• Le AWS Systems Manager CloudWatch tableau de bord ne sera plus disponible après le 30 avril 2026. Les clients peuvent continuer à utiliser CloudWatch la console Amazon pour consulter, créer et gérer leurs CloudWatch tableaux de bord Amazon, comme ils le font aujourd'hui. Pour plus d'informations, consultez la [documentation Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Surveillance des changements d'état du Systems Manager à l'aide des notifications Amazon SNS
Vous pouvez configurer Amazon Simple Notification Service (Amazon SNS) de sorte à envoyer des notifications sur le statut des commandes que vous envoyez à l’aide de Run Command ou Maintenance Windows, qui sont des outils d’ AWS Systems Manager. Amazon SNS coordonne et gère la réception ou l'envoi de notifications aux points de terminaison ou aux clients abonnés aux rubriques Amazon SNS. Vous pouvez recevoir une notification chaque fois qu'une commande change de statut ou passe à un statut spécifique, par exemple, *Échec* ou *Expiré*. Lorsque vous envoyez une commande à plusieurs nœuds, vous pouvez recevoir une notification pour chaque copie de la commande envoyée à un nœud spécifique. Chaque copie s’appelle une *invocation*.
Amazon SNS peut envoyer des notifications HTTP ou HTTPS POST, par e-mail (SMTP, texte brut ou format JSON) ou via un message publié dans une file d'attente Amazon Simple Queue Service (Amazon SQS). Pour plus d'informations, consultez [Qu'est-ce qu'Amazon SNS ?](https://docs.aws.amazon.com/sns/latest/dg/) dans le *Guide du développeur Amazon Simple Notification Service*. Pour voir des exemples de la structure des données JSON incluses dans la notification Amazon SNS fournie par Maintenance Windows et Run Command, consultez [Exemples de notifications Amazon SNS pour AWS Systems Manager](monitoring-sns-examples.md).
**Important**
Notez les informations importantes suivantes.
Les rubriques FIFO d'Amazon Simple Notification Service ne sont pas prises en charge.
Amazon Q Developer dans les applications de chat n’est pas pris en charge pour la surveillance de Systems Manager avec Amazon SNS. Si vous souhaitez utiliser Amazon Q Developer dans des applications de chat pour surveiller Systems Manager, vous devez l'utiliser avec Amazon EventBridge. Pour plus d'informations sur la surveillance à l'aide de Systems Manager EventBridge, consultez[Surveillance des événements de Systems Manager avec Amazon EventBridge](monitoring-eventbridge-events.md). Pour plus d'informations sur Amazon EventBridge et Amazon Q Developer dans les applications de chat, consultez [Tutoriel : Création d'une EventBridge règle qui envoie des notifications au développeur Amazon Q dans les applications de chat dans](https://docs.aws.amazon.com/chatbot/latest/adminguide/create-eventbridge-rule.html) le *Guide de l'administrateur d'Amazon Q Developer dans les applications de chat*.
## Configurer les notifications Amazon SNS pour AWS Systems Manager
Run Command et les tâches Maintenance Windows qui sont enregistrées auprès d'une fenêtre de maintenance peuvent envoyer des notifications Amazon SNS pour les tâches de commande dont le statut devient l'un des suivants :
+ En cours
+ Réussite
+ Échec
+ Expiré
+ Annulée
Pour de plus amples informations sur les conditions qui entraînent ces changements de statut, consultez la section [Comprendre les états des commandes](monitor-commands.md).
**Note**
Les commandes envoyées à l'aide de la fonctionnalité Run Command signalent également les statuts Annulation en cours et En suspens. Ces statuts ne sont pas capturés par les notifications Amazon SNS.
### Résumé de commandes associé aux notifications Amazon SNS
Si vous configurez Run Command ou une tâche Run Command dans votre fenêtre de maintenance pour les notifications Amazon SNS, Amazon SNS envoie des messages récapitulatifs qui incluent les informations suivantes.
****
| Champ | Type | Description |
| --- | --- | --- |
| eventTime | String | Heure à laquelle l'événement a été initié. L'horodatage est important, car Amazon SNS ne garantit pas l'ordre de transmission des messages. Exemple : 2016-04-26T13:15:30Z |
| documentName | String | Nom du document SSM utilisé pour exécuter cette commande. |
| commandId | String | ID généré par la fonctionnalité Run Command une fois que la commande a été envoyée. |
| expiresAfter | Date | Si la date d'expiration est atteinte et que la commande n'a pas encore démarré, l'exécution n'a pas lieu. |
| Sorties 3 BucketName | String | Le compartiment Amazon Simple Storage Service (Amazon S3) dans lequel les réponses à l'exécution de la commande doivent être stockées. |
| Sorties 3 KeyPrefix | String | Chemin du répertoire Amazon S3 à l'intérieur du compartiment dans lequel les réponses à l'exécution de la commande doivent être stockées. |
| requestedDateTime | String | Heure et date auxquelles la demande a été envoyée à ce nœud spécifique. |
| instanceIds | StringList | Nœuds qui étaient ciblés par la commande. IDs Les instances ne sont incluses dans le message récapitulatif que si la Run Command tâche cible IDs directement l'instance. IDs Les instances ne sont pas incluses dans le message récapitulatif si la Run Command tâche a été émise à l'aide d'un ciblage basé sur des balises. |
| status | String | Statut de la commande. |
### Notifications Amazon SNS basées sur des invocations
Si vous envoyez une commande à plusieurs nœuds, Amazon SNS peut envoyer des messages concernant chaque copie ou invocation de la commande. Les messages incluent les informations suivantes.
