• Le AWS Systems Manager CloudWatch tableau de bord ne sera plus disponible après le 30 avril 2026. Les clients peuvent continuer à utiliser CloudWatch la console Amazon pour consulter, créer et gérer leurs CloudWatch tableaux de bord Amazon, comme ils le font aujourd'hui. Pour plus d'informations, consultez la [documentation Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Connexion et surveillance AWS Systems Manager
<a name="monitoring"></a>

La surveillance joue un rôle important dans le maintien de la fiabilité, de la disponibilité AWS Systems Manager et des performances de vos AWS solutions. Vous devez collecter des données de surveillance provenant de toutes les parties de votre AWS solution afin de pouvoir corriger une défaillance multipoint, le cas échéant. Avant de commencer à surveiller Systems Manager, vous devez créer un plan de surveillance qui contient les réponses aux questions suivantes : 
+ Quels sont les objectifs de la surveillance ?
+ Quelles sont les ressources à surveiller ?
+ À quelle fréquence les ressources doivent-elles être surveillées ?
+ Quels outils de surveillance utiliser ?
+ Qui exécute les tâches de surveillance ?
+ Qui doit être informé en cas de problème ?

Une fois que vous avez défini vos objectifs de surveillance et créé votre plan de surveillance, l'étape suivante consiste à définir une référence pour les performances normales de Systems Manager dans votre environnement. Vous devez mesurer les performances de Systems Manager à différents moments et sous différentes conditions de charge. Lorsque vous supervisez Systems Manager, stockez l'historique des données de surveillance que vous avez collectées. Vous pouvez comparer les performances actuelles de Systems Manager à leurs données historiques pour vous aider à identifier les modèles de performances normales et les anomalies de performances, et à créer les méthodes destinées à les prendre en compte.

Par exemple, vous pouvez surveiller le succès ou l'échec d'opérations telles que les flux de travail Automation, l'application de références de correctifs, les événements de fenêtre de maintenance et la conformité de la configuration. Automation est un outil de AWS Systems Manager.

Vous pouvez également surveiller l'utilisation du processeurI/O, and network utilization of your managed nodes. When performance falls outside your established baseline, you might need to reconfigure or optimize the node to reduce CPU utilization, improve disk I/O, du disque ou réduire le trafic réseau. Pour plus d'informations sur la surveillance EC2 des instances, consultez [Monitor Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitoring_ec2.html) dans le *guide de EC2 l'utilisateur Amazon*.

**Topics**
+ [Outils de surveillance](#monitoring-tools)
+ [Envoi des journaux des nœuds vers CloudWatch des journaux unifiés (CloudWatch agent)](monitoring-cloudwatch-agent.md)
+ [Envoi de SSM Agent journaux à CloudWatch Logs](monitoring-ssm-agent.md)
+ [Surveillance de vos événements de demande de modification](monitoring-change-request-events.md)
+ [Surveillance de vos automatisations](monitoring-automation-metrics.md)
+ [Surveillance des Run Command métriques à l'aide d'Amazon CloudWatch](monitoring-cloudwatch-metrics.md)
+ [Journalisation des appels d' AWS Systems Manager API avec AWS CloudTrail](monitoring-cloudtrail-logs.md)
+ [Résultat de l'action d'automatisation de la CloudWatch journalisation avec journaux](automation-action-logging.md)
+ [Configuration d'Amazon CloudWatch Logs pour Run Command](sysman-rc-setting-up-cwlogs.md)
+ [Surveillance des événements de Systems Manager avec Amazon EventBridge](monitoring-eventbridge-events.md)
+ [Surveillance des changements d'état du Systems Manager à l'aide des notifications Amazon SNS](monitoring-sns-notifications.md)

## Outils de surveillance
<a name="monitoring-tools"></a>

Le contenu de ce chapitre fournit des informations sur l'utilisation des outils disponibles pour surveiller votre Systems Manager et d'autres AWS ressources. Pour obtenir une liste d'outils plus complète, consultez [Journalisation et surveillance dans AWS Systems Manager](logging-and-monitoring.md).

# Envoi des journaux des nœuds vers CloudWatch des journaux unifiés (CloudWatch agent)
<a name="monitoring-cloudwatch-agent"></a>

Vous pouvez configurer et utiliser l' CloudWatch agent Amazon pour collecter des métriques et des journaux à partir de vos nœuds au lieu d'utiliser AWS Systems Manager Agent (SSM Agent) pour ces tâches. L' CloudWatch agent vous permet de collecter plus de métriques sur les instances EC2 que celles disponibles avec. SSM Agent En outre, vous pouvez collecter des métriques à partir de serveurs locaux à l'aide de l' CloudWatch agent. 

Vous pouvez également enregistrer les paramètres de configuration de l'agent dans le Systems Manager Parameter Store afin de les utiliser avec l' CloudWatch agent. Parameter Storeest un outil dans AWS Systems Manager.

**Note**  
AWS Systems Manager prend en charge la migration depuis SSM Agent l' CloudWatch agent unifié pour collecter des journaux et des métriques uniquement sur les versions 64 bits de Windows. Pour plus d'informations sur la configuration de l' CloudWatch agent unifié sur d'autres systèmes d'exploitation et pour des informations complètes sur l'utilisation de l' CloudWatch agent, consultez la section [Collecte de métriques et de journaux à partir d'instances Amazon EC2 et de serveurs sur site avec l' CloudWatch agent dans le guide](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html) de l'utilisateur *[Amazon CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/)*.  
Vous pouvez utiliser l' CloudWatch agent sur d'autres systèmes d'exploitation pris en charge, mais vous ne pourrez pas utiliser Systems Manager pour effectuer une migration d'outil. 

SSM Agent écrit des informations relatives aux exécutions, actions planifiées, erreurs et états d'intégrité dans les fichiers journaux de chaque nœud. La connexion manuelle à un nœud pour afficher les fichiers journaux et résoudre un problème lié à SSM Agent est une opération chronophage. Pour une surveillance plus efficace des nœuds, vous pouvez le configurer SSM Agent lui-même ou configurer l' CloudWatch agent pour envoyer ces données de journal à Amazon CloudWatch Logs. 

**Important**  
L' CloudWatch agent unifié a été remplacé SSM Agent en tant qu'outil d'envoi des données de journal à Amazon CloudWatch Logs. Le plugin SSM Agent aws:cloudWatch n'est pas pris en charge. Nous vous recommandons de n'utiliser que l' CloudWatch agent unifié pour vos processus de collecte de journaux. Pour plus d’informations, consultez les rubriques suivantes :  
[Envoi des journaux des nœuds vers CloudWatch des journaux unifiés (CloudWatch agent)](#monitoring-cloudwatch-agent)
[Migrer la collecte des journaux des nœuds Windows Server vers l' CloudWatch agent](#monitoring-cloudwatch-agent-migrate)
[Collecte de métriques, de journaux et de traces avec l' CloudWatch agent](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html) dans le *guide de CloudWatch l'utilisateur Amazon*.

Grâce CloudWatch aux journaux, vous pouvez surveiller les données des journaux en temps réel, rechercher et filtrer les données des journaux en créant un ou plusieurs filtres métriques, et archiver et récupérer les données historiques lorsque vous en avez besoin. Pour plus d'informations sur CloudWatch les journaux, consultez le *[guide de l'utilisateur Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/)*.

La configuration d'un agent pour envoyer des données de journal à Amazon CloudWatch Logs offre les avantages suivants :
+ Stockage centralisé des fichiers journaux pour l'ensemble de vos fichiers journaux de l'SSM Agent.
+ Accès plus rapide aux fichiers pour examiner les erreurs.
+ Conservation des fichiers journaux illimitée (configurable).
+ Les journaux peuvent être conservés et rester accessibles quel que soit l'état du nœud.
+ Accès à d'autres CloudWatch fonctionnalités telles que les métriques et les alarmes.

Pour de plus amples informations sur la surveillance de l'activité Session Manager, consultez [Journalisation de l’activité de session](session-manager-auditing.md) et [Activation et désactivation de l’enregistrement de la session](session-manager-logging.md).

## Migrer la collecte des journaux des nœuds Windows Server vers l' CloudWatch agent
<a name="monitoring-cloudwatch-agent-migrate"></a>

Si vous utilisez SSM Agent des Windows Server nœuds compatibles pour envoyer des fichiers SSM Agent CloudWatch journaux à Amazon Logs, vous pouvez utiliser Systems Manager pour effectuer la migration depuis SSM Agent l' CloudWatch agent en tant qu'outil de collecte de journaux et migrer vos paramètres de configuration.

L' CloudWatch agent n'est pas pris en charge sur les versions 32 bits deWindows Server.

Pour les instances EC2 64 bits pourWindows Server, vous pouvez effectuer la migration vers l' CloudWatch agent automatiquement ou manuellement. Pour les serveurs sur site et les machines virtuelles sur site, le processus doit être réalisé manuellement. 

**Note**  
Au cours du processus de migration, les données envoyées CloudWatch peuvent être interrompues ou dupliquées. Vos métriques et données de journaux sont enregistrées précisément à nouveau dans CloudWatch une fois la migration terminée.

Nous vous recommandons de tester la migration sur un nombre limité de nœuds avant de migrer un parc complet vers l' CloudWatch agent. Après la migration, si vous préférez réaliser la collecte de journaux avec l'SSM Agent, vous pouvez reprendre son utilisation. 

**Important**  
Dans les cas suivants, vous ne pourrez pas migrer vers l' CloudWatch agent en suivant les étapes décrites dans cette rubrique :  
La configuration existante pour l'SSM Agent spécifie plusieurs régions.
La configuration existante pour SSM Agent spécifie plusieurs ensembles d'informations d'identification access/secret clés.
Dans ces cas, il sera nécessaire de désactiver la collecte des journaux SSM Agent et d'installer l' CloudWatch agent sans processus de migration. Pour plus d'informations, consultez les rubriques suivantes du *guide de CloudWatch l'utilisateur Amazon* :  
[Installation de l' CloudWatch agent](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/install-CloudWatch-Agent-on-EC2-Instance.html)
[Installation de l' CloudWatch agent sur des serveurs locaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/install-CloudWatch-Agent-on-premise.html)

**Avant de commencer**  
Avant de commencer une migration vers l' CloudWatch agent de collecte des journaux, assurez-vous que les nœuds sur lesquels vous allez effectuer la migration répondent aux exigences suivantes :
+ Le système d'exploitation est une version 64 bits de Windows Server.
+ SSM Agent 2.2.93.0 (ou version ultérieure) est installé sur le nœud.
+ SSM Agent est configuré pour la surveillance sur le nœud. 

**Topics**
+ [Migration automatique vers l'agent CloudWatch](#monitoring-cloudwatch-agent-migrate-auto)
+ [Migration manuelle vers l'agent CloudWatch](#monitoring-cloudwatch-agent-migrate-manual)

### Migration automatique vers l'agent CloudWatch
<a name="monitoring-cloudwatch-agent-migrate-auto"></a>

Pour les instances EC2 Windows Server uniquement, vous pouvez utiliser la AWS Systems Manager console ou le AWS Command Line Interface (AWS CLI) pour migrer automatiquement vers l' CloudWatch agent en tant qu'outil de collecte de journaux.

**Note**  
AWS Systems Manager prend en charge la migration depuis SSM Agent l' CloudWatch agent unifié pour collecter des journaux et des métriques uniquement sur les versions 64 bits de Windows. Pour plus d'informations sur la configuration de l' CloudWatch agent unifié sur d'autres systèmes d'exploitation et pour des informations complètes sur l'utilisation de l' CloudWatch agent, consultez la section [Collecte de métriques et de journaux à partir d'instances Amazon EC2 et de serveurs sur site avec l' CloudWatch agent dans le guide](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html) de l'utilisateur *[Amazon CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/)*.  
Vous pouvez utiliser l' CloudWatch agent sur d'autres systèmes d'exploitation pris en charge, mais vous ne pourrez pas utiliser Systems Manager pour effectuer une migration d'outil. 

Une fois la migration réussie, vérifiez vos résultats pour vous CloudWatch assurer que vous recevez les statistiques, les journaux ou les journaux d'événements Windows que vous attendez. Si vous êtes satisfait des résultats, vous pouvez éventuellement [Stockez les paramètres de configuration de l' CloudWatch agent dans Parameter Store](#monitoring-cloudwatch-agent-store-config). Si la migration n'aboutit pas ou si les résultats ne sont pas ceux attendus, vous pouvez essayer [Retourner à la collecte de journaux avec l'SSM Agent](#monitoring-cloudwatch-agent-roll-back).

**Note**  
Si vous souhaitez migrer un fichier de configuration source incluant une entrée `{hostname}`, sachez que l'entrée `{hostname}` peut changer la valeur du champ une fois la migration terminée. Supposons, par exemple, que l'`"LogStream": "{hostname}"`entrée suivante renvoie à un serveur nommé *MyLogServer001*.  

```
{
"Id": "CloudWatchIISLogs",
"FullName": "AWS.EC2.Windows.CloudWatch.CloudWatchLogsOutput,AWS.EC2.Windows.CloudWatch",
"Parameters": {
"AccessKey": "",
"SecretKey": "",
"Region": "us-east-1",
"LogGroup": "Production-Windows-IIS",
"LogStream": "{hostname}"
     }
}
```
Après la migration, cette entrée est mappée vers un domaine, tel que ip-11-1-1-11.production. ExampleCompany.com. Pour conserver la valeur du nom d'hôte local, spécifiez `{local_hostname}` au lieu de `{hostname}`.

**Pour migrer automatiquement vers l' CloudWatch agent (console)**

1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Dans le panneau de navigation, sélectionnez **Run Command**, puis **Run command (Exécuter la commande)**. 

1. Dans la liste **Document de commande**, sélectionnez `AmazonCloudWatch-MigrateCloudWatchAgent`.

1. Pour **Statut**, sélectionnez **Enabled**.

1. Dans la section **Targets (Cibles)**, sélectionnez les nœuds gérés sur lesquels vous souhaitez exécuter cette opération en spécifiant des balises, en sélectionnant des instances ou des appareils de périphérie manuellement ou en spécifiant un groupe de ressources.
**Astuce**  
Si, contrairement à vos attentes, un nœud géré ne figure pas dans la liste, consultez [Résolution des problèmes de disponibilité des nœuds gérés](fleet-manager-troubleshooting-managed-nodes.md) pour obtenir des conseils de dépannage.

1. Pour **Rate control (Contrôle de débit)** :
   + Dans **Concurrency (Simultanéité)**, spécifiez un nombre ou un pourcentage de nœuds gérés sur lesquels exécuter simultanément la commande.
**Note**  
Si vous avez sélectionné des cibles en spécifiant des balises appliquées aux nœuds gérés ou en spécifiant AWS des groupes de ressources, et que vous n'êtes pas certain du nombre de nœuds gérés ciblés, limitez le nombre de cibles pouvant exécuter le document en même temps en spécifiant un pourcentage.
   + Dans **Error threshold (Seuil d'erreur)**, indiquez quand arrêter l'exécution de la commande sur les autres nœuds gérés après l'échec de celle-ci sur un certain nombre ou un certain pourcentage de nœuds. Si, par exemple, vous spécifiez trois erreurs, Systems Manager cesse d'envoyer la commande à la réception de la quatrième erreur. Les nœuds gérés sur lesquels la commande est toujours en cours de traitement peuvent également envoyer des erreurs.

