• Le AWS Systems Manager CloudWatch tableau de bord ne sera plus disponible après le 30 avril 2026. Les clients peuvent continuer à utiliser CloudWatch la console Amazon pour consulter, créer et gérer leurs CloudWatch tableaux de bord Amazon, comme ils le font aujourd'hui. Pour plus d'informations, consultez la [documentation Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Exécution de documents à partir d'emplacements distants
<a name="documents-running-remote-github-s3"></a>

Vous pouvez exécuter des documents AWS Systems Manager (SSM) depuis des sites distants à l'aide du document SSM `AWS-RunDocument` prédéfini. Ce document prend en charge l'exécution de documents SSM stockés aux emplacements suivants :
+ Référentiels GitHub publics et privés (GitHub Enterprise n’est pas pris en charge)
+ Compartiments Amazon S3
+ Systems Manager

Bien que vous puissiez également exécuter des documents distants à l'aide des outils State Manager ou Automation AWS Systems Manager, la procédure suivante décrit uniquement comment exécuter des documents SSM distants AWS Systems Manager Run Command à l'aide de la console Systems Manager. 

**Note**  
`AWS-RunDocument` peut servir à exécuter des documents SSM de type commande, mais pas d'autres types du genre runbooks Automation. `AWS-RunDocument` utilise `aws:downloadContent`. Pour plus d'informations sur le plugin `aws:downloadContent`, consultez [`aws:downloadContent`](documents-command-ssm-plugin-reference.md#aws-downloadContent).

**Avertissement**  
`AWS-RunDocument`peut exécuter le contenu d'un document provenant de différentes sources (documents SSM GitHub, S3, URLs). Lors de l'exécution de documents distants, les autorisations IAM évaluées concernent ou non `ssm:GetDocument` le document distant. `ssm:SendCommand` `AWS-RunDocument` Si vous avez des politiques IAM qui refusent l'accès à des documents SSM spécifiques, les utilisateurs autorisés peuvent `AWS-RunDocument` toujours exécuter ces documents refusés en transmettant le contenu du document sous forme de paramètres, qui peuvent ne pas être soumis aux mêmes restrictions IAM spécifiques au document.  
Pour limiter correctement l'exécution du document, appliquez l'une des approches suivantes :  
**Autoriser les sources approuvées** : si vous devez utiliser l'exécution de documents imbriquée, limitez l'accès aux seules sources approuvées en utilisant des contrôles appropriés pour chaque type de source : politiques IAM `ssm:GetDocument` pour contrôler les sources de documents SSM, politiques IAM et de compartiment Amazon S3 pour les sources Amazon S3, et paramètres réseau (tels que les points de terminaison VPC ou les groupes de sécurité) pour les sources Internet publiques.
**Limitez l'accès à AWS- RunDocument** : Deny `ssm:SendCommand` on `AWS-RunDocument` et à tout autre document utilisant le `aws:runDocument` plug-in dans vos politiques IAM afin d'empêcher l'exécution de documents imbriqués.
**Utiliser des limites d'autorisation** : implémentez des limites d'autorisation IAM pour définir des autorisations maximales pour les utilisateurs, afin de les empêcher d'exécuter des documents non autorisés, quelle que soit la méthode d'exécution.
Pour plus d'informations sur les meilleures pratiques IAM et les limites d'autorisation, consultez la section [Limites d'autorisations pour les entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dans le guide de l'*Gestion des identités et des accès AWS utilisateur*.

**Avant de commencer**  
Avant d'exécuter un document distant, vous devez effectuer les tâches suivantes :
+ Créez un document Command SSM et enregistrez-le dans un emplacement distant. Pour de plus amples informations, consultez [Création du contenu du document SSM](documents-creating-content.md).
+ Si vous prévoyez d’exécuter un document distant stocké dans un référentiel GitHub privé, vous devez créer un paramètre Systems Manager `SecureString` pour votre jeton de droits d’accès GitHub. Vous ne pouvez pas accéder à un document distant stocké dans un référentiel GitHub privé en transmettant manuellement votre jeton via SSH. Le jeton d'accès doit être transmis en tant que paramètre Systems Manager `SecureString`. Pour plus d'informations sur la création d'un paramètre `SecureString`, consultez [Création de paramètres Parameter Store dans Systems Manager](sysman-paramstore-su-create.md).

## Exécuter un document distant (console)
<a name="documents-running-remote-github-s3-console"></a>

**Pour exécuter un document distant**

1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Dans le panneau de navigation, sélectionnez **Run Command**.

1. Sélectionnez **Run Command (Exécuter la commande)**.

1. Dans la liste **Document**, sélectionnez **`AWS-RunDocument`**.

1. Dans **Paramètres de commande**, pour **Type de source**, sélectionnez une option. 
   + Si vous sélectionnez **GitHub**, spécifiez les informations **Source Info** dans le format suivant :

     ```
     {
         "owner": "owner_name",
         "repository": "repository_name",
         "path": "path_to_document",
         "getOptions":"branch:branch_name",
         "tokenInfo": "{{ssm-secure:secure-string-token}}"
     }
     ```

     Par exemple :