****
| Champ | Type | Description |
| --- | --- | --- |
| eventTime | String | Heure à laquelle l'événement a été initié. L'horodatage est important, car Amazon SNS ne garantit pas l'ordre de transmission des messages. Exemple : 2016-04-26T13:15:30Z |
| documentName | String | Nom du document Systems Manager (document SSM) utilisé pour exécuter cette commande. |
| requestedDateTime | String | Heure et date auxquelles la demande a été envoyée à ce nœud spécifique. |
| commandId | String | ID généré par la fonctionnalité Run Command une fois que la commande a été envoyée. |
| instanceId | String | Instance qui était ciblée par la commande. |
| status | String | Statut de la commande pour cette invocation. |
Pour configurer les notifications Amazon SNS en cas de changement de statut d'une commande, effectuez les tâches suivantes.
**Note**
Si vous ne configurez pas les notifications Amazon SNS pour votre fenêtre de maintenance, vous pouvez ignorer la tâche 5 décrite plus loin dans cette rubrique.
**Topics**
+ [Résumé de commandes associé aux notifications Amazon SNS](#monitoring-sns-configure-summary)
+ [Notifications Amazon SNS basées sur des invocations](#monitoring-sns-configure-invocation)
+ [Tâche 1 : Créer une rubrique Amazon SNS et s'y abonner](#monitoring-configure-sns)
+ [Tâche 2 : Créer une politique IAM pour les notifications Amazon SNS](#monitoring-iam-policy)
+ [Tâche 3 : Créer un rôle IAM pour les notifications Amazon SNS](#monitoring-iam-notifications)
+ [Tâche 4 : Configuration de l'accès utilisateur](#monitoring-sns-passpolicy)
+ [Tâche 5 : associer la PassRole politique iam : à votre rôle de fenêtre de maintenance](#monitoring-sns-passpolicy-mw)
### Tâche 1 : Créer une rubrique Amazon SNS et s'y abonner
Une *rubrique* Amazon SNS est un canal de communication utilisé par des tâches Run Command et Run Command, qui sont enregistrées auprès d'une fenêtre de maintenance, pour envoyer des notifications relatives au statut de vos commandes. Amazon SNS prend en charge différents protocoles de communication, notamment le HTTP/S, le courrier électronique et d'autres protocoles Services AWS tels qu'Amazon Simple Queue Service (Amazon SQS). Pour commencer, nous vous recommandons de commencer par le protocole de messagerie. Pour obtenir des informations sur la création d'une rubrique, consultez [Création d'une rubrique Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) dans le *Guide du développeur Amazon Simple Notification Service*.
**Note**
Une fois que vous avez créé la rubrique, copier l'**ARN de la rubrique** ou prenez-en note. Vous devez spécifier cet ARN lorsque vous envoyez une commande qui est configurée pour renvoyer des notifications de statut.
Une fois que vous avez créé la rubrique, vous devez vous y abonner en spécifiant un **Point de terminaison**. Si vous avez choisi le protocole de messagerie, le point de terminaison est l'adresse e-mail à laquelle vous souhaitez recevoir des notifications. Pour plus d'informations sur l'abonnement à une rubrique, consultez [Abonnement à une rubrique Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html) dans le *Guide du développeur Amazon Simple Notification Service*.
Amazon SNS envoie un e-mail de confirmation à partir d'*AWS Notifications* à l'adresse e-mail que vous spécifiez. Ouvrez cet e-mail et sélectionnez le lien **Confirm subscription (Confirmer l'abonnement)**.
Vous recevrez un message d'accusé de réception de AWS. Amazon SNS est maintenant configuré pour recevoir des notifications et envoyer la notification par e-mail à l'adresse spécifiée.
### Tâche 2 : Créer une politique IAM pour les notifications Amazon SNS
Utilisez la procédure suivante pour créer une politique personnalisée Gestion des identités et des accès AWS (IAM) qui fournit des autorisations pour lancer des notifications Amazon SNS.
**Pour créer une politique IAM personnalisée pour les notifications Amazon SNS**
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le volet de navigation, choisissez **Policies**, puis **Create Policy**. (Si un bouton **Get Started (Mise en route)** est affiché, sélectionnez-le, puis sélectionnez **Create Policy [Créer une politique]**.)
1. Sélectionnez l'onglet **JSON**.
1. Remplacez le contenu par défaut par l'un des suivants, selon que la rubrique Amazon SNS utilise AWS KMS le chiffrement ou non :
------
#### [ SNS topic not encrypted ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": "arn:aws:sns:us-east-1:111122223333:sns-topic-name"
}
]
}
```
------
*region*représente l'identifiant d'une région Région AWS prise en charge par AWS Systems Manager, par exemple `us-east-2` pour la région USA Est (Ohio). Pour obtenir la liste des *region* valeurs prises en charge, consultez la colonne **Région** dans les [points de terminaison du service Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) dans le *Référence générale d'Amazon Web Services*.
**account-id**représente l'identifiant à 12 chiffres de votre Compte AWS, au format`123456789012`.
*sns-topic-name*représente le nom de la rubrique Amazon SNS que vous souhaitez utiliser pour publier des notifications.