1. (Facultatif) Pour **Output options (Options de sortie)**, pour enregistrer la sortie de la commande dans un fichier, cochez la case **Write command output to an S3 bucket (Écrire la sortie de commande vers un compartiment S3)**. Saisissez les noms de compartiment et de préfixe (dossier) dans les zones.
**Note**  
Les autorisations S3 qui accordent la possibilité d'écrire les données dans un compartiment S3 sont celles du profil d'instance (pour les instances EC2) ou de la fonction du service IAM (pour les machines activées par un système hybride) attribués à l'instance, et non celles de l'utilisateur IAM qui effectue cette tâche. Pour plus d’informations, consultez les sections [Configurer des autorisations d’instance requises pour Systems Manager](setup-instance-permissions.md) et [Créer un rôle de service IAM pour un environnement hybride](hybrid-multicloud-service-role.md). En outre, si le compartiment S3 spécifié se trouve sur un autre Compte AWS, assurez-vous que le profil d'instance ou la fonction de service IAM associé au nœud géré dispose des autorisations nécessaires pour écrire dans ce compartiment.

1. Dans la section **SNS notifications (Notifications SNS)**, si vous souhaitez envoyer des notifications sur le statut d'exécution des commandes, cochez la case **Enable SNS notifications (Activer les notifications SNS)**.

   Pour plus d'informations sur la configuration des notifications Amazon SNS pour Run Command, consultez [Surveillance des changements d'état du Systems Manager à l'aide des notifications Amazon SNS](monitoring-sns-notifications.md).

1. Cliquez sur **Exécuter**.

**Pour migrer automatiquement vers l' CloudWatch agent (AWS CLI)**
+ Exécutez la commande suivante.

  ```
  aws ssm send-command --document-name AmazonCloudWatch-MigrateCloudWatchAgent --targets Key=instanceids,Values=ID1,ID2,ID3
  ```

  *ID1**ID2*, et *ID3* représentent les IDs nœuds que vous souhaitez mettre à jour, tels que *I-02573CAFCFExample*.

### Migration manuelle vers l'agent CloudWatch
<a name="monitoring-cloudwatch-agent-migrate-manual"></a>

Pour les Windows Server nœuds sur site ou les instances EC2 pourWindows Server, suivez ces étapes pour migrer manuellement la collecte de journaux vers l'agent Amazon CloudWatch . 

**Note**  
Si vous souhaitez migrer un fichier de configuration source incluant une entrée `{hostname}`, sachez que l'entrée `{hostname}` peut changer la valeur du champ une fois la migration terminée. Supposons, par exemple, que l'`"LogStream": "{hostname}"`entrée suivante renvoie à un serveur nommé *MyLogServer001*.  

```
{
"Id": "CloudWatchIISLogs",
"FullName": "AWS.EC2.Windows.CloudWatch.CloudWatchLogsOutput,AWS.EC2.Windows.CloudWatch",
"Parameters": {
"AccessKey": "",
"SecretKey": "",
"Region": "us-east-1",
"LogGroup": "Production-Windows-IIS",
"LogStream": "{hostname}"
     }
}
```
Après la migration, cette entrée est mappée vers un domaine, tel que ip-11-1-1-11.production. ExampleCompany.com. Pour conserver la valeur du nom d'hôte local, spécifiez `{local_hostname}` au lieu de `{hostname}`.

**Un : pour installer l' CloudWatch agent (console)**

1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Dans le panneau de navigation, sélectionnez **Run Command**, puis **Run command (Exécuter la commande)**. 

1. Dans la liste **Document de commande**, sélectionnez `AWS-ConfigureAWSPackage`.

1. Pour **Action (Action)** choisissez `Install`.

1. Pour **Nom**, saisissez **AmazonCloudWatchAgent**.

1. Pour **Version**, saisissez **latest** si cette valeur n'est pas déjà fournie par défaut.

1. Dans la section **Targets (Cibles)**, sélectionnez les nœuds gérés sur lesquels vous souhaitez exécuter cette opération en spécifiant des balises, en sélectionnant des instances ou des appareils de périphérie manuellement ou en spécifiant un groupe de ressources.
**Astuce**  
Si, contrairement à vos attentes, un nœud géré ne figure pas dans la liste, consultez [Résolution des problèmes de disponibilité des nœuds gérés](fleet-manager-troubleshooting-managed-nodes.md) pour obtenir des conseils de dépannage.

1. Pour **Rate control (Contrôle de débit)** :
   + Dans **Concurrency (Simultanéité)**, spécifiez un nombre ou un pourcentage de nœuds gérés sur lesquels exécuter simultanément la commande.
**Note**  
Si vous avez sélectionné des cibles en spécifiant des balises appliquées aux nœuds gérés ou en spécifiant AWS des groupes de ressources, et que vous n'êtes pas certain du nombre de nœuds gérés ciblés, limitez le nombre de cibles pouvant exécuter le document en même temps en spécifiant un pourcentage.
   + Dans **Error threshold (Seuil d'erreur)**, indiquez quand arrêter l'exécution de la commande sur les autres nœuds gérés après l'échec de celle-ci sur un certain nombre ou un certain pourcentage de nœuds. Si, par exemple, vous spécifiez trois erreurs, Systems Manager cesse d'envoyer la commande à la réception de la quatrième erreur. Les nœuds gérés sur lesquels la commande est toujours en cours de traitement peuvent également envoyer des erreurs.

1. (Facultatif) Pour **Output options (Options de sortie)**, pour enregistrer la sortie de la commande dans un fichier, cochez la case **Write command output to an S3 bucket (Écrire la sortie de commande vers un compartiment S3)**. Saisissez les noms de compartiment et de préfixe (dossier) dans les zones.
**Note**  
Les autorisations S3 qui accordent la possibilité d'écrire les données dans un compartiment S3 sont celles du profil d'instance (pour les instances EC2) ou de la fonction du service IAM (pour les machines activées par un système hybride) attribués à l'instance, et non celles de l'utilisateur IAM qui effectue cette tâche. Pour plus d’informations, consultez les sections [Configurer des autorisations d’instance requises pour Systems Manager](setup-instance-permissions.md) et [Créer un rôle de service IAM pour un environnement hybride](hybrid-multicloud-service-role.md). En outre, si le compartiment S3 spécifié se trouve sur un autre Compte AWS, assurez-vous que le profil d'instance ou la fonction de service IAM associé au nœud géré dispose des autorisations nécessaires pour écrire dans ce compartiment.

1. Dans la section **SNS notifications (Notifications SNS)**, si vous souhaitez envoyer des notifications sur le statut d'exécution des commandes, cochez la case **Enable SNS notifications (Activer les notifications SNS)**.

   Pour plus d'informations sur la configuration des notifications Amazon SNS pour Run Command, consultez [Surveillance des changements d'état du Systems Manager à l'aide des notifications Amazon SNS](monitoring-sns-notifications.md).

1. Cliquez sur **Exécuter**.

**Deux : Pour mettre à jour le format JSON des données de configuration**
+ Pour mettre à jour le format JSON des paramètres de configuration existants pour l' CloudWatch agent **Run Command**, utilisez un outil ou connectez-vous directement au nœud via une connexion RDP pour exécuter les PowerShell commandes Windows suivantes sur le nœud, une par une. AWS Systems Manager

  ```
  cd ${Env:ProgramFiles}\\Amazon\\AmazonCloudWatchAgent
  ```

  ```
  .\\amazon-cloudwatch-agent-config-wizard.exe --isNonInteractiveWindowsMigration
  ```

  *\$1Env:ProgramFiles\$1*représente l'emplacement où se trouve généralement le répertoire Amazon contenant l' CloudWatch agent`C:\Program Files`. 

**Trois : pour configurer et démarrer l' CloudWatch agent (console)**

1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Dans le panneau de navigation, sélectionnez **Run Command**, puis **Run command (Exécuter la commande)**. 

1. Dans la liste **Document de commande**, sélectionnez `AWS-RunPowerShellScript`.

1. Pour **Commands** (Commandes), saisissez les deux commandes suivantes.

   ```
   cd ${Env:ProgramFiles}\Amazon\AmazonCloudWatchAgent
   ```

   ```
   .\amazon-cloudwatch-agent-ctl.ps1 -a fetch-config -m ec2 -c file:config.json -s
   ```

   *\$1Env:ProgramFiles\$1*représente l'emplacement où se trouve généralement le répertoire Amazon contenant l' CloudWatch agent`C:\Program Files`. 

1. Dans la section **Targets (Cibles)**, sélectionnez les nœuds gérés sur lesquels vous souhaitez exécuter cette opération en spécifiant des balises, en sélectionnant des instances ou des appareils de périphérie manuellement ou en spécifiant un groupe de ressources.
**Astuce**  
Si, contrairement à vos attentes, un nœud géré ne figure pas dans la liste, consultez [Résolution des problèmes de disponibilité des nœuds gérés](fleet-manager-troubleshooting-managed-nodes.md) pour obtenir des conseils de dépannage.

1. Pour **Rate control (Contrôle de débit)** :
   + Dans **Concurrency (Simultanéité)**, spécifiez un nombre ou un pourcentage de nœuds gérés sur lesquels exécuter simultanément la commande.
**Note**  
Si vous avez sélectionné des cibles en spécifiant des balises appliquées aux nœuds gérés ou en spécifiant AWS des groupes de ressources, et que vous n'êtes pas certain du nombre de nœuds gérés ciblés, limitez le nombre de cibles pouvant exécuter le document en même temps en spécifiant un pourcentage.
   + Dans **Error threshold (Seuil d'erreur)**, indiquez quand arrêter l'exécution de la commande sur les autres nœuds gérés après l'échec de celle-ci sur un certain nombre ou un certain pourcentage de nœuds. Si, par exemple, vous spécifiez trois erreurs, Systems Manager cesse d'envoyer la commande à la réception de la quatrième erreur. Les nœuds gérés sur lesquels la commande est toujours en cours de traitement peuvent également envoyer des erreurs.

1. (Facultatif) Pour **Output options (Options de sortie)**, pour enregistrer la sortie de la commande dans un fichier, cochez la case **Write command output to an S3 bucket (Écrire la sortie de commande vers un compartiment S3)**. Saisissez les noms de compartiment et de préfixe (dossier) dans les zones.
**Note**  
Les autorisations S3 qui accordent la possibilité d'écrire les données dans un compartiment S3 sont celles du profil d'instance (pour les instances EC2) ou de la fonction du service IAM (pour les machines activées par un système hybride) attribués à l'instance, et non celles de l'utilisateur IAM qui effectue cette tâche. Pour plus d’informations, consultez les sections [Configurer des autorisations d’instance requises pour Systems Manager](setup-instance-permissions.md) et [Créer un rôle de service IAM pour un environnement hybride](hybrid-multicloud-service-role.md). En outre, si le compartiment S3 spécifié se trouve sur un autre Compte AWS, assurez-vous que le profil d'instance ou la fonction de service IAM associé au nœud géré dispose des autorisations nécessaires pour écrire dans ce compartiment.

1. Dans la section **SNS notifications (Notifications SNS)**, si vous souhaitez envoyer des notifications sur le statut d'exécution des commandes, cochez la case **Enable SNS notifications (Activer les notifications SNS)**.

   Pour plus d'informations sur la configuration des notifications Amazon SNS pour Run Command, consultez [Surveillance des changements d'état du Systems Manager à l'aide des notifications Amazon SNS](monitoring-sns-notifications.md).

1. Cliquez sur **Exécuter**.

**Quatre : Pour désactiver la collecte de journaux dans l'SSM Agent (console)**

1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Dans le panneau de navigation, sélectionnez **Run Command**, puis **Run command (Exécuter la commande)**. 

1. Dans la liste **Document de commande**, sélectionnez `AWS-ConfigureCloudWatch`.

1. Pour **Status** (Statut), sélectionnez **Disabled** (Désactivé).

1. Dans la section **Targets (Cibles)**, sélectionnez les nœuds gérés sur lesquels vous souhaitez exécuter cette opération en spécifiant des balises, en sélectionnant des instances ou des appareils de périphérie manuellement ou en spécifiant un groupe de ressources.
**Astuce**  
Si, contrairement à vos attentes, un nœud géré ne figure pas dans la liste, consultez [Résolution des problèmes de disponibilité des nœuds gérés](fleet-manager-troubleshooting-managed-nodes.md) pour obtenir des conseils de dépannage.

1. Pour **Status** (Statut), sélectionnez `Disabled`.

1. Pour **Rate control (Contrôle de débit)** :
   + Dans **Concurrency (Simultanéité)**, spécifiez un nombre ou un pourcentage de nœuds gérés sur lesquels exécuter simultanément la commande.
**Note**  
Si vous avez sélectionné des cibles en spécifiant des balises appliquées aux nœuds gérés ou en spécifiant AWS des groupes de ressources, et que vous n'êtes pas certain du nombre de nœuds gérés ciblés, limitez le nombre de cibles pouvant exécuter le document en même temps en spécifiant un pourcentage.
   + Dans **Error threshold (Seuil d'erreur)**, indiquez quand arrêter l'exécution de la commande sur les autres nœuds gérés après l'échec de celle-ci sur un certain nombre ou un certain pourcentage de nœuds. Si, par exemple, vous spécifiez trois erreurs, Systems Manager cesse d'envoyer la commande à la réception de la quatrième erreur. Les nœuds gérés sur lesquels la commande est toujours en cours de traitement peuvent également envoyer des erreurs.

1. (Facultatif) Pour **Output options (Options de sortie)**, pour enregistrer la sortie de la commande dans un fichier, cochez la case **Write command output to an S3 bucket (Écrire la sortie de commande vers un compartiment S3)**. Saisissez les noms de compartiment et de préfixe (dossier) dans les zones.
**Note**  
Les autorisations S3 qui accordent la possibilité d'écrire les données dans un compartiment S3 sont celles du profil d'instance (pour les instances EC2) ou de la fonction du service IAM (pour les machines activées par un système hybride) attribués à l'instance, et non celles de l'utilisateur IAM qui effectue cette tâche. Pour plus d’informations, consultez les sections [Configurer des autorisations d’instance requises pour Systems Manager](setup-instance-permissions.md) et [Créer un rôle de service IAM pour un environnement hybride](hybrid-multicloud-service-role.md). En outre, si le compartiment S3 spécifié se trouve sur un autre Compte AWS, assurez-vous que le profil d'instance ou la fonction de service IAM associé au nœud géré dispose des autorisations nécessaires pour écrire dans ce compartiment.

1. Dans la section **SNS notifications (Notifications SNS)**, si vous souhaitez envoyer des notifications sur le statut d'exécution des commandes, cochez la case **Enable SNS notifications (Activer les notifications SNS)**.

   Pour plus d'informations sur la configuration des notifications Amazon SNS pour Run Command, consultez [Surveillance des changements d'état du Systems Manager à l'aide des notifications Amazon SNS](monitoring-sns-notifications.md).

1. Cliquez sur **Exécuter**.

   Une fois ces étapes terminées, vérifiez vos connexions CloudWatch pour vérifier que vous recevez les métriques, les journaux ou les journaux d'événements Windows que vous attendez. Si vous êtes satisfait des résultats, vous pouvez éventuellement [Stockez les paramètres de configuration de l' CloudWatch agent dans Parameter Store](#monitoring-cloudwatch-agent-store-config). Si la migration n'aboutit pas ou si les résultats ne sont pas ceux attendus, vous pouvez [Retourner à la collecte de journaux avec l'SSM Agent](#monitoring-cloudwatch-agent-roll-back).

## Stockez les paramètres de configuration de l' CloudWatch agent dans Parameter Store
<a name="monitoring-cloudwatch-agent-store-config"></a>

Vous pouvez enregistrer le contenu d'un fichier de configuration d' CloudWatch agent dansParameter Store. Si vous conservez ces données de configuration dans un paramètre, plusieurs nœuds peuvent en tirer leurs paramètres de configuration, ce qui vous évite de créer ou de mettre à jour manuellement des fichiers de configuration sur vos nœuds. Par exemple, vous pouvez l'utiliser Run Command pour écrire le contenu du paramètre dans AWS Systems Manager des fichiers de configuration sur plusieurs nœuds, ou utiliser State Manager un outil pour éviter toute dérive de configuration des paramètres de configuration de l' CloudWatch agent sur un parc de nœuds.