     ```
     {
         "owner":"TestUser",
         "repository":"GitHubTestExamples",
         "path":"scripts/python/test-script",
         "getOptions":"branch:exampleBranch",
         "tokenInfo":"{{ssm-secure:my-secure-string-token}}"
     }
     ```
**Note**  
`getOptions` sont des options supplémentaires pour récupérer le contenu d'une branche autre que master ou d'un commit spécifique dans le référentiel. `getOptions` peut être omise si vous utilisez la dernière validation dans la branche maître. Le paramètre `branch` n'est requis que si votre document SSM est stocké dans une branche autre que `master`.  
Pour utiliser la version d'un document SSM dans un *commit* particulier de votre référentiel, utilisez `commitID` avec `getOptions` au lieu de `branch`. Par exemple :  

     ```
     "getOptions": "commitID:bbc1ddb94...b76d3bEXAMPLE",
     ```
   + Si vous sélectionnez **S3**, spécifiez les informations **source** au format suivant :

     ```
     {"path":"URL_to_document_in_S3"}
     ```

     Par exemple :

     ```
     {"path":"https://s3.amazonaws.com/amzn-s3-demo-bucket/scripts/ruby/mySSMdoc.json"}
     ```
   + Si vous sélectionnez **SSMDocument**, spécifiez les informations **Source Info** dans le format suivant :

     ```
     {"name": "document_name"}
     ```

     Par exemple :

     ```
     {"name": "mySSMdoc"}
     ```

1. Dans le champ **Document Parameters (Paramètres du document)**, saisissez les paramètres du document SSM distant. Par exemple, si vous exécutez le document `AWS-RunPowerShell`, vous pouvez spécifier ce qui suit :

   ```
   {"commands": ["date", "echo \"Hello World\""]}
   ```

   Si vous exécutez le document `AWS-ConfigureAWSPack`, vous pouvez spécifier ce qui suit :

   ```
   {
      "action":"Install",
      "name":"AWSPVDriver"
   }
   ```

1. Dans la section **Targets (Cibles)**, sélectionnez les nœuds gérés sur lesquels vous souhaitez exécuter cette opération en spécifiant des balises, en sélectionnant des instances ou des appareils de périphérie manuellement ou en spécifiant un groupe de ressources.
**Astuce**  
Si, contrairement à vos attentes, un nœud géré ne figure pas dans la liste, consultez [Résolution des problèmes de disponibilité des nœuds gérés](fleet-manager-troubleshooting-managed-nodes.md) pour obtenir des conseils de dépannage.

1. Pour **Autres paramètres** :
   + Pour **Comment (Commentaire)**, saisissez des informations à propos de cette commande.
   + Pour **Délai (secondes)**, précisez le nombre de secondes durant lesquelles le système doit attendre avant de mettre en échec l'exécution de la commande globale. 

1. Pour **Rate control (Contrôle de débit)** :
   + Dans **Concurrency (Simultanéité)**, spécifiez un nombre ou un pourcentage de nœuds gérés sur lesquels exécuter simultanément la commande.
**Note**  
Si vous avez sélectionné des cibles en spécifiant des balises appliquées aux nœuds gérés ou en spécifiant AWS des groupes de ressources, et que vous n'êtes pas certain du nombre de nœuds gérés ciblés, limitez le nombre de cibles pouvant exécuter le document en même temps en spécifiant un pourcentage.
   + Dans **Error threshold (Seuil d'erreur)**, indiquez quand arrêter l'exécution de la commande sur les autres nœuds gérés après l'échec de celle-ci sur un certain nombre ou un certain pourcentage de nœuds. Si, par exemple, vous spécifiez trois erreurs, Systems Manager cesse d'envoyer la commande à la réception de la quatrième erreur. Les nœuds gérés sur lesquels la commande est toujours en cours de traitement peuvent également envoyer des erreurs.

1. (Facultatif) Pour **Output options (Options de sortie)**, pour enregistrer la sortie de la commande dans un fichier, cochez la case **Write command output to an S3 bucket (Écrire la sortie de commande vers un compartiment S3)**. Saisissez les noms de compartiment et de préfixe (dossier) dans les zones.
**Note**  
Les autorisations S3 qui accordent la possibilité d'écrire les données dans un compartiment S3 sont celles du profil d'instance (pour les instances EC2) ou de la fonction du service IAM (pour les machines activées par un système hybride) attribués à l'instance, et non celles de l'utilisateur IAM qui effectue cette tâche. Pour plus d’informations, consultez les sections [Configurer des autorisations d’instance requises pour Systems Manager](setup-instance-permissions.md) et [Créer un rôle de service IAM pour un environnement hybride](hybrid-multicloud-service-role.md). En outre, si le compartiment S3 spécifié se trouve sur un autre Compte AWS, assurez-vous que le profil d'instance ou la fonction de service IAM associé au nœud géré dispose des autorisations nécessaires pour écrire dans ce compartiment.

1. Dans la section **SNS notifications (Notifications SNS)**, si vous souhaitez envoyer des notifications sur le statut d'exécution des commandes, cochez la case **Enable SNS notifications (Activer les notifications SNS)**.

   Pour plus d'informations sur la configuration des notifications Amazon SNS pour Run Command, consultez [Surveillance des changements d'état du Systems Manager à l'aide des notifications Amazon SNS](monitoring-sns-notifications.md).

1. Cliquez sur **Exécuter**.

**Note**  
Pour plus d'informations sur le redémarrage des serveurs et des instances en appelant des scripts à l'aide de Run Command, consultez [Gestion des redémarrages lors de l'exécution de commandes](send-commands-reboot.md).