------
#### [ SNS topic encrypted ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": "arn:aws:sns:us-east-1:111122223333:sns-topic-name"
},
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/kms-key-id"
}
]
}
```
------
*region*représente l'identifiant d'une région Région AWS prise en charge par AWS Systems Manager, par exemple `us-east-2` pour la région USA Est (Ohio). Pour obtenir la liste des *region* valeurs prises en charge, consultez la colonne **Région** dans les [points de terminaison du service Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) dans le *Référence générale d'Amazon Web Services*.
**account-id**représente l'identifiant à 12 chiffres de votre Compte AWS, au format`123456789012`.
*sns-topic-name*représente le nom de la rubrique Amazon SNS que vous souhaitez utiliser pour publier des notifications.
*kms-key-id*représente l'ID de la clé KMS de chiffrement symétrique AWS KMS à utiliser pour chiffrer et déchiffrer le sujet, au format. `1234abcd-12ab-34cd-56ef-12345EXAMPLE`
**Note**
L'utilisation du AWS KMS chiffrement est payante. Pour plus d’informations, consultez [Gestion des clés de chiffrement et des coûts d’Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-key-management.html) dans le *Guide du développeur AWS Key Management Service *.
------
1. Choisissez **Suivant : Balises**.
1. (Facultatif) Ajoutez une ou plusieurs paires clé-valeur d'identification afin d'organiser, de suivre ou de contrôler l'accès pour cette politique.
1. Choisissez **Suivant : Vérification**.
1. Sur la page **Examiner une politique**, dans le champ **Nom**, saisissez un nom pour la politique en ligne. Par exemple : **my-sns-publish-permissions**.
1. (Facultatif) Dans le champ **Description**, saisissez une description pour la politique.
1. Sélectionnez **Créer une politique**.
### Tâche 3 : Créer un rôle IAM pour les notifications Amazon SNS
Utilisez la procédure suivante afin de créer un rôle IAM pour les notifications Amazon SNS. Ce rôle de service est utilisé par Systems Manager pour initier des notifications Amazon SNS. Dans toutes les procédures suivantes, ce rôle est appelé rôle IAM Amazon SNS.
**Pour créer un rôle de service IAM pour les notifications Amazon SNS**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le volet de navigation de la console IAM, sélectionnez **Roles** (Rôles), puis **Create role** (Créer un rôle).
1. Choisissez le type de rôle du **Service AWS**, puis choisissez Systems Manager.
1. Choisissez le cas d'utilisation de Systems Manager. Ensuite, choisissez **Suivant**.
1. Sur la page **Attacher des politiques d'autorisations**, cochez la case située à gauche du nom de la politique personnalisée que vous avez créée à la tâche 2. Par exemple : **my-sns-publish-permissions**.
1. (Facultatif) Définissez une [limite d'autorisations](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html). Il s'agit d'une fonctionnalité avancée disponible pour les rôles de service, mais pas les rôles liés à un service.
Développez la section **Permissions boundary** (Limite d'autorisations) et sélectionnez **Use a permissions boundary to control the maximum role permissions** (Utiliser une limite d'autorisations pour contrôler le nombre maximum d'autorisations de rôle). IAM inclut une liste des politiques AWS gérées et gérées par le client dans votre compte. Sélectionnez la politique à utiliser pour la limite d'autorisations ou choisissez **Créer une politique** pour ouvrir un nouvel onglet de navigateur et créer une nouvelle politique de bout en bout. Pour plus d'informations, consultez [Création de politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) dans le *Guide de l'utilisateur IAM*. Une fois la politique créée, fermez cet onglet et revenez à l'onglet initial pour sélectionner la politique à utiliser pour la limite d'autorisations.
1. Choisissez **Suivant**.
1. Si possible, saisissez un nom de rôle ou le suffixe d'un nom de rôle vous permettant d'identifier l'objectif du rôle. Les noms de rôle doivent être uniques dans votre Compte AWS. Ils ne sont pas distingués au cas par cas. Par exemple, vous ne pouvez pas créer deux rôles nommés **PRODROLE** et **prodrole**. Différentes entités peuvent référencer le rôle et il n'est donc pas possible de modifier son nom après sa création.
1. (Facultatif) Pour **Description**, saisissez une description pour le nouveau rôle.
1. Choisissez **Edit** (Modifier) dans les sections **Step 1: Select trusted entities** (Étape 1 : sélection d'entités de confiance) ou **Step 2: Select permissions** (Étape 2 : sélection d'autorisations) pour modifier les cas d'utilisation et les autorisations pour le rôle.
1. (Facultatif) Ajoutez des métadonnées à l'utilisateur en associant les balises sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balises dans IAM, consultez la rubrique [Balisage des ressources IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) dans le *Guide de l'utilisateur IAM*.
1. Passez en revue les informations du rôle, puis choisissez **Créer un rôle**.
1. Choisissez le nom du rôle, puis copiez ou notez la valeur de **Role ARN (ARN du rôle)**. Cet Amazon Resource Name (ARN) pour le rôle est utilisé lorsque vous envoyez une commande configurée pour renvoyer des notifications Amazon SNS.