Lorsque vous exécutez l'assistant de configuration de l' CloudWatch agent, vous pouvez choisir de le laisser enregistrer vos paramètres de configuration en tant que nouveau paramètre dansParameter Store. Pour plus d'informations sur l'exécution de l'assistant de configuration de l' CloudWatch agent, consultez [la section Création du fichier de configuration de l' CloudWatch agent avec l'assistant](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/create-cloudwatch-agent-configuration-file-wizard.html) dans le *guide de CloudWatch l'utilisateur Amazon*.

Si vous avez exécuté l'assistant mais que vous n'avez pas choisi l'option permettant d'enregistrer les paramètres en tant que paramètre, ou si vous avez créé le fichier de configuration de l' CloudWatch agent manuellement, vous pouvez récupérer les données à enregistrer en tant que paramètre sur votre nœud dans le fichier suivant.

```
${Env:ProgramFiles}\Amazon\AmazonCloudWatchAgent\config.json
```

*\$1Env:ProgramFiles\$1*représente l'emplacement où se trouve généralement le répertoire Amazon contenant l' CloudWatch agent`C:\Program Files`. 

Nous vous recommandons de conserver une sauvegarde du JSON de ce fichier à un emplacement autre que le nœud lui-même.

Pour plus d'informations sur la création d'un paramètre, consultez [Création de paramètres Parameter Store dans Systems Manager](sysman-paramstore-su-create.md).

Pour plus d'informations sur l' CloudWatch agent, consultez la section [Collecte de métriques et de journaux à partir d'instances Amazon EC2 et de serveurs sur site avec l' CloudWatch agent dans le guide](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html) de l'utilisateur *Amazon CloudWatch *.

## Retourner à la collecte de journaux avec l'SSM Agent
<a name="monitoring-cloudwatch-agent-roll-back"></a>

Si vous souhaitez utiliser à nouveau l'SSM Agent pour collecter les journaux, suivez les étapes décrites dans cette section.

**Un : Pour récupérer les données de configuration à partir de l'SSM Agent**

1. Sur le nœud où vous souhaitez recommencer à collecter les journaux à l'aide de SSM Agent, localisez le contenu du fichier de configuration de SSM Agent. Ce fichier JSON se trouve généralement à l'emplacement suivant :

   `${Env:ProgramFiles}\\Amazon\\SSM\\Plugins\\awsCloudWatch\\AWS.EC2.Windows.CloudWatch.json`

   *\$1Env:ProgramFiles\$1*représente l'emplacement où se trouve généralement le `Amazon` répertoire`C:\Program Files`. 

1. Copiez ces données dans un fichier texte pour les utiliser à une étape ultérieure. 

   Nous vous recommandons de conserver une copie de sauvegarde du fichier JSON à un emplacement autre que le nœud lui-même.

**Deux : pour désinstaller l' CloudWatch agent (console)**

1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Dans le panneau de navigation, sélectionnez **Run Command**, puis **Run command (Exécuter la commande)**. 

1. Dans la liste **Document de commande**, sélectionnez `AWS-ConfigureAWSPackage`.

1. Dans **Action (Action)**, choisissez **Uninstall (Désinstaller)**.

1. Pour **Nom**, saisissez **AmazonCloudWatchAgent**.

1. Dans la section **Targets (Cibles)**, sélectionnez les nœuds gérés sur lesquels vous souhaitez exécuter cette opération en spécifiant des balises, en sélectionnant des instances ou des appareils de périphérie manuellement ou en spécifiant un groupe de ressources.
**Astuce**  
Si, contrairement à vos attentes, un nœud géré ne figure pas dans la liste, consultez [Résolution des problèmes de disponibilité des nœuds gérés](fleet-manager-troubleshooting-managed-nodes.md) pour obtenir des conseils de dépannage.

1. Pour **Rate control (Contrôle de débit)** :
   + Dans **Concurrency (Simultanéité)**, spécifiez un nombre ou un pourcentage de nœuds gérés sur lesquels exécuter simultanément la commande.
**Note**  
Si vous avez sélectionné des cibles en spécifiant des balises appliquées aux nœuds gérés ou en spécifiant AWS des groupes de ressources, et que vous n'êtes pas certain du nombre de nœuds gérés ciblés, limitez le nombre de cibles pouvant exécuter le document en même temps en spécifiant un pourcentage.
   + Dans **Error threshold (Seuil d'erreur)**, indiquez quand arrêter l'exécution de la commande sur les autres nœuds gérés après l'échec de celle-ci sur un certain nombre ou un certain pourcentage de nœuds. Si, par exemple, vous spécifiez trois erreurs, Systems Manager cesse d'envoyer la commande à la réception de la quatrième erreur. Les nœuds gérés sur lesquels la commande est toujours en cours de traitement peuvent également envoyer des erreurs.

1. (Facultatif) Pour **Output options (Options de sortie)**, pour enregistrer la sortie de la commande dans un fichier, cochez la case **Write command output to an S3 bucket (Écrire la sortie de commande vers un compartiment S3)**. Saisissez les noms de compartiment et de préfixe (dossier) dans les zones.
**Note**  
Les autorisations S3 qui accordent la possibilité d'écrire les données dans un compartiment S3 sont celles du profil d'instance (pour les instances EC2) ou de la fonction du service IAM (pour les machines activées par un système hybride) attribués à l'instance, et non celles de l'utilisateur IAM qui effectue cette tâche. Pour plus d’informations, consultez les sections [Configurer des autorisations d’instance requises pour Systems Manager](setup-instance-permissions.md) et [Créer un rôle de service IAM pour un environnement hybride](hybrid-multicloud-service-role.md). En outre, si le compartiment S3 spécifié se trouve sur un autre Compte AWS, assurez-vous que le profil d'instance ou la fonction de service IAM associé au nœud géré dispose des autorisations nécessaires pour écrire dans ce compartiment.

1. Dans la section **SNS notifications (Notifications SNS)**, si vous souhaitez envoyer des notifications sur le statut d'exécution des commandes, cochez la case **Enable SNS notifications (Activer les notifications SNS)**.

   Pour plus d'informations sur la configuration des notifications Amazon SNS pour Run Command, consultez [Surveillance des changements d'état du Systems Manager à l'aide des notifications Amazon SNS](monitoring-sns-notifications.md).

1. Cliquez sur **Exécuter**.

**Trois : Pour réactiver la collecte de journaux dans SSM Agent (console)**

1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Dans le panneau de navigation, sélectionnez **Run Command**, puis **Run command (Exécuter la commande)**. 

1. Dans la liste **Document de commande**, sélectionnez `AWS-ConfigureCloudWatch`.

1. Pour **Status** (Statut), sélectionnez `Enabled`.

1. Pour **Properties** (Propriétés), collez le contenu des anciennes données de configuration que vous avez enregistrées dans le fichier texte.

1. Dans la section **Targets (Cibles)**, sélectionnez les nœuds gérés sur lesquels vous souhaitez exécuter cette opération en spécifiant des balises, en sélectionnant des instances ou des appareils de périphérie manuellement ou en spécifiant un groupe de ressources.
**Astuce**  
Si, contrairement à vos attentes, un nœud géré ne figure pas dans la liste, consultez [Résolution des problèmes de disponibilité des nœuds gérés](fleet-manager-troubleshooting-managed-nodes.md) pour obtenir des conseils de dépannage.

1. Pour **Rate control (Contrôle de débit)** :
   + Dans **Concurrency (Simultanéité)**, spécifiez un nombre ou un pourcentage de nœuds gérés sur lesquels exécuter simultanément la commande.
**Note**  
Si vous avez sélectionné des cibles en spécifiant des balises appliquées aux nœuds gérés ou en spécifiant AWS des groupes de ressources, et que vous n'êtes pas certain du nombre de nœuds gérés ciblés, limitez le nombre de cibles pouvant exécuter le document en même temps en spécifiant un pourcentage.
   + Dans **Error threshold (Seuil d'erreur)**, indiquez quand arrêter l'exécution de la commande sur les autres nœuds gérés après l'échec de celle-ci sur un certain nombre ou un certain pourcentage de nœuds. Si, par exemple, vous spécifiez trois erreurs, Systems Manager cesse d'envoyer la commande à la réception de la quatrième erreur. Les nœuds gérés sur lesquels la commande est toujours en cours de traitement peuvent également envoyer des erreurs.

1. (Facultatif) Pour **Output options (Options de sortie)**, pour enregistrer la sortie de la commande dans un fichier, cochez la case **Write command output to an S3 bucket (Écrire la sortie de commande vers un compartiment S3)**. Saisissez les noms de compartiment et de préfixe (dossier) dans les zones.
**Note**  
Les autorisations S3 qui accordent la possibilité d'écrire les données dans un compartiment S3 sont celles du profil d'instance (pour les instances EC2) ou de la fonction du service IAM (pour les machines activées par un système hybride) attribués à l'instance, et non celles de l'utilisateur IAM qui effectue cette tâche. Pour plus d’informations, consultez les sections [Configurer des autorisations d’instance requises pour Systems Manager](setup-instance-permissions.md) et [Créer un rôle de service IAM pour un environnement hybride](hybrid-multicloud-service-role.md). En outre, si le compartiment S3 spécifié se trouve sur un autre Compte AWS, assurez-vous que le profil d'instance ou la fonction de service IAM associé au nœud géré dispose des autorisations nécessaires pour écrire dans ce compartiment.

1. Dans la section **SNS notifications (Notifications SNS)**, si vous souhaitez envoyer des notifications sur le statut d'exécution des commandes, cochez la case **Enable SNS notifications (Activer les notifications SNS)**.

   Pour plus d'informations sur la configuration des notifications Amazon SNS pour Run Command, consultez [Surveillance des changements d'état du Systems Manager à l'aide des notifications Amazon SNS](monitoring-sns-notifications.md).

1. Cliquez sur **Exécuter**.

# Envoi de SSM Agent journaux à CloudWatch Logs
<a name="monitoring-ssm-agent"></a>

AWS Systems Manager Agent (SSM Agent) est un logiciel Amazon qui s'exécute sur vos EC2 instances, vos appareils périphériques, vos serveurs locaux et vos machines virtuelles (VMs) configurés pour Systems Manager. SSM Agenttraite les demandes du service Systems Manager dans le cloud et configure votre machine comme indiqué dans la demande. Pour plus d’informations sur SSM Agent, consultez [Utilisation de l’option SSM Agent](ssm-agent.md).

En outre, en suivant les étapes suivantes, vous pouvez configurer l'envoi SSM Agent de données de journal à Amazon CloudWatch Logs. 

**Avant de commencer**  
Créez un groupe de CloudWatch journaux dans Logs. Pour plus d'informations, consultez [Getting started with CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html) dans le *guide de l'utilisateur Amazon CloudWatch Logs*.

**Pour configurer SSM Agent l'envoi des journaux à CloudWatch**

1. Connectez-vous à un nœud et recherchez le fichier suivant :

**Linux**  
Sur la plupart des types de nœuds Linux : `/etc/amazon/ssm/seelog.xml.template`.

   Sur Ubuntu Server 20.04, 18.04 et 16.04 LTS : `/snap/amazon-ssm-agent/current/seelog.xml.template`

**macOS**  
`/opt/aws/ssm/seelog.xml.template`

**Windows**  
`%ProgramFiles%\Amazon\SSM\seelog.xml.template`

1. Remplacez le nom du fichier `seelog.xml.template` par `seelog.xml`.
**Note**  
Sur Ubuntu Server 20.04, 18.04 et 16.04 LTS, le fichier `seelog.xml` doit être créé dans le répertoire `/etc/amazon/ssm/`. Vous pouvez créer ce répertoire et ce fichier en exécutant les commandes suivantes.  

   ```
   sudo mkdir -p /etc/amazon/ssm
   ```

   ```
   sudo cp -pr /snap/amazon-ssm-agent/current/* /etc/amazon/ssm
   ```

   ```
   sudo cp -p /etc/amazon/ssm/seelog.xml.template /etc/amazon/ssm/seelog.xml
   ```

1. Ouvrez le fichier `seelog.xml` dans un éditeur de texte, puis localisez la section ci-après.

------
#### [ Linux and macOS ]

   ```
   <outputs formatid="fmtinfo">
      <console formatid="fmtinfo"/>
      <rollingfile type="size" filename="/var/log/amazon/ssm/amazon-ssm-agent.log" maxsize="30000000" maxrolls="5"/>
      <filter levels="error,critical" formatid="fmterror">
         <rollingfile type="size" filename="/var/log/amazon/ssm/errors.log" maxsize="10000000" maxrolls="5"/>
      </filter>
   </outputs>
   ```

------
#### [ Windows ]

   ```
   <outputs formatid="fmtinfo">
      <console formatid="fmtinfo"/>
      <rollingfile type="size" maxrolls="5" maxsize="30000000" filename="{{LOCALAPPDATA}}\Amazon\SSM\Logs\amazon-ssm-agent.log"/>
      <filter formatid="fmterror" levels="error,critical">
         <rollingfile type="size" maxrolls="5" maxsize="10000000" filename="{{LOCALAPPDATA}}\Amazon\SSM\Logs\errors.log"/>
      </filter>
   </outputs>
   ```

------

1. Modifiez le fichier et ajoutez un élément de *nom personnalisé* après la balise de fermeture </filter>. Dans l'exemple suivant, le nom personnalisé tel qu'il a été spécifié en tant que `cloudwatch_receiver`.

------
#### [ Linux and macOS ]

   ```
   <outputs formatid="fmtinfo">
      <console formatid="fmtinfo"/>
      <rollingfile type="size" filename="/var/log/amazon/ssm/amazon-ssm-agent.log" maxsize="30000000" maxrolls="5"/>
      <filter levels="error,critical" formatid="fmterror">
         <rollingfile type="size" filename="/var/log/amazon/ssm/errors.log" maxsize="10000000" maxrolls="5"/>
      </filter>
      <custom name="cloudwatch_receiver" formatid="fmtdebug" data-log-group="your-CloudWatch-log-group-name"/>
   </outputs>
   ```

------
#### [ Windows ]

   ```
   <outputs formatid="fmtinfo">
      <console formatid="fmtinfo"/>
      <rollingfile type="size" maxrolls="5" maxsize="30000000" filename="{{LOCALAPPDATA}}\Amazon\SSM\Logs\amazon-ssm-agent.log"/>
      <filter formatid="fmterror" levels="error,critical">
         <rollingfile type="size" maxrolls="5" maxsize="10000000" filename="{{LOCALAPPDATA}}\Amazon\SSM\Logs\errors.log"/>
      </filter>
      <custom name="cloudwatch_receiver" formatid="fmtdebug" data-log-group="your-CloudWatch-log-group-name"/>
   </outputs>
   ```

------

1. Enregistrez vos modifications, puis redémarrez SSM Agent ou le nœud.

1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Dans le volet de navigation, sélectionnez **Log groups (Groupes de journaux)**, puis sélectionnez le nom de votre groupe de journaux.
**Astuce**  
Le flux de journaux des données des fichiers journaux SSM Agent est organisé par ID de nœud.

# Surveillance de vos événements de demande de modification
<a name="monitoring-change-request-events"></a>

**Change Managerchangement de disponibilité**  
AWS Systems ManagerChange Managerne sera plus ouvert aux nouveaux clients à compter du 7 novembre 2025. Si vous souhaitez l'utiliserChange Manager, inscrivez-vous avant cette date. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez [AWS Systems ManagerChange Managerla section Modification de la disponibilité](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html). 

Après avoir activé l'intégration avec AWS CloudTrail Lake et créé un magasin de données d'événements, vous pouvez consulter des informations vérifiables sur les demandes de modification exécutées dans votre compte ou votre organisation. Cela inclut des détails tels que les suivants :
+ L'identité de l'utilisateur à l'origine de la demande de modification
+ L' Régions AWS endroit où les modifications ont été apportées
+ L'adresse IP source de la demande
+ La clé AWS d'accès utilisée pour la demande
+ Les actions d'API exécutées pour la demande de modification
+ Les paramètres de demande inclus pour ces actions
+ Les ressources mises à jour au cours du processus

Vous trouverez ci-dessous des exemples de détails d'événements que vous pouvez consulter pour une demande de modification après avoir créé le magasin de données d'événements dans AWS CloudTrail Lake.

