de los permisos que concede, consulte [Política administrada por AWS: AWSSystemsManagerJustInTimeAccessServicePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy).
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Cómo crear el rol vinculado al servicio `AWSServiceRoleForSystemsManagerJustInTimeAccess` de Systems Manager
No necesita crear manualmente un rol vinculado a servicios. Cuando habilita el acceso a los nodos justo a tiempo en la Consola de administración de AWS, Systems Manager crea el rol vinculado a un servicio por usted.
**importante**
Este rol vinculado a servicios se puede mostrar en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Además, si utilizaba el servicio de Systems Manager antes del 19 de noviembre de 2024, cuando comenzó a admitir los roles vinculados a un servicio, Systems Manager creó el rol `AWSServiceRoleForSystemsManagerJustInTimeAccess` en su cuenta. Para obtener más información, consulte [Un nuevo rol ha aparecido en mi cuenta de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando habilita el acceso a los nodos justo a tiempo en la Consola de administración de AWS, Systems Manager se encarga de volver a crear el rol vinculado al servicio.
También puede utilizar la consola de IAM para crear un rol vinculado a un servicio con el caso de uso en el que el **rol de servicio de AWS permite que Systems Manager habilite el acceso a los nodos justo a tiempo**. En la AWS CLI o la API de AWS, cree un rol vinculado al servicio con el nombre de servicio `ssm.amazonaws.com`. Para obtener más información, consulte [Creación de un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) en la *Guía del usuario de IAM*. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.
## Cómo modificar el rol vinculado al servicio `AWSServiceRoleForSystemsManagerJustInTimeAccess` de Systems Manager
Systems Manager no le permite modificar el rol vinculado al servicio `AWSServiceRoleForSystemsManagerJustInTimeAccess`. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Cómo eliminar el rol vinculado al servicio `AWSServiceRoleForSystemsManagerJustInTimeAccess` de Systems Manager
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no conservará una entidad no utilizada que no se monitorice ni se mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.
**nota**
Si el servicio Systems Manager está utilizando el rol cuando intenta eliminar los recursos, la eliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo la operación.
**Para eliminar manualmente el rol vinculado al servicio `AWSServiceRoleForSystemsManagerJustInTimeAccess` mediante IAM**
Puede usar la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado a un servicio de `AWSServiceRoleForSystemsManagerJustInTimeAccess`. Para obtener más información, consulte [Eliminar un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones admitidas para el rol vinculado al servicio `AWSServiceRoleForSystemsManagerJustInTimeAccess` de Systems Manager
****
| Región de AWSNombre de | Identidad de la región | Compatibilidad en Systems Manager |
| --- | --- | --- |
| Este de EE. UU. (Norte de Virginia) | us-east-1 | Sí |
| Este de EE. UU. (Ohio) | us-east-2 | Sí |
| Oeste de EE. UU. (Norte de California) | us-west-1 | Sí |
| Oeste de EE. UU. (Oregón) | us-west-2 | Sí |
| Asia-Pacífico (Mumbai) | ap-south-1 | Sí |
| Asia-Pacífico (Osaka) | ap-northeast-3 | Sí |
| Asia-Pacífico (Seúl) | ap-northeast-2 | Sí |
| Asia-Pacífico (Singapur) | ap-southeast-1 | Sí |
| Asia-Pacífico (Sídney) | ap-southeast-2 | Sí |
| Asia-Pacífico (Tokio) | ap-northeast-1 | Sí |
| Canadá (centro) | ca-central-1 | Sí |
| Europa (Fráncfort) | eu-central-1 | Sí |
| Europa (Irlanda) | eu-west-1 | Sí |
| Europa (Londres) | eu-west-2 | Sí |
| Europa (París) | eu-west-3 | Sí |
| Europa (Estocolmo) | eu-north-1 | Sí |
| América del Sur (São Paulo) | sa-east-1 | Sí |
| AWS GovCloud (US) | us-gov-west-1 | No |
# Cómo utilizar roles para enviar notificaciones de solicitudes de acceso a los nodos justo a tiempo
Systems Manager utiliza el rol vinculado al servicio denominado **`AWSServiceRoleForSystemsManagerNotifications`**. AWS Systems Manager utiliza este rol de servicio de IAM para enviar notificaciones a los aprobadores de las solicitudes de acceso.