1. La page **Summary (Récapitulatif)** s'ouvre.
### Tâche 4 : Configuration de l'accès utilisateur
Si des autorisations d’administrateur sont attribuées à une entité IAM (utilisateur, rôle ou groupe), l’utilisateur ou le rôle a accès à Run Command et Maintenance Windows, des outils d’ AWS Systems Manager.
Pour les entités sans autorisations d'administrateur, un administrateur doit accorder les autorisations suivantes à l'entité IAM :
+ La politique gérée `AmazonSSMFullAccess`, ou une politique qui fournit des autorisations comparables.
+ Les autorisations `iam:PassRole` pour le rôle créé dans [Tâche 3 : Créer un rôle IAM pour les notifications Amazon SNS](#monitoring-iam-notifications). Par exemple :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/sns-role-name",
"Condition": {
"StringEquals": {
"iam:PassedToService": "ssm.amazonaws.com"
}
}
}
]
}
```
------
Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
+ Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique [Création d’un jeu d’autorisations](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) du *Guide de l’utilisateur AWS IAM Identity Center *.
+ Utilisateurs gérés dans IAM par un fournisseur d’identité :
Créez un rôle pour la fédération d’identité. Suivez les instructions de la rubrique [Création d’un rôle pour un fournisseur d’identité tiers (fédération)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dans le *Guide de l’utilisateur IAM*.
+ Utilisateurs IAM :
+ Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique [Création d’un rôle pour un utilisateur IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dans le *Guide de l’utilisateur IAM*.
+ (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique [Ajout d'autorisations à un utilisateur (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) du *Guide de l'utilisateur IAM*.
**Pour configurer l'accès utilisateur et associer la politique `iam:PassRole` à un compte utilisateur**
1. Dans le panneau de navigation IAM, sélectionnez **Users (Utilisateurs)**, puis le compte utilisateur à configurer.
1. Sous l'onglet **Permissions (Autorisations)**, dans la liste des politiques, vérifiez que la politique **AmazonSSMFullAccess** est répertoriée ou qu'une politique comparable autorise le compte à accéder à Systems Manager.
1. Sélectionnez **Ajouter une politique en ligne**.
1. Dans la page **Créer une politique**, sélectionnez l'onglet **Éditeur visuel**.
1. Sélectionnez **Choose a service (Sélectionner un service)**, puis **IAM**.
1. Pour **Actions**, dans la zone de texte **Filtrer les actions****PassRole**, entrez, puis cochez la case à côté de **PassRole**.
1. Pour **Resources (Ressources)**, vérifiez que **Specific (Spécifique)** est sélectionné, puis sélectionnez **Add ARN (Ajouter un ARN)**.
1. Dans le champ **Specify ARN for role (Spécifier l'ARN du rôle)**, collez l'ARN du rôle IAM Amazon SNS que vous avez copié à la fin de la tâche 3. Le système remplit automatiquement les champs **Account (Compte)** et **Role name with path (Nom du rôle avec chemin d'accès)**.
1. Choisissez **Ajouter**.
1. Sélectionnez **Review policy (Examiner une politique)**.
1. Sur la page **Review Policy (Examiner une politique)**, saisissez un nom, puis choisissez **Create Policy (Créer une politique)**.
### Tâche 5 : associer la PassRole politique iam : à votre rôle de fenêtre de maintenance
Lorsque vous enregistrez une tâche Run Command auprès d'une fenêtre de maintenance, vous spécifiez un Amazon Resource Name (ARN) de rôle de service. Ce rôle de service est utilisé par Systems Manager pour exécuter des tâches enregistrées auprès de la fenêtre de maintenance. Pour configurer les notifications Amazon SNS pour une tâche Run Command enregistrée, attachez une politique `iam:PassRole` au rôle de service de fenêtre de maintenance spécifié. Si vous n'avez pas l'intention de configurer la tâche enregistrée pour les notifications Amazon SNS, vous pouvez ignorer cette tâche.
La politique `iam:PassRole` autorise le rôle de service Maintenance Windows à transmettre le rôle IAM Amazon SNS créé au cours de la tâche 3 au service Amazon SNS. La procédure suivante montre comment attacher la politique `iam:PassRole` au rôle de service Maintenance Windows.
**Note**
Utilisez un rôle de service personnalisé pour votre fenêtre de maintenance afin d'envoyer des notifications concernant les tâches Run Command enregistrées. Pour plus d'informations, consultez [Configuration de Maintenance Windows](setting-up-maintenance-windows.md).
Si vous devez créer une fonction du service personnalisée pour les tâches de la fenêtre de maintenance, consultez la rubrique [Configuration de Maintenance Windows](setting-up-maintenance-windows.md).
**Pour attacher la politique `iam:PassRole` au rôle Maintenance Windows**
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le panneau de navigation, sélectionnez **Roles (Rôles)**, puis sélectionnez le rôle IAM Amazon SNS créé au cours de la tâche 3.
1. Copiez le **Role ARN (ARN de rôle)** ou notez-le et revenez à la section **Roles (Rôles)** de la console IAM.
1. Sélectionnez le rôle de service Maintenance Windows personnalisé que vous avez créé depuis la liste **Role name (Nom de rôle)**.
1. Sous l'onglet **Permissions (Autorisations)**, vérifiez que la politique `AmazonSSMMaintenanceWindowRole` est répertoriée ou qu'une politique comparable accorde à la fenêtre de maintenance l'autorisation d'accéder à l'API Systems Manager. Si ce n'est pas le cas, choisissez **Attacher des politiques** pour l'attacher.