------
#### [ Details ]

L'image suivante montre les informations de haut niveau relatives à une demande de modification disponibles dans l'onglet **Details** (Détails). Ces informations incluent des données telles que l'heure à laquelle l'opération de demande de modification a commencé, l'ID de l'utilisateur qui a initié la demande de modification, l' Région AWS affectée, ainsi que les ID d'événement et de demande associés à la demande.

![\[Détails d'une demande de modification émanant de CloudTrail Lake.\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/images/cm-event-details.png)


------
#### [ Event record ]

L'image suivante montre la structure du contenu JSON fourni par CloudTrail Lake pour un événement de demande de modification. Ces données sont fournies dans l'onglet **Event record** (Enregistrement d'événement) d'une demande de modification.

![\[Enregistrement JSON d'une demande de modification provenant de CloudTrail Lake.\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/images/cm-event-record.png)


------

**Important**  
Si vous utilisez Change Manager pour une organisation, vous pouvez réaliser la procédure suivante en étant connecté au compte de gestion ou au compte d'administrateur délégué de Change Manager.  
Toutefois, pour utiliser le compte d'administrateur délégué pour effectuer ces étapes, le même compte d'administrateur délégué doit être spécifié pour les deux CloudTrail etChange Manager.  
Lorsque vous vous connectez au compte de gestion pourChange Manager, vous pouvez ajouter ou modifier le compte d'administrateur délégué pour CloudTrail sur la page CloudTrail [Paramètres](https://console.aws.amazon.com/cloudtrailv2/home#/settings). Cela doit être fait avant que le compte d'administrateur délégué ne puisse créer un magasin de données d'événements destiné à l'ensemble de l'organisation.

**Pour activer le suivi des événements de CloudTrail Lake à partir de Change Manager**

1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Dans le panneau de navigation, sélectionnez **Change Manager**.

1. Sélectionnez l'onglet **Requests (Demandes)**.

1. Choisissez n'importe quelle demande de modification existante, puis choisissez l'onglet **Associated events** (Événements associés).

1. Choisissez **Enable CloudTrail Lake**.

1. Suivez les étapes décrites dans la [section Créer un magasin de données d' CloudTrail événements pour les événements](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-cloudtrail.html) du *Guide de AWS CloudTrail l'utilisateur*.

   Pour vous assurer que les données d'événement relatives à vos demandes de modification sont stockées, effectuez les sélections suivantes lors de la procédure :
   + Pour **Type d'événement**, laissez les **AWS événements** par défaut et les **CloudTrailévénements** sélectionnés.
   + Si vous utilisez Change Manager avec une organisation, sélectionnez **Activer pour tous les comptes de mon organisation**.
   + Pour **Événements de gestion**, ne décochez pas la case **Écrire**. 

   Les autres options que vous choisissez lors de la création de votre magasin de données d'événements n'affectent pas le stockage des données d'événements pour vos demandes de modification.

# Surveillance de vos automatisations
<a name="monitoring-automation-metrics"></a>

Les *métriques* sont les éléments de base d'Amazon CloudWatch. Une métrique représente un ensemble de points de données chronologiques qui sont publiés dans CloudWatch. Envisagez une métrique comme une variable à surveiller et les points de données comme les valeurs de cette variable au fil du temps.

Automation est un outil de AWS Systems Manager. Systems Manager publie des métriques sur l'utilisation d'Automation sur CloudWatch. Cela vous permet de définir des alarmes en fonction de ces métriques.

**Pour afficher les métriques Automation sur la console CloudWatch**

1. Ouvrez la console CloudWatch à l’adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Dans le panneau de navigation, sélectionnez ‎**Métriques**.

1. Sélectionnez **SSM**.

1. Sous l'onglet **Metrics** (Métriques), choisissez **Usage** (Utilisation), puis choisissez **By AWS Resource**.(Par ressource).

1. Dans la zone de recherche située près de la liste des métriques, saisissez **SSM**.

**Pour afficher les métriques Automation à l'aide de la AWS CLI**  
Ouvrez une invite de commande et utilisez la commande suivante.

```
aws cloudwatch list-metrics \
    --namespace "AWS/Usage"
```

## Métriques Automation
<a name="automation-metrics-and-dimensions"></a>

Systems Manager envoie les métriques Automation suivantes à CloudWatch.


| Métrique | Description | 
| --- | --- | 
| ConcurrentAutomationUsage  | Nombre d'automatisations exécutées en même temps dans le Compte AWS et la Région AWS actuels. | 
| QueuedAutomationUsage  | Nombre d'automatisations actuellement en file d'attente qui n'ont pas démarré et dont le statut est Pending. | 

Pour de plus amples informations sur l'utilisation de métriques CloudWatch, veuillez consulter les rubriques suivantes dans le *Guide de l'utilisateur Amazon CloudWatch* :
+ [Métriques](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#Metric)
+ [Utilisation des métriques Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html)
+ [Utilisation d’alarmes Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)

# Surveillance des Run Command métriques à l'aide d'Amazon CloudWatch
<a name="monitoring-cloudwatch-metrics"></a>

Les *métriques* sont le concept fondamental d'Amazon CloudWatch. Une métrique représente un ensemble chronologique de points de données publiés sur CloudWatch. Envisagez une métrique comme une variable à surveiller et les points de données comme les valeurs de cette variable au fil du temps.

AWS Systems Manager publie des statistiques relatives à l'état des Run Command commandes CloudWatch, ce qui vous permet de définir des alarmes en fonction de ces mesures. Run Commandest un outil dans AWS Systems Manager. Ces statistiques sont enregistrées pendant une période prolongée afin que vous puissiez accéder à des informations historiques et avoir une meilleure idée du taux de réussite des commandes exécutées dans votre Compte AWS. 

Les valeurs de statut du terminal pour les commandes pour lesquelles vous pouvez suivre les métriques incluent `Success`, `Failed` et `Delivery Timed Out`. Par exemple, pour un document SSM Command défini pour s'exécuter toutes les heures, vous pouvez configurer une alarme pour vous avertir lorsque le statut `Success` n'est pas signalé à une heure quelconque. Pour plus d'informations sur les valeurs de statut des commandes, consultez [Comprendre les états des commandes](monitor-commands.md).

**Pour afficher les métriques dans la CloudWatch console**

1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Dans le panneau de navigation, sélectionnez ‎**Métriques**.

1. Dans la zone **Alarmes par AWS service**, pour **Services**, sélectionnez **SSM- Run Command**.

**Pour consulter les statistiques à l'aide du AWS CLI**  
Ouvrez une invite de commande et utilisez la commande suivante.

```
aws cloudwatch list-metrics --namespace "AWS/SSM-RunCommand"
```

Pour répertorier toutes les rubriques, utilisez la commande suivante :

```
aws cloudwatch list-metrics
```

## Métriques et dimensions de Systems Manager Run Command
<a name="metrics-and-dimensions"></a>

Systems Manager envoie des métriques de Run Command commande à CloudWatch une seule fois par minute.

Systems Manager envoie les métriques de commande suivantes à CloudWatch.

**Note**  
Ces métriques utilisent `Count` comme unité, par conséquent, `Sum` et `SampleCount` sont les statistiques les plus utiles.


| Métrique | Description | 
| --- | --- | 
| CommandsDeliveryTimedOut  | Nombre de commandes dont le statut final est Delivery Timed Out.  | 
| CommandsFailed  | Nombre de commandes dont le statut final est Failed. | 
| CommandsSucceeded  | Nombre de commandes dont le statut final est Success. | 

Pour plus d'informations sur l'utilisation des CloudWatch métriques, consultez les rubriques suivantes du *guide de CloudWatch l'utilisateur Amazon* :
+ [Métriques](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#Metric)
+ [Utilisation des CloudWatch métriques Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html)
+ [Utilisation des CloudWatch alarmes Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)

# Journalisation des appels d' AWS Systems Manager API avec AWS CloudTrail
<a name="monitoring-cloudtrail-logs"></a>

AWS Systems Manager est intégré à [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)un service qui fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un Service AWS. CloudTrail capture tous les appels d'API Systems Manager sous forme d'événements. Les appels capturés incluent des appels de la console Systems Manager et les appels de code vers les opérations d'API Systems Manager. À l'aide des informations collectées par CloudTrail, vous pouvez déterminer la demande qui a été faiteSystems Manager, l'adresse IP à partir de laquelle la demande a été faite, la date à laquelle elle a été faite et des informations supplémentaires.

Chaque événement ou entrée de journal contient des informations sur la personne ayant initié la demande. Les informations relatives à l’identité permettent de déterminer :
+ Si la demande a été effectuée avec des informations d’identification d’utilisateur root ou d’utilisateur root.
+ Si la demande a été faite au nom d'un utilisateur du centre d'identité IAM.
+ Si la demande a été effectuée avec les informations d’identification de sécurité temporaires d’un rôle ou d’un utilisateur fédéré.
+ Si la requête a été effectuée par un autre Service AWS.

CloudTrail est actif dans votre compte Compte AWS lorsque vous créez le compte et vous avez automatiquement accès à l'**historique des CloudTrail événements**. L'**historique des CloudTrail événements** fournit un enregistrement consultable, consultable, téléchargeable et immuable des 90 derniers jours des événements de gestion enregistrés dans un. Région AWS Pour plus d'informations, consultez la section [Utilisation de l'historique des CloudTrail événements](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) dans le *guide de AWS CloudTrail l'utilisateur*. La consultation de CloudTrail l'**historique des événements est gratuite**.

Pour un enregistrement continu des événements de vos 90 Compte AWS derniers jours, créez un magasin de données sur les événements de Trail ou [CloudTrailLake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html).

**CloudTrail sentiers**  
Un *suivi* permet CloudTrail de fournir des fichiers journaux à un compartiment Amazon S3. Tous les sentiers créés à l'aide du AWS Management Console sont multirégionaux. Vous ne pouvez créer un journal de suivi en une ou plusieurs régions à l'aide de l' AWS CLI. Il est recommandé de créer un parcours multirégional, car vous capturez l'activité dans l'ensemble Régions AWS de votre compte. Si vous créez un journal de suivi pour une seule région, il convient de n'afficher que les événements enregistrés dans le journal de suivi pour une seule région Région AWS. Pour plus d'informations sur les journaux de suivi, consultez [Créez un journal de suivi dans vos Compte AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) et [Création d'un journal de suivi pour une organisation](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html) dans le *AWS CloudTrail Guide de l'utilisateur*.  
Vous pouvez envoyer une copie de vos événements de gestion en cours dans votre compartiment Amazon S3 gratuitement CloudTrail en créant un journal. Toutefois, des frais de stockage Amazon S3 sont facturés. Pour plus d'informations sur la CloudTrail tarification, consultez la section [AWS CloudTrail Tarification](https://aws.amazon.com/cloudtrail/pricing/). Pour obtenir des informations sur la tarification Amazon S3, consultez [Tarification Amazon S3](https://aws.amazon.com/s3/pricing/).

**CloudTrail Stockages de données sur les événements du lac**  
*CloudTrail Lake* vous permet d'exécuter des requêtes SQL sur vos événements. CloudTrail Lake convertit les événements existants au format JSON basé sur les lignes au format [Apache ORC](https://orc.apache.org/). ORC est un format de stockage en colonnes qui est optimisé pour une récupération rapide des données. Les événements sont agrégés dans des *magasins de données d’événement*. Ceux-ci constituent des collections immuables d’événements basées sur des critères que vous sélectionnez en appliquant des [sélecteurs d’événements avancés](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-concepts.html#adv-event-selectors). Les sélecteurs que vous appliquez à un magasin de données d’événement contrôlent les événements qui persistent et que vous pouvez interroger. Pour plus d'informations sur CloudTrail Lake, consultez la section [Travailler avec AWS CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) dans le *guide de AWS CloudTrail l'utilisateur*.  
CloudTrail Les stockages et requêtes de données sur les événements de Lake entraînent des coûts. Lorsque vous créez un magasin de données d’événement, vous choisissez l’[option de tarification](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-manage-costs.html#cloudtrail-lake-manage-costs-pricing-option) que vous voulez utiliser pour le magasin de données d’événement. L’option de tarification détermine le coût d’ingestion et de stockage des événements, ainsi que les périodes de conservation par défaut et maximale pour le magasin de données d’événement. Pour plus d'informations sur la CloudTrail tarification, consultez la section [AWS CloudTrail Tarification](https://aws.amazon.com/cloudtrail/pricing/).

## Événements liés aux données de Systems Manager dans CloudTrail
<a name="cloudtrail-data-events"></a>

Les [événements de données](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events) fournissent des informations sur les opérations effectuées sur ou dans une ressource (par exemple, la création ou l’ouverture d’un canal de contrôle). Ils sont également connus sous le nom opérations de plans de données. Les événements de données sont souvent des activités à fort volume. Par défaut, CloudTrail n'enregistre pas les événements liés aux données. L'**historique des CloudTrail événements** n'enregistre pas les événements liés aux données.

Des frais supplémentaires s’appliquent pour les événements de données. Pour plus d'informations sur la CloudTrail tarification, consultez la section [AWS CloudTrail Tarification](https://aws.amazon.com/cloudtrail/pricing/).

Vous pouvez enregistrer les événements de données pour les types de ressources Systems Manager à l'aide de la CloudTrail console ou AWS CLI des opérations de CloudTrail l'API. Pour plus d’informations sur la façon de journaliser les événements de données, consultez [Journalisation des événements de données avec la AWS Management Console](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events-console) et [Journalisation des événements de données avec l’ AWS Command Line Interface](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#creating-data-event-selectors-with-the-AWS-CLI) dans le *Guide de l’utilisateur AWS CloudTrail *.

Le tableau suivant répertorie les types de ressources Systems Manager pour lesquels vous pouvez journaliser les événements de données. La colonne **Type d'événement de données (console)** indique la valeur à choisir dans la liste des **types d'événements de données** de la CloudTrail console. La colonne de valeur **resources.type indique la `resources.type` valeur** que vous devez spécifier lors de la configuration de sélecteurs d'événements avancés à l'aide du ou. AWS CLI CloudTrail APIs La CloudTrail colonne **Données APIs enregistrées** indique les appels d'API enregistrés CloudTrail pour le type de ressource. 


| Type d’événement de données (console) | valeur resources.type | Données APIs enregistrées sur CloudTrail | 
| --- | --- | --- | 
| Systems Manager |  AWS::SSMMessages::ControlChannel  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/monitoring-cloudtrail-logs.html) Pour plus d’informations sur ces opérations, consultez [Actions définies par Amazon Message Gateway Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagegatewayservice.html#amazonmessagegatewayservice-actions-as-permissions) dans la *Référence d’autorisation de service*.  | 
| Nœud géré par Systems Manager |  AWS::SSM::ManagedNode  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/systems-manager/latest/userguide/monitoring-cloudtrail-logs.html)Pour plus d’informations sur le fonctionnement de `RequestManagedInstanceRoleToken`, consultez [Validation des machines activées par un système hybride à l'aide d'une empreinte matérielle](ssm-agent-technical-details.md#fingerprint-validation)  | 

Vous pouvez configurer des sélecteurs d’événements avancés pour filtrer les champs `eventName`, `readOnly` et `resources.ARN` afin de ne journaliser que les événements importants pour vous. Pour plus d’informations sur ces champs, consultez [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html) dans la *Référence des API AWS CloudTrail *.

## Événements de gestion de Systems Manager dans CloudTrail
<a name="cloudtrail-management-events"></a>

[Les événements de gestion](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events) fournissent des informations sur les opérations de gestion effectuées sur les ressources de votre Compte AWS. Ils sont également connus sous le nom opérations de plan de contrôle. Par défaut, CloudTrail enregistre les événements de gestion.