## Permisos de roles vinculados a un servicio para las notificaciones de acceso a los nodos justo a tiempo de Systems Manager
El rol vinculado al servicio `AWSServiceRoleForSystemsManagerNotifications` depende de los siguientes servicios para asumir el rol:
+ `ssm.amazonaws.com`
La política de permisos del rol permite que Systems Manager realice las siguientes acciones en los recursos especificados:
+ `identitystore:ListGroupMembershipsForMember`
+ `identitystore:ListGroupMemberships`
+ `identitystore:DescribeUser`
+ `sso:ListInstances`
+ `sso:DescribeRegisteredRegions`
+ `sso:ListDirectoryAssociations`
+ `sso-directory:DescribeUser`
+ `sso-directory:ListMembersInGroup`
+ `iam:GetRole`
La política administrada que se utiliza para proporcionar permisos para el rol `AWSServiceRoleForSystemsManagerNotifications` es `AWSSystemsManagerNotificationsServicePolicy`. Para obtener información detallada acerca de los permisos que concede, consulte [Política administrada por AWS: AWSSystemsManagerNotificationsServicePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy).
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Cómo crear el rol vinculado al servicio `AWSServiceRoleForSystemsManagerNotifications` de Systems Manager
No necesita crear manualmente un rol vinculado a servicios. Cuando habilita el acceso a los nodos justo a tiempo en la Consola de administración de AWS, Systems Manager crea el rol vinculado a un servicio por usted.
**importante**
Este rol vinculado a servicios se puede mostrar en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Además, si utilizaba el servicio de Systems Manager antes del 19 de noviembre de 2024, cuando comenzó a admitir los roles vinculados a un servicio, Systems Manager creó el rol `AWSServiceRoleForSystemsManagerNotifications` en su cuenta. Para obtener más información, consulte [Un nuevo rol ha aparecido en mi cuenta de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando habilita el acceso a los nodos justo a tiempo en la Consola de administración de AWS, Systems Manager se encarga de volver a crear el rol vinculado al servicio.
También puede utilizar la consola de IAM para crear un rol vinculado a un servicio con el caso de uso en el que el **rol de servicio de AWS permite que Systems Manager envíe notificaciones sobre el acceso a los aprobadores de las solicitudes**. En la AWS CLI o la API de AWS, cree un rol vinculado al servicio con el nombre de servicio `ssm.amazonaws.com`. Para obtener más información, consulte [Creación de un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) en la *Guía del usuario de IAM*. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.
## Cómo modificar el rol vinculado al servicio `AWSServiceRoleForSystemsManagerNotifications` de Systems Manager
Systems Manager no le permite modificar el rol vinculado al servicio `AWSServiceRoleForSystemsManagerNotifications`. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Cómo eliminar el rol vinculado al servicio `AWSServiceRoleForSystemsManagerNotifications` de Systems Manager
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no conservará una entidad no utilizada que no se monitorice ni se mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.
**nota**
Si el servicio Systems Manager está utilizando el rol cuando intenta eliminar los recursos, la eliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo la operación.
**Para eliminar manualmente el rol vinculado al servicio `AWSServiceRoleForSystemsManagerNotifications` mediante IAM**
Puede usar la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado a un servicio de `AWSServiceRoleForSystemsManagerNotifications`. Para obtener más información, consulte [Eliminar un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones admitidas para el rol vinculado al servicio `AWSServiceRoleForSystemsManagerNotifications` de Systems Manager
****
| Región de AWSNombre de | Identidad de la región | Compatibilidad en Systems Manager |
| --- | --- | --- |
| Este de EE. UU. (Norte de Virginia) | us-east-1 | Sí |
| Este de EE. UU. (Ohio) | us-east-2 | Sí |
| Oeste de EE. UU. (Norte de California) | us-west-1 | Sí |
| Oeste de EE. UU. (Oregón) | us-west-2 | Sí |
| Asia-Pacífico (Mumbai) | ap-south-1 | Sí |
| Asia-Pacífico (Osaka) | ap-northeast-3 | Sí |
| Asia-Pacífico (Seúl) | ap-northeast-2 | Sí |
| Asia-Pacífico (Singapur) | ap-southeast-1 | Sí |
| Asia-Pacífico (Sídney) | ap-southeast-2 | Sí |
| Asia-Pacífico (Tokio) | ap-northeast-1 | Sí |
| Canadá (centro) | ca-central-1 | Sí |
| Europa (Fráncfort) | eu-central-1 | Sí |
| Europa (Irlanda) | eu-west-1 | Sí |
| Europa (Londres) | eu-west-2 | Sí |
| Europa (París) | eu-west-3 | Sí |
| Europa (Estocolmo) | eu-north-1 | Sí |
| América del Sur (São Paulo) | sa-east-1 | Sí |
| AWS GovCloud (US) | us-gov-west-1 | No |