1. Choisissez **Add permissions, Create inline policy** (Ajouter des autorisations, Créer une politique en ligne).
1. Sélectionnez l'onglet **Visual Editor**.
1. Pour **Service**, sélectionnez **IAM**.
1. Pour **Actions**, dans la zone de texte **Filtrer les actions****PassRole**, entrez, puis cochez la case à côté de **PassRole**.
1. Pour **Ressources**, sélectionnez **Spécifique**, puis **Ajouter un ARN**.
1. Dans la zone **Specify ARN for role (Spécifier l'ARN pour le rôle)**, collez l'ARN du rôle IAM Amazon SNS créé dans la tâche 3, puis sélectionnez **Add (Ajouter)**.
1. Sélectionnez **Review policy (Examiner une politique)**.
1. Sur la page **Examiner une politique** indiquez un nom pour la politique `PassRole`, puis sélectionnez **Créer une politique**.
# Exemples de notifications Amazon SNS pour AWS Systems Manager
Vous pouvez configurer Amazon Simple Notification Service (Amazon SNS) de sorte à envoyer des notifications sur le statut des commandes que vous envoyez à l’aide de Run Command ou Maintenance Windows, qui sont des outils d’ AWS Systems Manager.
**Note**
Ce guide ne traite pas de la configuration des notifications pour la fonctionnalité Run Command ou une Maintenance Windows. Pour de plus amples informations sur la configuration de la fonctionnalité Run Command ou d'une Maintenance Windows pour envoyer des notifications Amazon SNS sur le statut des commandes, veuillez consulter [Configurer les notifications Amazon SNS pour AWS Systems Manager](monitoring-sns-notifications.md#monitoring-sns-configure).
Les exemples suivants montrent la structure de la sortie JSON renvoyée par les notifications Amazon SNS configurées pour Run Command ou Maintenance Windows.
**Exemple de sortie JSON pour les messages du récapitulatif des commandes en utilisant le ciblage par ID d'instance**
```
{
"commandId": "a8c7e76f-15f1-4c33-9052-0123456789ab",
"documentName": "AWS-RunPowerShellScript",
"instanceIds": [
"i-1234567890abcdef0",
"i-9876543210abcdef0"
],
"requestedDateTime": "2019-04-25T17:57:09.17Z",
"expiresAfter": "2019-04-25T19:07:09.17Z",
"outputS3BucketName": "amzn-s3-demo-bucket",
"outputS3KeyPrefix": "runcommand",
"status": "InProgress",
"eventTime": "2019-04-25T17:57:09.236Z"
}
```
**Exemple de sortie JSON pour les messages du récapitulatif des commandes en utilisant le ciblage basé sur des balises**
```
{
"commandId": "9e92c686-ddc7-4827-b040-0123456789ab",
"documentName": "AWS-RunPowerShellScript",
"instanceIds": [],
"requestedDateTime": "2019-04-25T18:01:03.888Z",
"expiresAfter": "2019-04-25T19:11:03.888Z",
"outputS3BucketName": "",
"outputS3KeyPrefix": "",
"status": "InProgress",
"eventTime": "2019-04-25T18:01:05.825Z"
}
```
**Exemple de sortie JSON pour les messages d’invocation**
```
{
"commandId": "ceb96b84-16aa-4540-91e3-925a9a278b8c",
"documentName": "AWS-RunPowerShellScript",
"instanceId": "i-1234567890abcdef0",
"requestedDateTime": "2019-04-25T18:06:05.032Z",
"status": "InProgress",
"eventTime": "2019-04-25T18:06:05.099Z"
}
```
# Utiliser la fonctionnalité Run Command pour envoyer une commande qui renvoie des notifications de statut
Les procédures suivantes montrent comment utiliser le AWS Command Line Interface (AWS CLI) ou AWS Systems Manager la console pour envoyer une commande via Run Command un outil configuré pour renvoyer des notifications d'état. AWS Systems Manager
## Envoi d'une tâche Run Command qui renvoie des notifications (console)
Utilisez la procédure suivante pour envoyer via la fonctionnalité Run Command une commande qui est configurée pour renvoyer des notifications de statut à l'aide de la console Systems Manager.
**Pour envoyer une commande qui renvoie des notifications (console)**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Run Command**.
1. Sélectionnez **Run Command (Exécuter la commande)**.
1. Dans la liste **Command document (Document de commande)**, sélectionnez un document Systems Manager.
1. Dans la section **Command parameters (Paramètres de la commande)**, indiquez des valeurs pour les paramètres requis.
1. Dans la section **Targets (Cibles)**, sélectionnez les nœuds gérés sur lesquels vous souhaitez exécuter cette opération en spécifiant des balises, en sélectionnant des instances ou des appareils de périphérie manuellement ou en spécifiant un groupe de ressources.
**Astuce**
Si, contrairement à vos attentes, un nœud géré ne figure pas dans la liste, consultez [Résolution des problèmes de disponibilité des nœuds gérés](fleet-manager-troubleshooting-managed-nodes.md) pour obtenir des conseils de dépannage.
1. Pour **Autres paramètres** :
+ Pour **Comment (Commentaire)**, saisissez des informations à propos de cette commande.
+ Pour **Délai (secondes)**, précisez le nombre de secondes durant lesquelles le système doit attendre avant de mettre en échec l'exécution de la commande globale.