Systems Manager enregistre toutes les opérations du plan de contrôle CloudTrail sous forme d'événements de gestion. Les opérations d’API de Systems Manager sont documentées dans la [Référence de l’API AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/APIReference/Welcome.html). Par exemple, les appels aux `StartSession` actions `CreateMaintenanceWindows``PutInventory`,`SendCommand`, et génèrent des entrées dans les fichiers CloudTrail journaux. Pour un exemple de configuration CloudTrail pour surveiller un appel d'API Systems Manager, consultez[Surveillance de l'activité des sessions à l'aide d'Amazon EventBridge (console)](session-manager-auditing.md#session-manager-auditing-eventbridge-events).

## Exemples d’événements Systems Manager
<a name="monitoring-cloudtrail-logs-log-entries-example"></a>

Un événement représente une demande unique provenant de n'importe quelle source et inclut des informations sur l'opération d'API demandée, la date et l'heure de l'opération, les paramètres de la demande, etc. CloudTrail les fichiers journaux ne constituent pas une trace ordonnée des appels d'API publics. Les événements n'apparaissent donc pas dans un ordre spécifique.

**Topics**
+ [Exemples d’événements de gestion](#monitoring-cloudtrail-logs-log-entries-example-mgmt)
+ [Exemples d’événements de données](#monitoring-cloudtrail-logs-log-entries-example-data)

### Exemples d’événements de gestion
<a name="monitoring-cloudtrail-logs-log-entries-example-mgmt"></a>

**Exemple 1 : `DeleteDocument`**  
L'exemple suivant montre un CloudTrail événement qui illustre le `DeleteDocument` fonctionnement d'un document nommé `example-Document` dans la région USA Est (Ohio) (us-east-2).

```
{
    "eventVersion": "1.04",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AKIAI44QH8DHBEXAMPLE:203.0.113.11",
        "arn": "arn:aws:sts::123456789012:assumed-role/example-role/203.0.113.11",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2018-03-06T20:19:16Z"
            },
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AKIAI44QH8DHBEXAMPLE",
                "arn": "arn:aws:iam::123456789012:role/example-role",
                "accountId": "123456789012",
                "userName": "example-role"
            }
        }
    },
    "eventTime": "2018-03-06T20:30:12Z",
    "eventSource": "ssm.amazonaws.com",
    "eventName": "DeleteDocument",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "203.0.113.11",
    "userAgent": "example-user-agent-string",
    "requestParameters": {
        "name": "example-Document"
    },
    "responseElements": null,
    "requestID": "86168559-75e9-11e4-8cf8-75d18EXAMPLE",
    "eventID": "832b82d5-d474-44e8-a51d-093ccEXAMPLE",
    "resources": [
        {
            "ARN": "arn:aws:ssm:us-east-2:123456789012:document/example-Document",
            "accountId": "123456789012"
        }
    ],
    "eventType": "AwsApiCall",
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}
```

**Exemple 2 : `StartConnection`**  
L'exemple suivant montre un CloudTrail événement pour un utilisateur qui démarre une connexion RDP Fleet Manager en utilisant la région USA Est (Ohio) (us-east-2). L'action API sous-jacente est `StartConnection`.

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AKIAI44QH8DHBEXAMPLE",
        "arn": "arn:aws:sts::123456789012:assumed-role/exampleRole",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AKIAI44QH8DHBEXAMPLE",
                "arn": "arn:aws:sts::123456789012:assumed-role/exampleRole",
                "accountId": "123456789012",
                "userName": "exampleRole"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2021-12-13T14:57:05Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2021-12-13T16:50:41Z",
    "eventSource": "ssm-guiconnect.amazonaws.com",
    "eventName": "StartConnection",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "34.230.45.60",
    "userAgent": "example-user-agent-string",
    "requestParameters": {
        "AuthType": "Credentials",
        "Protocol": "RDP",
        "ConnectionType": "SessionManager",
        "InstanceId": "i-02573cafcfEXAMPLE"
    },
    "responseElements": {
        "ConnectionArn": "arn:aws:ssm-guiconnect:us-east-2:123456789012:connection/fcb810cd-241f-4aae-9ee4-02d59EXAMPLE",
        "ConnectionKey": "71f9629f-0f9a-4b35-92f2-2d253EXAMPLE",
        "ClientToken": "49af0f92-d637-4d47-9c54-ea51aEXAMPLE",
        "requestId": "d466710f-2adf-4e87-9464-055b2EXAMPLE"
    },
    "requestID": "d466710f-2adf-4e87-9464-055b2EXAMPLE",
    "eventID": "fc514f57-ba19-4e8b-9079-c2913EXAMPLE",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}
```

### Exemples d’événements de données
<a name="monitoring-cloudtrail-logs-log-entries-example-data"></a>

**Exemple 1 : `CreateControlChannel`**  
L'exemple suivant montre un CloudTrail événement illustrant l'`CreateControlChannel`opération.

```
{
  "eventVersion":"1.08",
  "userIdentity":{
    "type":"AssumedRole",
    "principalId":"AKIAI44QH8DHBEXAMPLE",
    "arn":"arn:aws:sts::123456789012:assumed-role/exampleRole",
    "accountId":"123456789012",
    "accessKeyId":"AKIAI44QH8DHBEXAMPLE",
    "sessionContext":{
      "sessionIssuer":{
        "type":"Role",
        "principalId":"AKIAI44QH8DHBEXAMPLE",
        "arn":"arn:aws:iam::123456789012:role/exampleRole",
        "accountId":"123456789012",
        "userName":"exampleRole"
      },
      "attributes":{
        "creationDate":"2023-05-04T23:14:50Z",
        "mfaAuthenticated":"false"
      }
    }
  },
  "eventTime":"2023-05-04T23:53:55Z",
  "eventSource":"ssm.amazonaws.com",
  "eventName":"CreateControlChannel",
  "awsRegion":"us-east-1",
  "sourceIPAddress":"192.0.2.0",
  "userAgent":"example-agent",
  "requestParameters":{
    "channelId":"44295c1f-49d2-48b6-b218-96823EXAMPLE",
    "messageSchemaVersion":"1.0",
    "requestId":"54993150-0e8f-4142-aa54-3438EXAMPLE",
    "userAgent":"example-agent"
  },
  "responseElements":{
    "messageSchemaVersion":"1.0",
    "tokenValue":"Value hidden due to security reasons.",
    "url":"example-url"
  },
  "requestID":"54993150-0e8f-4142-aa54-3438EXAMPLE",
  "eventID":"a48a28de-7996-4ca1-a3a0-a51fEXAMPLE",
  "readOnly":false,
  "resources":[
    {
      "accountId":"123456789012",
      "type":"AWS::SSMMessages::ControlChannel",
      "ARN":"arn:aws:ssmmessages:us-east-1:123456789012:control-channel/44295c1f-49d2-48b6-b218-96823EXAMPLE"
    }
  ],
  "eventType":"AwsApiCall",
  "managementEvent":false,
  "recipientAccountId":"123456789012",
  "eventCategory":"Data"
}
```

**Exemple 2 : `RequestManagedInstanceRoleToken`**  
L'exemple suivant montre un CloudTrail événement illustrant l'`RequestManagedInstanceRoleToken`opération.

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "123456789012:aws:ec2-instance:i-02854e4bEXAMPLE",
        "arn": "arn:aws:sts::123456789012:assumed-role/aws:ec2-instance/i-02854e4bEXAMPLE",
        "accountId": "123456789012",
        "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "123456789012:aws:ec2-instance",
                "arn": "arn:aws:iam::123456789012:role/aws:ec2-instance",
                "accountId": "123456789012",
                "userName": "aws:ec2-instance"
            },
            "attributes": {
                "creationDate": "2023-08-27T03:34:46Z",
                "mfaAuthenticated": "false"
            },
            "ec2RoleDelivery": "2.0"
        }
    },
    "eventTime": "2023-08-27T03:37:15Z",
    "eventSource": "ssm.amazonaws.com",
    "eventName": "RequestManagedInstanceRoleToken",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "Apache-HttpClient/UNAVAILABLE (Java/1.8.0_362)",
    "requestParameters": {
        "fingerprint": "i-02854e4bf85EXAMPLE"
    },
    "responseElements": null,
    "requestID": "2582cced-455b-4189-9b82-7b48EXAMPLE",
    "eventID": "7f200508-e547-4c27-982d-4da0EXAMLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "123456789012",
            "type": "AWS::SSM::ManagedNode",
            "ARN": "arn:aws:ec2:us-east-1:123456789012:instance/i-02854e4bEXAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": false,
    "recipientAccountId": "123456789012",
    "eventCategory": "Data"
}
```

Pour plus d'informations sur le contenu des CloudTrail enregistrements, voir [le contenu des CloudTrail enregistrements](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html) dans le *Guide de AWS CloudTrail l'utilisateur*.

# Résultat de l'action d'automatisation de la CloudWatch journalisation avec journaux
<a name="automation-action-logging"></a>

L'automatisation, un outil AWS Systems Manager, s'intègre à Amazon CloudWatch Logs. Vous pouvez envoyer la sortie depuis des actions `aws:executeScript` dans vos runbooks vers le groupe de journaux que vous spécifiez. Systems Manager ne crée pas de groupe ou de flux de journaux pour les documents qui n'utilisent pas d'actions `aws:executeScript`. Si le document l'utilise`aws:executeScript`, le résultat envoyé à CloudWatch Logs ne concerne que ces actions. Vous pouvez utiliser le résultat de l'`aws:executeScript`action stocké dans votre groupe de CloudWatch journaux Logs à des fins de débogage et de dépannage. Si vous sélectionnez un groupe de journaux chiffré, la sortie de l'action `aws:executeScript` est elle aussi chiffrée. La journalisation de la sortie d'actions `aws:executeScript` est un paramètre au niveau du compte.

Pour envoyer des résultats d'action aux runbooks détenus par CloudWatch Logs for Amazon, l'utilisateur ou le rôle qui exécute l'automatisation doit disposer des autorisations nécessaires pour les opérations suivantes :
+ `logs:CreateLogGroup`
+ `logs:CreateLogStream`
+ `logs:DescribeLogGroups`
+ `logs:DescribeLogStreams`
+ `logs:PutLogEvents`

Pour les runbooks que vous possédez, les mêmes autorisations doivent être ajoutées au rôle de service IAM (ou AssumeRole) que vous utilisez pour exécuter le runbook.

**Pour envoyer le résultat de l'action à CloudWatch Logs (console)**

1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Dans le panneau de navigation de gauche, sélectionnez **Automation** (Automatisation).

1. Sélectionnez l'onglet **Préférences**, puis **Modifier**.

1. Cochez la case située à côté de **Envoyer la sortie aux CloudWatch journaux**.

1. (Recommandé) Cochez la case en regard de **Chiffrer des données de journaux**. Une fois cette option activée, les données de journaux sont chiffrées à l'aide du chiffrement côté serveur des clés spécifiées pour le groupe de journaux. Si vous ne souhaitez pas chiffrer les données du journal envoyées à CloudWatch Logs, décochez la case. Décochez la case si le chiffrement n'est pas autorisé sur le groupe de journaux.

1. Pour le **groupe de CloudWatch journaux** de journaux, pour spécifier le groupe de CloudWatch journaux de journaux existant dans votre répertoire Compte AWS auquel vous souhaitez envoyer un résultat d'action, sélectionnez l'une des options suivantes :
   + **Send output to the default log group (Envoyer la sortie au groupe de journaux par défaut)** : si le groupe de journaux par défaut n'existe pas (`/aws/ssm/automation/executeScript`), Automation le crée pour vous.
   + **Choose from a list of log groups (Choisir un groupe de journaux dans la liste)** : utilisez un groupe de journaux qui a déjà été créé dans votre compte pour stocker les sorties d'action.
   + **Enter a log group name (Saisir un nom de groupe de journaux dans la zone de texte)** : saisissez le nom d'un groupe de journaux qui a déjà été créé dans votre compte pour stocker les sorties d'action.

1. Choisissez **Enregistrer**.

**Pour envoyer le résultat de l'action à CloudWatch Logs (ligne de commande)**

1. Ouvrez votre outil de ligne de commande préféré et exécutez la commande suivante pour mettre à jour la destination de sortie de l'action.

------
#### [ Linux & macOS ]

   ```
   aws ssm update-service-setting \
       --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination \
       --setting-value CloudWatch
   ```

------
#### [ Windows ]

   ```
   aws ssm update-service-setting ^
       --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination ^
       --setting-value CloudWatch
   ```

------
#### [ PowerShell ]

   ```
   Update-SSMServiceSetting `
       -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination" `
       -SettingValue "CloudWatch"
   ```

------

   Il n'y a pas de sortie si la commande réussit.

1. Exécutez la commande suivante pour spécifier le groupe de journaux auquel vous voulez envoyer une sortie d'action.

------
#### [ Linux & macOS ]

   ```
   aws ssm update-service-setting \
       --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-group-name \
       --setting-value my-log-group
   ```

------
#### [ Windows ]

   ```
   aws ssm update-service-setting ^
       --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-group-name ^
       --setting-value my-log-group
   ```

------
#### [ PowerShell ]

   ```
   Update-SSMServiceSetting `
       -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-group-name" `
       -SettingValue "my-log-group"
   ```

------

   Il n'y a pas de sortie si la commande réussit.

1. Exécutez la commande suivante pour afficher les paramètres de service actuels pour les préférences de journalisation des actions d'automatisation dans les versions actuelles Compte AWS et Région AWS.

------
#### [ Linux & macOS ]

   ```
   aws ssm get-service-setting \
       --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination
   ```

------
#### [ Windows ]

   ```
   aws ssm get-service-setting ^
       --setting-id arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination
   ```

------
#### [ PowerShell ]

   ```
   Get-SSMServiceSetting `
       -SettingId "arn:aws:ssm:region:account-id:servicesetting/ssm/automation/customer-script-log-destination"
   ```

------

   La commande renvoie des informations telles que les suivantes.

   ```
   {
       "ServiceSetting": {
           "Status": "Customized",
           "LastModifiedDate": 1613758617.036,
           "SettingId": "/ssm/automation/customer-script-log-destination",
           "LastModifiedUser": "arn:aws:sts::123456789012:assumed-role/Administrator/User_1",
           "SettingValue": "CloudWatch",
           "ARN": "arn:aws:ssm:us-east-2:123456789012:servicesetting/ssm/automation/customer-script-log-destination"
       }
   }
   ```

# Configuration d'Amazon CloudWatch Logs pour Run Command
<a name="sysman-rc-setting-up-cwlogs"></a>

Lorsque vous envoyez une commande à l'aide Run Command d'un outil AWS Systems Manager, vous pouvez spécifier où vous souhaitez envoyer la sortie de la commande. Par défaut, Systems Manager renvoie uniquement les 24 000 premiers caractères de la sortie de commande. Si vous souhaitez afficher les détails de la sortie de la commande, vous pouvez spécifier un compartiment Amazon Simple Storage Service (Amazon S3). Vous pouvez également spécifier Amazon CloudWatch Logs. Si vous spécifiez CloudWatch Logs, envoie Run Command régulièrement toutes les sorties de commande et tous les journaux d'erreurs à CloudWatch Logs. Vous pouvez surveiller les journaux de sortie quasiment en temps réel, rechercher des phrases, valeurs ou modèles spécifiques, et créer des alarmes sur la base de la recherche. 

Si vous avez configuré votre nœud géré pour utiliser les politiques `AmazonSSMManagedInstanceCore` gérées Gestion des identités et des accès AWS (IAM)`CloudWatchAgentServerPolicy`, votre nœud ne nécessite aucune configuration supplémentaire pour envoyer des résultats à CloudWatch Logs. Choisissez cette option si vous envoyez des commandes depuis la console, ou ajoutez la `cloud-watch-output-config` section et le `CloudWatchOutputEnabled` paramètre si vous utilisez le AWS Command Line Interface (AWS CLI) ou une opération d'API. AWS Tools for Windows PowerShell La section `cloud-watch-output-config` et le paramètre `CloudWatchOutputEnabled` sont décrits plus en détail ultérieurement dans cette rubrique.