1. Pour **Rate control (Contrôle de débit)** :
+ Dans **Concurrency (Simultanéité)**, spécifiez un nombre ou un pourcentage de nœuds gérés sur lesquels exécuter simultanément la commande.
**Note**
Si vous avez sélectionné des cibles en spécifiant des balises appliquées aux nœuds gérés ou en spécifiant AWS des groupes de ressources, et que vous n'êtes pas certain du nombre de nœuds gérés ciblés, limitez le nombre de cibles pouvant exécuter le document en même temps en spécifiant un pourcentage.
+ Dans **Error threshold (Seuil d'erreur)**, indiquez quand arrêter l'exécution de la commande sur les autres nœuds gérés après l'échec de celle-ci sur un certain nombre ou un certain pourcentage de nœuds. Si, par exemple, vous spécifiez trois erreurs, Systems Manager cesse d'envoyer la commande à la réception de la quatrième erreur. Les nœuds gérés sur lesquels la commande est toujours en cours de traitement peuvent également envoyer des erreurs.
1. (Facultatif) Pour **Output options (Options de sortie)**, pour enregistrer la sortie de la commande dans un fichier, cochez la case **Write command output to an S3 bucket (Écrire la sortie de commande vers un compartiment S3)**. Saisissez les noms de compartiment et de préfixe (dossier) dans les zones.
**Note**
Les autorisations S3 qui accordent la possibilité d'écrire les données dans un compartiment S3 sont celles du profil d'instance (pour les instances EC2) ou de la fonction du service IAM (pour les machines activées par un système hybride) attribués à l'instance, et non celles de l'utilisateur IAM qui effectue cette tâche. Pour plus d’informations, consultez les sections [Configurer des autorisations d’instance requises pour Systems Manager](setup-instance-permissions.md) et [Créer un rôle de service IAM pour un environnement hybride](hybrid-multicloud-service-role.md). En outre, si le compartiment S3 spécifié se trouve sur un autre Compte AWS, assurez-vous que le profil d'instance ou la fonction de service IAM associé au nœud géré dispose des autorisations nécessaires pour écrire dans ce compartiment.
1. Dans la section **SNS Notifications (Notifications SNS)**, sélectionnez **Enable SNS notifications (Activer les notifications SNS)**.
1. Dans la section **IAM Role (Rôle IAM)**, choisissez l'ARN du rôle IAM Amazon SNS que vous avez créé au cours de la tâche 3 dans [Surveillance des changements d'état du Systems Manager à l'aide des notifications Amazon SNS](monitoring-sns-notifications.md).
1. Dans le champ **SNS topic (Rubrique SNS)**, saisissez l'ARN de la rubrique Amazon SNS à utiliser.
1. Pour **Event notifications (Notifications d'événement)**, sélectionnez les événements pour lesquels vous souhaitez recevoir des notifications.
1. Pour **Change notifications (Notification de modification)**, choisissez de recevoir des notifications uniquement pour le résumé des commandes (**Command status changes (Changements d'état des commandes)**) ou pour chaque copie d'une commande envoyée à plusieurs nœuds (**Command status on each instance changes (L'état des commandes sur chaque instance change)**).
1. Cliquez sur **Exécuter**.
1. Recherchez un message d'Amazon SNS dans votre messagerie et ouvrez l'e-mail. L'envoi de l'e-mail peut prendre plusieurs minutes à Amazon SNS.
## Envoi d'une tâche Run Command qui renvoie des notifications (interface de ligne de commande)
Utilisez la procédure suivante pour envoyer via la fonctionnalité Run Command une commande qui est configurée afin de renvoyer des notifications de statut à l'aide de l' AWS CLI.
**Pour envoyer une commande qui renvoie des notifications (interface de ligne de commande)**
1. Ouvrez le AWS CLI.
1. Spécifiez les paramètres dans la commande suivante à cibler en fonction du nœud géré IDs.
```
aws ssm send-command --instance-ids "ID-1, ID-2" --document-name "Name" --parameters '{"commands":["input"]}' --service-role "SNSRoleARN" --notification-config '{"NotificationArn":"SNSTopicName","NotificationEvents":["All"],"NotificationType":"Command"}'
```
Voici un exemple.
```
aws ssm send-command --instance-ids "i-02573cafcfEXAMPLE, i-0471e04240EXAMPLE" --document-name "AWS-RunPowerShellScript" --parameters '{"commands":["Get-Process"]}' --service-role "arn:aws:iam::111122223333:role/SNS_Role" --notification-config '{"NotificationArn":"arn:aws:sns:us-east-1:111122223333:SNSTopic","NotificationEvents":["All"],"NotificationType":"Command"}'
```
**Autres commandes**
Spécifiez les paramètres de la commande suivante pour cibler les instances gérées en utilisant des balises.
```
aws ssm send-command --targets "Key=tag:TagName,Values=TagKey" --document-name "Name" --parameters '{"commands":["input"]}' --service-role "SNSRoleARN" --notification-config '{"NotificationArn":"SNSTopicName","NotificationEvents":["All"],"NotificationType":"Command"}'
```
Voici un exemple.