Pour obtenir des informations sur l’ajout de politiques à un profil d’instance pour des instances EC2, consultez la section [Configurer des autorisations d’instance requises pour Systems Manager](setup-instance-permissions.md). Pour plus d’informations sur l’ajout de politiques à un rôle de service pour les serveurs sur site et les machines virtuelles que vous prévoyez d’utiliser en tant que nœuds gérés, consultez la section [Créer le rôle de service IAM requis pour Systems Manager dans les environnements hybrides et multicloud](hybrid-multicloud-service-role.md).

Si vous utilisez une politique personnalisée sur vos nœuds, mettez-la à jour pour chaque nœud afin de permettre à Systems Manager d'envoyer des résultats et des CloudWatch journaux à Logs. Ajoutez les objets de politique suivants à votre politique personnalisée. Pour de plus amples informations sur la mise à jour d'une politique IAM, consultez [Modification de politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) dans le *Guide de l'utilisateur IAM*.

```
{
    "Effect": "Allow",
    "Action": "logs:DescribeLogGroups",
    "Resource": "*"
},
{
   "Effect":"Allow",
   "Action":[
      "logs:CreateLogGroup",
      "logs:CreateLogStream",
      "logs:DescribeLogStreams",
      "logs:PutLogEvents"
   ],
   "Resource":"arn:aws:logs:*:*:log-group:/aws/ssm/*"
},
```

## Spécification CloudWatch des journaux lorsque vous envoyez des commandes
<a name="sysman-rc-setting-up-cwlogs-send"></a>

Pour spécifier CloudWatch les journaux comme sortie lorsque vous envoyez une commande depuis le AWS Management Console, choisissez **CloudWatch Sortie** dans la section **Options de sortie**. Vous pouvez éventuellement spécifier le nom du groupe CloudWatch Logs dans lequel vous souhaitez envoyer la sortie de commande. Si vous ne spécifiez pas de nom de groupe, Systems Manager crée automatiquement un groupe de journaux pour vous. Le groupe de journaux est nommé selon le format : `/aws/ssm/SystemsManagerDocumentName`.

Si vous exécutez des commandes à l'aide du AWS CLI, spécifiez la `cloud-watch-output-config` section dans votre commande. Cette section vous permet de spécifier le paramètre `CloudWatchOutputEnabled`, et éventuellement le paramètre `CloudWatchLogGroupName`. Voici un exemple.

------
#### [ Linux & macOS ]

```
aws ssm send-command \
    --instance-ids "instance ID" \
    --document-name "AWS-RunShellScript" \
    --parameters "commands=echo helloWorld" \
    --cloud-watch-output-config "CloudWatchOutputEnabled=true,CloudWatchLogGroupName=log group name"
```

------
#### [ Windows ]

```
aws ssm send-command ^
    --document-name "AWS-RunPowerShellScript" ^
    --parameters commands=["echo helloWorld"] ^
    --targets "Key=instanceids,Values=an instance ID” ^
    --cloud-watch-output-config '{"CloudWatchLogGroupName":"log group name","CloudWatchOutputEnabled":true}'
```

------

## Affichage de la sortie des commandes dans CloudWatch les journaux
<a name="sysman-rc-setting-up-cwlogs-view"></a>

Dès que la commande commence à s'exécuter, Systems Manager envoie une sortie à CloudWatch Logs en temps quasi réel. La sortie dans CloudWatch Logs utilise le format suivant :

`CommandID/InstanceID/PluginID/stdout` 

`CommandID/InstanceID/PluginID/stderr`

Le résultat de l'exécution est chargé toutes les 30 secondes ou lorsque le tampon dépasse 200 Ko, selon la situation qui survient en premier.

**Note**  
Les flux de journaux sont uniquement créés lorsque les données de sortie sont disponibles. Par exemple, s'il n'y a pas de données d'erreur pour une exécution, le flux stderr n'est pas créé.

Voici un exemple de la sortie de commande telle qu'elle est affichée dans CloudWatch Logs.

```
Group - /aws/ssm/AWS-RunShellScript
Streams – 
1234-567-8910/i-abcd-efg-hijk/AWS-RunPowerShellScript/stdout
24/1234-567-8910/i-abcd-efg-hijk/AWS-RunPowerShellScript/stderr
```

# Surveillance des événements de Systems Manager avec Amazon EventBridge
<a name="monitoring-eventbridge-events"></a>

Amazon EventBridge est un service de bus d'événements sans serveur qui vous permet de connecter vos applications à des données provenant de diverses sources. EventBridge fournit un flux de données en temps réel à partir de vos propres applications, applications software-as-a-service (SaaS), Services AWS et achemine ces données vers des cibles telles que AWS Lambda. Vous pouvez configurer des règles de routage pour déterminer où envoyer vos données afin de créer des architectures d'applications qui réagissent en temps réel à toutes vos sources de données. EventBridge vous permet de créer des architectures pilotées par des événements, qui sont faiblement couplées et distribuées.

EventBridge s'appelait auparavant Amazon CloudWatch Events. EventBridge inclut de nouvelles fonctionnalités qui vous permettent de recevoir des événements de la part de partenaires SaaS et de vos propres applications. Les utilisateurs d' CloudWatch événements existants peuvent accéder à leur bus, à leurs règles et à leurs événements par défaut existants dans la nouvelle EventBridge console et dans la console CloudWatch des événements. EventBridge utilise la même API d' CloudWatch événements, de sorte que l'utilisation de l'API d' CloudWatch événements existante reste la même. 

EventBridge vous pouvez ajouter des dizaines d'événements Services AWS à vos règles et des cibles de plus de 20 Services AWS.

EventBridge fournit un support à la fois pour les AWS Systems Manager événements et les cibles de Systems Manager. 

**Types d'événement Systems Manager pris en charge**  
Parmi les nombreux types d'événements que Systems Manager EventBridge peut détecter, on peut citer : 
+ Une mise à jour du statut des demandes d'accès aux just-in-time nœuds pour les approbations manuelles.
+ Une demande d'accès au just-in-time nœud a échoué.
+ Une fenêtre de maintenance désactivée.
+ Un flux de travail Automation terminé avec succès. Automation est un outil d’ AWS Systems Manager.
+ Un nœud géré non conforme aux correctifs.
+ Une valeur de paramètre mise à jour.

EventBridge prend en charge les événements à partir AWS Systems Manager des outils suivants :
+ Just-in-time accès aux nœuds (les événements sont émis dans la mesure du possible.)
+ Automatisation (Les événements sont générés sur la base du meilleur effort.)
+ Change Calendar (Les événements sont générés sur la base du meilleur effort.)
+ Conformité d’
+ Inventory (Les événements sont générés sur la base du meilleur effort.)
+ Maintenance Windows (Les événements sont générés sur la base du meilleur effort.)
+ Parameter Store (Les événements sont générés sur la base du meilleur effort.)
+ Run Command (Les événements sont générés sur la base du meilleur effort.)
+ State Manager (Les événements sont générés sur la base du meilleur effort.)

Pour des détails complets sur les types d'événements Systems Manager pris en charge, veuillez consulter [Référence : modèles et types d' EventBridge événements Amazon pour Systems Manager](reference-eventbridge-events.md) et [Exemples EventBridge d'événements Amazon pour Systems Manager](monitoring-systems-manager-event-examples.md).

**Types de cibles Systems Manager prises en charge**  
EventBridge prend en charge les trois outils Systems Manager suivants en tant que cibles d'une règle d'événement :
+ Exécution d'un flux de travail Automation
+ Exécution d'un document de commande Run Command (Les événements sont générés dans la mesure du possible.)
+ Création d'un OpsItem OpsCenter

Pour obtenir des suggestions sur l'utilisation de ces cibles, veuillez consulter [Exemples de scénarios : les cibles de Systems Manager dans les EventBridge règles d'Amazon](monitoring-systems-manager-targets.md).

Pour plus d'informations sur la façon de démarrer avec Amazon EventBridge et de configurer les règles, consultez [Getting started with Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html) dans le *guide de EventBridge l'utilisateur Amazon*. Pour obtenir des informations complètes sur l'utilisation EventBridge, consultez le [https://docs.aws.amazon.com/eventbridge/latest/userguide/](https://docs.aws.amazon.com/eventbridge/latest/userguide/).

**Topics**
+ [Configuration EventBridge pour les événements de Systems Manager](monitoring-systems-manager-events.md)
+ [Exemples EventBridge d'événements Amazon pour Systems Manager](monitoring-systems-manager-event-examples.md)
+ [Exemples de scénarios : les cibles de Systems Manager dans les EventBridge règles d'Amazon](monitoring-systems-manager-targets.md)

# Configuration EventBridge pour les événements de Systems Manager
<a name="monitoring-systems-manager-events"></a>

Vous pouvez utiliser Amazon EventBridge pour réaliser un événement cible lorsque des changements de AWS Systems Manager statut pris en charge, des changements d'état ou d'autres conditions se produisent. Vous pouvez créer une règle qui s'exécute à chaque changement d'état ou de statut, ou lorsqu'un ou plusieurs statuts spécifiques sont activés. 

La procédure suivante décrit les étapes générales de création d'une EventBridge règle qui s'active lorsqu'un événement spécifique est émis par Systems Manager. Pour obtenir la liste des procédures qui traitent des scénarios spécifiques dans ce guide de l'utilisateur, veuillez consulter **Plus d'informations** à la fin de cette rubrique.

**Note**  
Lorsqu'un service de votre site Compte AWS émet un événement, celui-ci est toujours redirigé vers le bus d'événements par défaut de votre compte. Pour écrire une règle qui se déclenche sur des événements provenant de Services AWS de votre compte, vous devez l'associer au bus d'événement par défaut. Vous pouvez créer une règle sur un bus d'événements personnalisé qui recherche des événements Services AWS, mais cette règle ne s'applique que lorsque vous recevez un tel événement d'un autre compte par le biais de la diffusion d'événements entre comptes. Pour plus d'informations, consultez la section [Envoyer et recevoir des EventBridge événements Amazon entre les deux Comptes AWS](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-cross-account.html) dans le *guide de EventBridge l'utilisateur Amazon*.

**Pour configurer EventBridge les événements de Systems Manager**

1. Ouvrez la EventBridge console Amazon à l'adresse [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).

1. Dans le panneau de navigation, choisissez **Rules**.

1. Choisissez **Créer une règle**.

1. Saisissez un nom et une description pour la règle.

   Une règle ne peut pas porter le même nom qu'une autre règle du même bus Région AWS d'événements ou du même bus d'événements.

1. Pour **Event bus** (Bus d'événement), sélectionnez le bus d'événement que vous souhaitez associer à cette règle. Si vous souhaitez que cette règle réponde aux événements correspondants qui proviennent des vôtres Compte AWS, sélectionnez **par défaut**. Lorsqu'un événement Service AWS de votre compte est émis, il est toujours redirigé vers le bus d'événements par défaut de votre compte.

1. Pour **Type de règle**, choisissez **Règle avec un modèle d’événement**.

1. Choisissez **Suivant**.

1. Dans **Source de l'événement**, choisissez **AWS des événements ou des événements EventBridge partenaires**.

1. Dans la section **Event pattern** (Modèle d'événement), choisissez **Event pattern form** (Modèle d'événement).

1. Pour **Event source** (Origine de l'événement), choisissez **AWS services** (Services ).

1. Pour le **AWS service** choisissez **Systems Manager**.

1. Pour **Event type (Type d'événement)**, effectuez l'une des actions suivantes : 
   + Sélectionnez **All Events (Tous les événements)**.

     Si vous sélectionnez **All Events (Tous les événements)**, tous les événements émis par Systems Manager correspondent à la règle. Sachez que cette option peut entraîner de nombreuses actions de cible d'événement.
   + Choisissez le type d'événement Systems Manager à utiliser pour cette règle. EventBridge prend en charge les événements à partir AWS Systems Manager des outils suivants : 
     +  Automatisation
     + Change Calendar
     + Conformité d’
     + Inventory
     + Maintenance Windows
     + Parameter Store
     + Run Command
     + State Manager
**Note**  
Pour les actions de Systems Manager qui ne sont pas prises en charge par EventBridge, vous pouvez choisir un appel d' AWS API CloudTrail pour créer une règle d'événement basée sur un appel d'API, qui est enregistré par CloudTrail. Pour obtenir un exemple, consultez [Surveillance de l'activité des sessions à l'aide d'Amazon EventBridge (console)](session-manager-auditing.md#session-manager-auditing-eventbridge-events). 

1. (Facultatif) Pour rendre la règle plus précise, ajoutez des valeurs de filtre. Par exemple, si vous avez choisi la région **State Manager** et souhaitez limiter la règle à l'état d'une instance gérée unique ciblée par une association, pour **Specific type(s)** (Type(s) spécifique(s)), choisissez **EC2 State Manager Instance Association State Change** (Changements de l'état d'association d'instance dans EC2 State Manager).

   Pour plus d'informations sur les types de détails pris en charge, consultez [Référence : modèles et types d' EventBridge événements Amazon pour Systems Manager](reference-eventbridge-events.md).

   Certains types de détails prennent en charge d'autres options comme le statut. Les options disponibles dépendent de l’outil que vous avez sélectionné.

1. Choisissez **Suivant**.

1. Pour **Types de cibles**, choisissez **service AWS **.

1. Pour **Sélectionner une cible**, choisissez une cible telle qu'une rubrique ou AWS Lambda une fonction Amazon SNS. La cible est déclenchée lorsqu'un événement correspond au modèle d'événement défini dans la règle est reçu.

1. Pour de nombreux types de cibles, EventBridge nécessite des autorisations pour envoyer des événements à la cible. Dans ces cas, EventBridge vous pouvez créer le rôle Gestion des identités et des accès AWS (IAM) nécessaire à l'exécution de votre règle : 
   + Pour créer un rôle IAM automatiquement, sélectionnez **Create a new role for this specific resource**.
   + Pour utiliser un rôle IAM que vous avez créé auparavant, sélectionnez **Use existing role (Utiliser un rôle existant)**.

1. (Facultatif) Sélectionnez **Add another target** (Ajouter une autre cible) pour ajouter une nouvelle cible pour cette règle.

1. Choisissez **Suivant**.

1. (Facultatif) Saisissez une ou plusieurs balises pour la règle. Pour plus d'informations, consultez les [ EventBridge balises Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html) dans le *guide de EventBridge l'utilisateur Amazon*.

1. Choisissez **Suivant**.

1. Consultez les détails de la règle et choisissez **Create rule** (Créer une règle).

**Plus d'informations**  
+ [Création d'un EventBridge événement utilisant un runbook (console)](running-automations-event-bridge.md#automation-cwe-target-console)
+ [Transmission de données à Automation à l'aide de transformateurs en entrée](automation-tutorial-eventbridge-input-transformers.md)
+ [Résolution des problèmes de conformité avec EventBridge](compliance-fixing.md)
+ [Afficher les actions de suppression de l'inventaire dans EventBridge](inventory-custom.md#delete-custom-inventory-cwe)
+ [Configurer EventBridge les règles pour créer OpsItems](OpsCenter-automatically-create-OpsItems-2.md)
+ [Configuration des EventBridge règles pour les paramètres et des politiques de paramètres](sysman-paramstore-cwe.md#cwe-parameter-changes)

# Exemples EventBridge d'événements Amazon pour Systems Manager
<a name="monitoring-systems-manager-event-examples"></a>

Voici des exemples, au format JSON, d' EventBridge événements pris en charge pour AWS Systems Manager. 

**Topics**
+ [AWS Systems Manager Événements d'automatisation](#SSM-Automation-event-types)
+ [AWS Systems ManagerÉvénementsChange Calendar](#SSM-Change-Management-event-types)
+ [AWS Systems ManagerÉvénementsChange Manager](#SSM-Change-Manager-event-types)
+ [AWS Systems Manager Événements de conformité](#SSM-Configuration-Compliance-event-types)
+ [AWS Systems ManagerÉvénementsMaintenance Windows](#EC2_maintenance_windows_event_types)
+ [AWS Systems ManagerÉvénementsParameter Store](#SSM-Parameter-Store-event-types)
+ [AWS Systems ManagerÉvénementsOpsCenter](#SSM-OpsCenter-event-types)
+ [AWS Systems ManagerÉvénementsRun Command](#SSM-Run-Command-event-types)
+ [AWS Systems ManagerÉvénementsState Manager](#SSM-State-Manager-event-types)

## AWS Systems Manager Événements d'automatisation
<a name="SSM-Automation-event-types"></a>

**Notification de changement de statut d'une étape d'automatisation**

```
{
  "version": "0",
  "id": "eeca120b-a321-433e-9635-dab369006a6b",
  "detail-type": "EC2 Automation Step Status-change Notification",
  "source": "aws.ssm",
  "account": "123456789012",
  "time": "2024-11-29T19:43:35Z",
  "region": "us-east-1",
  "resources": ["arn:aws:ssm:us-east-2:123456789012:automation-execution/333ba70b-2333-48db-b17e-a5e69c6f4d1c", 
    "arn:aws:ssm:us-east-2:123456789012:automation-definition/runcommand1:1"],
  "detail": {
    "ExecutionId": "333ba70b-2333-48db-b17e-a5e69c6f4d1c",
    "Definition": "runcommand1",
    "DefinitionVersion": 1.0,
    "Status": "Success",
    "EndTime": "Nov 29, 2024 7:43:25 PM",
    "StartTime": "Nov 29, 2024 7:43:23 PM",
    "Time": 2630.0,
    "StepName": "runFixedCmds",
    "Action": "aws:runCommand"
  }
}
```

**Notification de changement de statut d'exécution de l'automatisation**

```
{
  "version": "0",
  "id": "d290ece9-1088-4383-9df6-cd5b4ac42b99",
  "detail-type": "EC2 Automation Execution Status-change Notification",
  "source": "aws.ssm",
  "account": "123456789012",
  "time": "2024-11-29T19:43:35Z",
  "region": "us-east-2",
  "resources": ["arn:aws:ssm:us-east-2:123456789012:automation-execution/333ba70b-2333-48db-b17e-a5e69c6f4d1c", 
    "arn:aws:ssm:us-east-2:123456789012:automation-definition/runcommand1:1"],
  "detail": {
    "ExecutionId": "333ba70b-2333-48db-b17e-a5e69c6f4d1c",
    "Definition": "runcommand1",
    "DefinitionVersion": 1.0,
    "Status": "Success",
    "StartTime": "Nov 29, 2024 7:43:20 PM",
    "EndTime": "Nov 29, 2024 7:43:26 PM",
    "Time": 5753.0,
    "ExecutedBy": "arn:aws:iam::123456789012:user/userName"
  }
}
```

## AWS Systems ManagerÉvénementsChange Calendar
<a name="SSM-Change-Management-event-types"></a>

Utilisez les informations de cette rubrique pour planifier et comprendre le comportement des EventBridge événements pour AWS Systems ManagerChange Calendar.

**Note**  
Les modifications d'état des calendriers partagés depuis d'autres utilisateurs ne Comptes AWS sont actuellement pas prises en charge.

### Change Calendarintégration avec Amazon EventBridge
<a name="change-calendar-eventbridge-integration"></a>

AWS Systems Manager Change Calendars'intègre EventBridge à Amazon pour vous informer des modifications de l'état du calendrier. Tenez compte des comportements suivants liés à l’architecture de planification sous-jacente :

Planification et fiabilité des événements  
+ EventBridge fournit des notifications au mieux avec une tolérance de planification allant jusqu'à 15 minutes.
+ Les événements de changement d’état reflètent les transitions d’état globales du calendrier, et non les événements individuels du calendrier.
+ Lorsque plusieurs événements du calendrier se produisent simultanément, EventBridge génère un seul événement par changement d'état réel du calendrier.
+ EventBridge déclenche des événements uniquement lorsque l'état général du calendrier passe (par exemple, de FERMÉ à OUVERT), et non pour des événements individuels du calendrier qui n'entraînent pas de changement d'état.
+ Les événements consultatifs qui ne modifient pas l'état du calendrier ne déclenchent pas de EventBridge notifications.

Modifications des événements et considérations de planification  
+ Si vous modifiez les événements du calendrier dans les 15 minutes suivant leur heure de début ou de fin prévue, vous EventBridge risquez de générer des notifications dupliquées ou de manquer des notifications.
+ Ce comportement est dû au fait que le système de planification ne dispose peut-être pas de suffisamment de temps pour mettre à jour ou annuler correctement les notifications précédemment planifiées.
+ Pour les événements récurrents, ce comportement n’affecte généralement que la première occurrence après la modification.

Événements adjacents et superposés  
+ Lorsque des événements du calendrier sont planifiés à moins de 5 minutes d’intervalle, des événements de transition d’état peuvent se produire ou non, en fonction du changement d’état réel.
+ La création d'événements qui se chevauchent dans certaines commandes peut générer des EventBridge événements supplémentaires même si aucun changement d'état réel ne se produit.
+ Pour garantir un comportement prévisible, évitez de créer ou modifier des événements de calendrier à proximité de leur date d’exécution.

Bonnes pratiques  
+ Concevez vos EventBridge règles et l'automatisation en aval pour gérer les éventuels événements dupliqués.
+ Implémentez l’idempotence dans vos flux de travail automatisés afin d’éviter les problèmes de notifications dupliquées.
+ Prévoyez un délai suffisant (au moins 15 minutes) lorsque vous créez ou modifiez des événements du calendrier.
+ Testez soigneusement vos EventBridge intégrations avec vos modèles d'événements de calendrier spécifiques.

**Calendrier OPEN (OUVERT)**

```
{
    "version": "0",
    "id": "47a3f03a-f30d-1011-ac9a-du3bdEXAMPLE",
    "detail-type": "Calendar State Change",
    "source": "aws.ssm",
    "account": "123456789012",
    "time": "2024-09-19T18:00:07Z",
    "region": "us-east-2",
    "resources": [
        "arn:aws:ssm:us-east-2:123456789012:document/MyCalendar"
    ],
    "detail": {
        "state": "OPEN",
        "atTime": "2024-09-19T18:00:07Z",
        "nextTransitionTime": "2024-10-11T18:00:07Z"
    }
}
```

**Calendrier CLOSED (FERMÉ)**

```
{
    "version": "0",
    "id": "f30df03a-1011-ac9a-47a3-f761eEXAMPLE",
    "detail-type": "Calendar State Change",
    "source": "aws.ssm",
    "account": "123456789012",
    "time": "2024-09-17T21:40:02Z",
    "region": "us-east-2",
    "resources": [
        "arn:aws:ssm:us-east-2:123456789012:document/MyCalendar"
    ],
    "detail": {
        "state": "CLOSED",
        "atTime": "2024-08-17T21:40:00Z",
        "nextTransitionTime": "2024-09-19T18:00:07Z"
    }
}
```

## AWS Systems ManagerÉvénementsChange Manager
<a name="SSM-Change-Manager-event-types"></a>

**Notification de mise à jour du statut d’une demande de modification : exemple 1**

```
{
  "version": "0",
  "id": "feab80c1-a8ff-c721-b8b1-96ce70939696",
  "detail-type": "Change Request Status Update",
  "source": "aws.ssm",
  "account": "123456789012",
  "time": "2024-10-24T10:51:52Z",
  "region": "us-east-1",
  "resources": [
    "arn:aws:ssm:us-west-2:123456789012:opsitem/oi-12345abcdef",
    "arn:aws:ssm:us-west-2:123456789012:document/MyRunbook1"
  ],
  "detail": {
    "change-request-id": "d0585556-80f6-4522-8dad-dada6d45b67d",
    "change-request-title": "A change request title",
    "ops-item-id": "oi-12345abcdef",
    "ops-item-created-by": "arn:aws:iam::123456789012:user/JohnDoe",
    "ops-item-created-time": "2024-10-24T10:50:33.180334Z",
    "ops-item-modified-by": "arn:aws:iam::123456789012:user/JohnDoe",
    "ops-item-modified-time": "2024-10-24T10:50:33.180340Z",
    "ops-item-status": "InProgress",
    "change-template-document-name": "MyChangeTemplate",
    "runbook-document-arn": "arn:aws:ssm:us-west-2:123456789012:document/MyRunbook1",
    "runbook-document-version": "1",
    "auto-approve": true,
    "approvers": [
      "arn:aws:iam::123456789012:user/JaneDoe"
    ]
  }
}
```

**Notification de mise à jour du statut d’une demande de modification : exemple 2**

```
{
  "version": "0",
  "id": "25ce6b03-2e4e-1a2b-2a8f-6c9de8d278d2",
  "detail-type": "Change Request Status Update",
  "source": "aws.ssm",
  "account": "123456789012",
  "time": "2024-10-24T10:51:52Z",
  "region": "us-east-1",
  "resources": [
    "arn:aws:ssm:us-west-2:123456789012:opsitem/oi-abcdef12345",
    "arn:aws:ssm:us-west-2:123456789012:document/MyRunbook1"
  ],
  "detail": {
    "change-request-id": "d0585556-80f6-4522-8dad-dada6d45b67d",
    "change-request-title": "A change request title",
    "ops-item-id": "oi-abcdef12345",
    "ops-item-created-by": "arn:aws:iam::123456789012:user/JohnDoe",
    "ops-item-created-time": "2024-10-24T10:50:33.180334Z",
    "ops-item-modified-by": "arn:aws:iam::123456789012:user/JohnDoe",
    "ops-item-modified-time": "2024-10-24T10:50:33.997163Z",
    "ops-item-status": "Rejected",
    "change-template-document-name": "MyChangeTemplate",
    "runbook-document-arn": "arn:aws:ssm:us-west-2:123456789012:document/MyRunbook1",
    "runbook-document-version": "1",
    "auto-approve": true,
    "approvers": [
      "arn:aws:iam::123456789012:user/JaneDoe"
    ]
  }
}
```

## AWS Systems Manager Événements de conformité
<a name="SSM-Configuration-Compliance-event-types"></a>

Vous trouverez ci-dessous des exemples d'événements relatifs à la AWS Systems Manager conformité.

**Conforme à l'association**

```
{
  "version": "0",
  "id": "01234567-0123-0123-0123-012345678901",
  "detail-type": "Configuration Compliance State Change",
  "source": "aws.ssm",
  "account": "123456789012",
  "time": "2024-07-17T19:03:26Z",
  "region": "us-east-2",
  "resources": [
    "arn:aws:ssm:us-east-2:123456789012:managed-instance/i-01234567890abcdef"
  ],
  "detail": {
    "last-runtime": "2024-01-01T10:10:10Z",
    "compliance-status": "compliant",
    "resource-type": "managed-instance",
    "resource-id": "i-01234567890abcdef",
    "compliance-type": "Association"
  }
}
```

**Non conforme à l'association**

```
{
  "version": "0",
  "id": "01234567-0123-0123-0123-012345678901",
  "detail-type": "Configuration Compliance State Change",
  "source": "aws.ssm",
  "account": "123456789012",
  "time": "2024-07-17T19:02:31Z",
  "region": "us-east-2",
  "resources": [
    "arn:aws:ssm:us-east-2:123456789012:managed-instance/i-01234567890abcdef"
  ],
  "detail": {
    "last-runtime": "2024-01-01T10:10:10Z",
    "compliance-status": "non_compliant",
    "resource-type": "managed-instance",
    "resource-id": "i-01234567890abcdef",
    "compliance-type": "Association"
  }
}
```

**Conforme aux correctifs**

```
{
  "version": "0",
  "id": "01234567-0123-0123-0123-012345678901",
  "detail-type": "Configuration Compliance State Change",
  "source": "aws.123456789012",
  "account": "123456789012",
  "time": "2024-07-17T19:03:26Z",
  "region": "us-east-2",
  "resources": [
    "arn:aws:ssm:us-east-2:123456789012:managed-instance/i-01234567890abcdef"
  ],
  "detail": {
    "resource-type": "managed-instance",
    "resource-id": "i-01234567890abcdef",
    "compliance-status": "compliant",
    "compliance-type": "Patch",
    "patch-baseline-id": "PB789",
    "severity": "critical"
  }
}
```

**Non conforme aux correctifs**

```
{
  "version": "0",
  "id": "01234567-0123-0123-0123-012345678901",
  "detail-type": "Configuration Compliance State Change",
  "source": "aws.ssm",
  "account": "123456789012",
  "time": "2024-07-17T19:02:31Z",
  "region": "us-east-2",
  "resources": [
    "arn:aws:ssm:us-east-2:123456789012:managed-instance/i-01234567890abcdef"
  ],
  "detail": {
    "resource-type": "managed-instance",
    "resource-id": "i-01234567890abcdef",
    "compliance-status": "non_compliant",
    "compliance-type": "Patch",
    "patch-baseline-id": "PB789",
    "severity": "critical"
  }
}
```

## AWS Systems ManagerÉvénementsMaintenance Windows
<a name="EC2_maintenance_windows_event_types"></a>

Vous trouverez ci-dessous des exemples d'événements pour Systems Manager Maintenance Windows.