```
aws ssm send-command --targets "Key=tag:Environment,Values=Dev" --document-name "AWS-RunPowerShellScript" --parameters '{"commands":["Get-Process"]}' --service-role "arn:aws:iam::111122223333:role/SNS_Role" --notification-config '{"NotificationArn":"arn:aws:sns:us-east-1:111122223333:SNSTopic","NotificationEvents":["All"],"NotificationType":"Command"}'
```
1. Appuyez sur **Entrée**.
1. Recherchez un message d'Amazon SNS dans votre messagerie et ouvrez l'e-mail. L'envoi de l'e-mail peut prendre plusieurs minutes à Amazon SNS.
Pour plus d’informations, consultez [https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html) dans la *Référence des commandes de l’AWS CLI *.
# Utilisation d'une fenêtre de maintenance pour envoyer une commande qui renvoie des notifications de statut
Les procédures suivantes indiquent comment enregistrer une Run Command tâche dans votre fenêtre de maintenance à l'aide de la AWS Systems Manager console ou du AWS Command Line Interface (AWS CLI). Run Commandest un outil dans AWS Systems Manager. Ces procédures expliquent aussi comment configurer la tâche Run Command pour renvoyer des notifications de statut.
**Avant de commencer**
Si vous n'avez pas encore créé de fenêtre de maintenance ou de cibles enregistrées, consultez [Création et gestion de fenêtres de maintenance à l’aide de la console](sysman-maintenance-working.md) pour connaître les étapes permettant de créer une fenêtre de maintenance et d'enregistrer des cibles.
Pour recevoir des notifications du service Amazon Simple Notification Service (Amazon SNS), attachez une politique `iam:PassRole` au rôle de service Maintenance Windows spécifié dans la tâche enregistrée. Si vous n'avez pas ajouté d'autorisations `iam:PassRole` à votre rôle de service Maintenance Windows, consultez [Tâche 5 : associer la PassRole politique iam : à votre rôle de fenêtre de maintenance](monitoring-sns-notifications.md#monitoring-sns-passpolicy-mw).
## Enregistrement d'une tâche Run Command auprès d'une fenêtre de maintenance qui renvoie des notifications (console)
Utilisez la procédure suivante pour enregistrer une tâche Run Command configurée afin de renvoyer des notifications de statut à votre fenêtre de maintenance à l'aide de la console Systems Manager.
**Pour enregistrer une tâche Run Command auprès de votre fenêtre de maintenance qui renvoie des notifications (console)**
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Maintenance Windows**.
1. Sélectionnez la fenêtre de maintenance pour laquelle vous souhaitez enregistrer une tâche Run Command configurée pour envoyer des notifications Amazon Simple Notification Service (Amazon SNS).
1. Sélectionnez **Actions**, puis **Register Run command task (Enregistrer une tâche Run Command)**.
1. (Facultatif) Dans le champ **Name (Nom)**, saisissez un nom pour la tâche.
1. (Facultatif) Dans le champ **Description**, saisissez une description.
1. Dans la liste **Command Document (Document de commande)**, sélectionnez un document de commande.
1. Pour **Priorité de tâche**, spécifiez la priorité de cette tâche. Zéro (`0`) est la priorité la plus élevée. Les tâches d'une fenêtre de maintenance sont planifiées par ordre de priorité. Les tâches qui ont la même priorité sont planifiées en parallèle.
1. Dans la section **Cibles**, sélectionnez un groupe cible enregistré ou sélectionnez des cibles non enregistrées.
1. Pour **Rate control (Contrôle de débit)** :
+ Dans **Concurrency (Simultanéité)**, spécifiez un nombre ou un pourcentage de nœuds gérés sur lesquels exécuter simultanément la commande.
**Note**
Si vous avez sélectionné des cibles en spécifiant des balises appliquées aux nœuds gérés ou en spécifiant AWS des groupes de ressources, et que vous n'êtes pas certain du nombre de nœuds gérés ciblés, limitez le nombre de cibles pouvant exécuter le document en même temps en spécifiant un pourcentage.
+ Dans **Error threshold (Seuil d'erreur)**, indiquez quand arrêter l'exécution de la commande sur les autres nœuds gérés après l'échec de celle-ci sur un certain nombre ou un certain pourcentage de nœuds. Si, par exemple, vous spécifiez trois erreurs, Systems Manager cesse d'envoyer la commande à la réception de la quatrième erreur. Les nœuds gérés sur lesquels la commande est toujours en cours de traitement peuvent également envoyer des erreurs.
1. Dans la zone **IAM service role (Rôle de service IAM)**, sélectionnez le rôle de service Maintenance Windows qui dispose des autorisations `iam:PassRole` sur le rôle SNS.
**Note**
Ajoutez des autorisations `iam:PassRole` au rôle Maintenance Windows pour permettre à Systems Manager de transmettre le rôle SNS à Amazon SNS. Si vous n'avez pas ajouté d'autorisations `iam:PassRole`, consultez Tâche 5 dans la rubrique [Surveillance des changements d'état du Systems Manager à l'aide des notifications Amazon SNS](monitoring-sns-notifications.md).
1. (Facultatif) Dans **Output options (Options de sortie)**, pour enregistrer la sortie de la commande dans un fichier, sélectionnez **Enable writing to an S3 bucket (Autoriser l'écriture dans un compartiment S3)** Saisissez les noms de compartiment et de préfixe (dossier) dans les zones.
**Note**
Les autorisations S3 qui donnent la possibilité d'écrire les données dans un compartiment S3 sont celles du profil d'instance attribué au nœud géré, et non celles de l'utilisateur IAM qui effectue cette tâche. Pour plus d’informations, consultez les sections [Configurer des autorisations d’instance requises pour Systems Manager](setup-instance-permissions.md) et [Créer un rôle de service IAM pour un environnement hybride](hybrid-multicloud-service-role.md). En outre, si le compartiment S3 spécifié se trouve sur un autre Compte AWS, vérifiez que le profil d'instance ou la fonction de service IAM associé au nœud géré dispose des autorisations nécessaires pour écrire dans ce compartiment.
1. Dans la section **Notifications SNS**, procédez comme suit :
+ Sélectionnez **Activer les notifications SNS**.
+ Pour **rôle IAM**, sélectionnez l'Amazon Resource Name (ARN) du rôle IAM Amazon SNS que vous avez créé au cours de la tâche 3 dans [Surveillance des changements d'état du Systems Manager à l'aide des notifications Amazon SNS](monitoring-sns-notifications.md) pour initier Amazon SNS.
+ Dans le champ **SNS topic (Rubrique SNS)**, saisissez l'ARN de la rubrique Amazon SNS à utiliser.
+ Pour **Event type (Type d'événement)**, sélectionnez les événements pour lesquels vous souhaitez recevoir des notifications.
+ Dans **Notification type (Type de notification)**, choisissez de recevoir des notifications pour chaque copie d'une commande envoyée à plusieurs nœuds (appels) ou de recevoir un récapitulatif des commandes.
1. Dans la section **Parameters (Paramètres)**, entrez les paramètres requis en fonction du document de commande que vous avez choisi.
1. Sélectionnez **Register run command task (Enregistrer une tâche d'exécution de commande)**.
1. Après l'exécution suivante de votre fenêtre de maintenance, vérifiez vos e-mails pour savoir si vous avez reçu un message d'Amazon SNS, et ouvrez le message. Amazon SNS peut prendre quelques minutes pour envoyer le message.
## Enregistrement d'une tâche Run Command auprès d'une fenêtre de maintenance qui renvoie des notifications (interface de ligne de commande)
Utilisez la procédure suivante pour enregistrer une tâche Run Command qui est configurée pour renvoyer des notifications de statut à votre fenêtre de maintenance à l'aide de l' AWS CLI.
**Pour enregistrer une tâche Run Command auprès de votre fenêtre de maintenance qui renvoie des notifications (interface de ligne de commande)**
**Note**
Afin de mieux gérer vos options de tâche, cette procédure utilise l'option de commande `--cli-input-json`, avec des valeurs d'option enregistrées dans un fichier JSON.
1. Sur votre ordinateur local, créez un fichier nommé `RunCommandTask.json`.
1. Collez le contenu suivant dans le fichier .
```
{
"Name": "Name",
"Description": "Description",
"WindowId": "mw-0c50858d01EXAMPLE",
"ServiceRoleArn": "arn:aws:iam::account-id:role/MaintenanceWindowIAMRole",
"MaxConcurrency": "1",
"MaxErrors": "1",
"Priority": 3,
"Targets": [
{
"Key": "WindowTargetIds",
"Values": [
"e32eecb2-646c-4f4b-8ed1-205fbEXAMPLE"
]
}
],
"TaskType": "RUN_COMMAND",
"TaskArn": "CommandDocumentName",
"TaskInvocationParameters": {
"RunCommand": {
"Comment": "Comment",
"TimeoutSeconds": 3600,
"NotificationConfig": {
"NotificationArn": "arn:aws:sns:region:account-id:SNSTopicName",
"NotificationEvents": [
"All"
],
"NotificationType": "Command"
},
"ServiceRoleArn": "arn:aws:iam::account-id:role/SNSIAMRole"
}
}
}
```
1. Remplacez les exemples de valeurs par les informations sur vos propres ressources.
Vous pouvez également restaurer les options que nous n'avons pas spécifiées dans cet exemple si vous souhaitez les utiliser. Par exemple, vous pouvez enregistrer la sortie de la commande dans un compartiment S3.
Pour plus d’informations, consultez [https://docs.aws.amazon.com/cli/latest/reference/ssm/register-task-with-maintenance-window.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/register-task-with-maintenance-window.html) dans la *Référence des commandes de l’AWS CLI *.
1. Enregistrez le fichier.
1. Dans le répertoire de votre ordinateur local où vous avez enregistré le fichier, exécutez la commande suivante.
```
aws ssm register-task-with-maintenance-window --cli-input-json file://RunCommandTask.json
```
**Important**
N'oubliez pas d'inclure `file://` devant le nom du fichier. Il est nécessaire dans cette commande.
Si elle aboutit, la commande renvoie des informations similaires à ce qui suit.
```
{
"WindowTaskId": "j2l8d5b5c-mw66-tk4d-r3g9-1d4d1EXAMPLE"
}
```
1. Après l'exécution suivante de votre fenêtre de maintenance, vérifiez vos e-mails pour savoir si vous avez reçu un message d'Amazon SNS, et ouvrez le message. Amazon SNS peut prendre quelques minutes pour envoyer le message.
Pour de plus amples informations sur l'enregistrement de tâches pour une fenêtre de maintenance à partir de la ligne de commande, consultez [Enregistrer des tâches avec la fenêtre de maintenance](mw-cli-tutorial-tasks.md).