**Enregistrer une cible**

Les valeurs valides comprennent `REGISTERED` et `DEREGISTERED`.

```
{
   "version":"0",
   "id":"01234567-0123-0123-0123-0123456789ab",
   "detail-type":"Maintenance Window Target Registration Notification",
   "source":"aws.ssm",
   "account":"123456789012",
   "time":"2024-11-16T00:58:37Z",
   "region":"us-east-2",
   "resources":[
      "arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-0ed7251d3fcf6e0c2",
      "arn:aws:ssm:us-east-2:123456789012:windowtarget/e7265f13-3cc5-4f2f-97a9-7d3ca86c32a6"
   ],
   "detail":{
      "window-target-id":"e7265f13-3cc5-4f2f-97a9-7d3ca86c32a6",
      "window-id":"mw-0ed7251d3fcf6e0c2",
      "status":"REGISTERED"
   }
}
```

**Type d'exécution de fenêtre**

Les valeurs de statut valides sont notamment les suivantes :
+ `CANCELLED`
+ `CANCELLING`
+ `FAILED`
+ `IN_PROGRESS`
+ `PENDING`
+ `SKIPPED_OVERLAPPING`
+ `SUCCESS TIMED_OUT`

```
{
   "version":"0",
   "id":"01234567-0123-0123-0123-0123456789ab",
   "detail-type":"Maintenance Window Execution State-change Notification",
   "source":"aws.ssm",
   "account":"123456789012",
   "time":"2025-06-02T14:52:18Z",
   "region":"us-east-2",
   "resources":[
      "arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-0c50858d01EXAMPLE"
   ],
   "detail":{
      "start-time":"2025-06-02T14:48:28.039273Z",
      "end-time":"2025-06-02T14:52:18.083773Z",
      "window-id":"mw-0ed7251d3fcf6e0c2",
      "window-execution-id":"14bea65d-5ccc-462d-a2f3-e99c8EXAMPLE",
      "status":"SUCCESS"
   }
}
```

**Type d'exécution de tâche**

Les valeurs valides comprennent `IN_PROGRESS`, `SUCCESS`, `FAILED` et `TIMED_OUT`.

```
{
   "version":"0",
   "id":"01234567-0123-0123-0123-0123456789ab",
   "detail-type":"Maintenance Window Task Execution State-change Notification",
   "source":"aws.ssm",
   "account":"123456789012",
   "time":"2025-06-02T14:52:18Z",
   "region":"us-east-2",
   "resources":[
      "arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-0c50858d01EXAMPLE"
   ],
   "detail":{
      "start-time":"2025-06-02T14:48:28.039273Z",
      "task-execution-id":"6417e808-7f35-4d1a-843f-123456789012",
      "end-time":"2025-06-02T14:52:18.083773Z",
      "window-id":"mw-0ed7251d3fcf6e0c2",
      "window-execution-id":"14bea65d-5ccc-462d-a2f3-e99c8EXAMPLE",
      "status":"SUCCESS"
   }
}
```

**Cible de tâche traitée**

Les valeurs valides comprennent `IN_PROGRESS`, `SUCCESS`, `FAILED` et `TIMED_OUT`.

```
{
   "version":"0",
   "id":"01234567-0123-0123-0123-0123456789ab",
   "detail-type":"Maintenance Window Task Target Invocation State-change Notification",
   "source":"aws.ssm",
   "account":"123456789012",
   "time":"2025-06-02T14:52:18Z",
   "region":"us-east-2",
   "resources":[
      "arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-123456789012345678"
   ],
   "detail":{
      "start-time":"2025-06-02T14:48:28.039273Z",
      "end-time":"2025-06-02T14:52:18.083773Z",
      "window-id":"mw-0ed7251d3fcf6e0c2",
      "window-execution-id":"791b72e0-f0da-4021-8b35-f95dfEXAMPLE",
      "task-execution-id":"c9b05aba-197f-4d8d-be34-e73fbEXAMPLE",
      "window-target-id":"e32eecb2-646c-4f4b-8ed1-205fbEXAMPLE",
      "status":"SUCCESS",
      "owner-information":"Owner"
   }
}
```

**Changement d'état de la fenêtre**

Les valeurs valides comprennent `ENABLED` et `DISABLED`.

```
{
   "version":"0",
   "id":"01234567-0123-0123-0123-0123456789ab",
   "detail-type":"Maintenance Window State-change Notification",
   "source":"aws.ssm",
   "account":"123456789012",
   "time":"2024-11-16T00:58:37Z",
   "region":"us-east-2",
   "resources":[
      "arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-0c50858d01EXAMPLE"
   ],
   "detail":{
      "window-id":"mw-0c50858d01EXAMPLE",
      "status":"DISABLED"
   }
}
```

## AWS Systems ManagerÉvénementsParameter Store
<a name="SSM-Parameter-Store-event-types"></a>

Vous trouverez ci-dessous des exemples d'événements pour Systems Manager Parameter Store.

**Création de paramètre**

```
{
  "version": "0",
  "id": "6a7e4feb-b491-4cf7-a9f1-bf3703497718",
  "detail-type": "Parameter Store Change",
  "source": "aws.ssm",
  "account": "123456789012",
  "time": "2024-05-22T16:43:48Z",
  "region": "us-east-2",
  "resources": [
    "arn:aws:ssm:us-east-2:123456789012:parameter/MyExampleParameter"
  ],
  "detail": {
    "operation": "Create",
    "name": "MyExampleParameter",
    "type": "String",
    "description": "Sample Parameter"
  }
}
```

**Mise à jour de paramètre**

```
{
  "version": "0",
  "id": "9547ef2d-3b7e-4057-b6cb-5fdf09ee7c8f",
  "detail-type": "Parameter Store Change",
  "source": "aws.ssm",
  "account": "123456789012",
  "time": "2024-05-22T16:44:48Z",
  "region": "us-east-2",
  "resources": [
    "arn:aws:ssm:us-east-2:123456789012:parameter/MyExampleParameter"
  ],
  "detail": {
    "operation": "Update",
    "name": "MyExampleParameter",
    "type": "String",
    "description": "Sample Parameter"
  }
}
```

**Suppression de paramètre**

```
{
  "version": "0",
  "id": "80e9b391-6a9b-413c-839a-453b528053af",
  "detail-type": "Parameter Store Change",
  "source": "aws.ssm",
  "account": "123456789012",
  "time": "2024-05-22T16:45:48Z",
  "region": "us-east-2",
  "resources": [
    "arn:aws:ssm:us-east-2:123456789012:parameter/MyExampleParameter"
  ],
  "detail": {
    "operation": "Delete",
    "name": "MyExampleParameter",
    "type": "String",
    "description": "Sample Parameter"
  }
}
```

## AWS Systems ManagerÉvénementsOpsCenter
<a name="SSM-OpsCenter-event-types"></a>

**Créer des notifications OpsCenter OpsItem**

```
{
  "version": "0",
  "id": "aae66adc-7aac-f0c0-7854-7691e8c079b8",
  "detail-type": "OpsItem Create",
  "source": "aws.ssm",
  "account": "123456789012",
  "time": "2024-10-19T02:48:11Z",
  "region": "us-east-1",
  "resources": [
    "arn:aws:ssm:us-west-2:123456789012:opsitem/oi-123456abcdef"
  ],
  "detail": {
    "created-by": "arn:aws:iam::123456789012:user/JohnDoe",
    "created-time": "2024-10-19T02:46:53.629361Z",
    "source": "aws.ssm",
    "status": "Open",
    "ops-item-id": "oi-123456abcdef",
    "title": "An issue title",
    "ops-item-type": "/aws/issue",
    "description": "A long description may appear here"
  }
}
```

**Mettre à jour une notification OpsCenter OpsItem**

```
{
  "version": "0",
  "id": "2fb5b168-b725-41dd-a890-29311200089c",
  "detail-type": "OpsItem Update",
  "source": "aws.ssm",
  "account": "123456789012",
  "time": "2024-10-19T02:48:11Z",
  "region": "us-east-1",
  "resources": [
    "arn:aws:ssm:us-west-2:123456789012:opsitem/oi-123456abcdef"
  ],
  "detail": {
    "created-by": "arn:aws:iam::123456789012:user/JohnDoe",
    "created-time": "2024-10-19T02:46:54.049271Z",
    "modified-by": "arn:aws:iam::123456789012:user/JohnDoe",
    "modified-time": "2024-10-19T02:46:54.337354Z",
    "source": "aws.ssm",
    "status": "Open",
    "ops-item-id": "oi-123456abcdef",
    "title": "An issue title",
    "ops-item-type": "/aws/issue",
    "description": "A long description may appear here"
  }
}
```

## AWS Systems ManagerÉvénementsRun Command
<a name="SSM-Run-Command-event-types"></a>

**Notification de changement de statut Run Command**

```
{
    "version": "0",
    "id": "51c0891d-0e34-45b1-83d6-95db273d1602",
    "detail-type": "EC2 Command Status-change Notification",
    "source": "aws.ssm",
    "account": "123456789012",
    "time": "2024-07-10T21:51:32Z",
    "region": "us-east-2",
    "resources": ["arn:aws:ec2:us-east-2:123456789012:instance/i-02573cafcfEXAMPLE"],
    "detail": {
        "command-id": "e8d3c0e4-71f7-4491-898f-c9b35bee5f3b",
        "document-name": "AWS-RunPowerShellScript",
        "expire-after": "2024-07-14T22:01:30.049Z",
        "parameters": {
            "executionTimeout": ["3600"],
            "commands": ["date"]
        },
        "requested-date-time": "2024-07-10T21:51:30.049Z",
        "status": "Success"
    }
}
```

**Notification de changement de statut d’une invocation Run Command**

```
{
    "version": "0",
    "id": "4780e1b8-f56b-4de5-95f2-95dbEXAMPLE",
    "detail-type": "EC2 Command Invocation Status-change Notification",
    "source": "aws.ssm",
    "account": "123456789012",
    "time": "2024-07-10T21:51:32Z",
    "region": "us-east-2",
    "resources": ["arn:aws:ec2:us-east-2:123456789012:instance/i-02573cafcfEXAMPLE"],
    "detail": {
        "command-id": "e8d3c0e4-71f7-4491-898f-c9b35bee5f3b",
        "document-name": "AWS-RunPowerShellScript",
        "instance-id": "i-02573cafcfEXAMPLE",
        "requested-date-time": "2024-07-10T21:51:30.049Z",
        "status": "Success"
    }
}
```

## AWS Systems ManagerÉvénementsState Manager
<a name="SSM-State-Manager-event-types"></a>

**Changement d'état d'association State Manager**

```
{
   "version":"0",
   "id":"db839caf-6f6c-40af-9a48-25b2ae2b7774",
   "detail-type":"EC2 State Manager Association State Change",
   "source":"aws.ssm",
   "account":"123456789012",
   "time":"2024-05-16T23:01:10Z",
   "region":"us-east-2",
   "resources":[
      "arn:aws:ssm:us-east-2::document/AWS-RunPowerShellScript"
   ],
   "detail":{
      "association-id":"6e37940a-23ba-4ab0-9b96-5d0a1a05464f",
      "document-name":"AWS-RunPowerShellScript",
      "association-version":"1",
      "document-version":"Optional.empty",
      "targets":"[{\"key\":\"InstanceIds\",\"values\":[\"i-12345678\"]}]",
      "creation-date":"2024-02-13T17:22:54.458Z",
      "last-successful-execution-date":"2024-05-16T23:00:01Z",
      "last-execution-date":"2024-05-16T23:00:01Z",
      "last-updated-date":"2024-02-13T17:22:54.458Z",
      "status":"Success",
      "association-status-aggregated-count":"{\"Success\":1}",
      "schedule-expression":"cron(0 */30 * * * ? *)",
      "association-cwe-version":"1.0"
   }
}
```

**Changements d'état d'association d'instance State Manager**

```
{
   "version":"0",
   "id":"6a7e8feb-b491-4cf7-a9f1-bf3703467718",
   "detail-type":"EC2 State Manager Instance Association State Change",
   "source":"aws.ssm",
   "account":"123456789012",
   "time":"2024-02-23T15:23:48Z",
   "region":"us-east-2",
   "resources":[
      "arn:aws:ec2:us-east-2:123456789012:instance/i-12345678",
      "arn:aws:ssm:us-east-2:123456789012:document/my-custom-document"
   ],
   "detail":{
      "association-id":"34fcb7e0-9a14-4984-9989-0e04e3f60bd8",
      "instance-id":"i-02573cafcfEXAMPLE",
      "document-name":"my-custom-document",
      "document-version":"1",
      "targets":"[{\"key\":\"instanceids\",\"values\":[\"i-02573cafcfEXAMPLE\"]}]",
      "creation-date":"2024-02-23T15:23:48Z",
      "last-successful-execution-date":"2024-02-23T16:23:48Z",
      "last-execution-date":"2024-02-23T16:23:48Z",
      "status":"Success",
      "detailed-status":"",
      "error-code":"testErrorCode",
      "execution-summary":"testExecutionSummary",
      "output-url":"sampleurl",
      "instance-association-cwe-version":"1"
   }
}
```

# Exemples de scénarios : les cibles de Systems Manager dans les EventBridge règles d'Amazon
<a name="monitoring-systems-manager-targets"></a>

Lorsque vous spécifiez la cible à invoquer dans une EventBridge règle Amazon, vous pouvez choisir parmi plus de 20 types de cibles et ajouter jusqu'à cinq cibles à chaque règle.

Parmi les différentes cibles, vous pouvez choisir entre Automation et OpsCenterRun Command, quelles sont les outils AWS Systems Manager, en tant qu'actions cibles lorsqu'un EventBridge événement se produit.

Vous trouverez ci-dessous plusieurs exemples d'utilisation de ces outils en tant que cible d'une EventBridge règle.

**Exemples Automation**  
Vous pouvez configurer une EventBridge règle pour démarrer les flux de travail d'automatisation lorsque des événements tels que les suivants se produisent :
+ Lorsqu'une CloudWatch alarme Amazon indique qu'un nœud géré n'a pas été vérifié (`StatusCheckFailed_Instance=1`), exécutez le runbook `AWSSupport-ExecuteEC2Rescue` Automation sur le nœud.
+ Lorsqu'un événement `EC2 Instance State-change Notification` se produit du fait de l'exécution d'une nouvelle instance Amazon Elastic Compute Cloud (Amazon EC2), exécutez le runbook Automation `AWS-AttachEBSVolume` sur l'instance.
+ Lorsqu'un volume Amazon Elastic Block Store (Amazon EBS) est créé et disponible, exécutez le runbook Automation `AWS-CreateSnapshot` sur le volume.

**Exemples pour l’OpsCenter**  
Vous pouvez configurer une EventBridge règle pour en créer une nouvelle OpsItem lorsque des incidents tels que les suivants se produisent :
+ Un événement de limitation pour Amazon DynamoDB se produit ou les performances du volume Amazon EBS se sont dégradées.
+ Un groupe Amazon EC2 Auto Scaling ne parvient pas à lancer un nœud ou un flux de travail Systems Manager Automation échoue.
+ Une instance EC2 passe d'un état `Running` à un état `Stopped`.

**Exemples pour l’Run Command**  
Vous pouvez configurer une EventBridge règle pour exécuter un document de commande de Systems Manager Run Command lorsque des événements tels que les suivants se produisent :
+ Lorsqu'un groupe Auto Scaling est sur le point de se terminer, un script Run Command peut capturer les fichiers journaux du nœud avant qu'il arrive à son terme.
+ Lorsqu'un nouveau nœud est créé dans un groupe Auto Scaling, une action cible Run Command peut activer le rôle de serveur Web ou installer des logiciels sur ce nœud.
+ Lorsqu'un nœud géré est jugé non conforme, une action cible Run Command peut mettre à jour les correctifs sur ce nœud en exécutant le document `AWS-RunPatchBaseline`.

# Surveillance des changements d'état du Systems Manager à l'aide des notifications Amazon SNS
<a name="monitoring-sns-notifications"></a>

Vous pouvez configurer Amazon Simple Notification Service (Amazon SNS) de sorte à envoyer des notifications sur le statut des commandes que vous envoyez à l’aide de Run Command ou Maintenance Windows, qui sont des outils d’ AWS Systems Manager. Amazon SNS coordonne et gère la réception ou l'envoi de notifications aux points de terminaison ou aux clients abonnés aux rubriques Amazon SNS. Vous pouvez recevoir une notification chaque fois qu'une commande change de statut ou passe à un statut spécifique, par exemple, *Échec* ou *Expiré*. Lorsque vous envoyez une commande à plusieurs nœuds, vous pouvez recevoir une notification pour chaque copie de la commande envoyée à un nœud spécifique. Chaque copie s’appelle une *invocation*.

Amazon SNS peut envoyer des notifications HTTP ou HTTPS POST, par e-mail (SMTP, texte brut ou format JSON) ou via un message publié dans une file d'attente Amazon Simple Queue Service (Amazon SQS). Pour plus d'informations, consultez [Qu'est-ce qu'Amazon SNS ?](https://docs.aws.amazon.com/sns/latest/dg/) dans le *Guide du développeur Amazon Simple Notification Service*. Pour voir des exemples de la structure des données JSON incluses dans la notification Amazon SNS fournie par Maintenance Windows et Run Command, consultez [Exemples de notifications Amazon SNS pour AWS Systems Manager](monitoring-sns-examples.md).

**Important**  
Notez les informations importantes suivantes.  
Les rubriques FIFO d'Amazon Simple Notification Service ne sont pas prises en charge.
Amazon Q Developer dans les applications de chat n’est pas pris en charge pour la surveillance de Systems Manager avec Amazon SNS. Si vous souhaitez utiliser Amazon Q Developer dans des applications de chat pour surveiller Systems Manager, vous devez l'utiliser avec Amazon EventBridge. Pour plus d'informations sur la surveillance à l'aide de Systems Manager EventBridge, consultez[Surveillance des événements de Systems Manager avec Amazon EventBridge](monitoring-eventbridge-events.md). Pour plus d'informations sur Amazon EventBridge et Amazon Q Developer dans les applications de chat, consultez [Tutoriel : Création d'une EventBridge règle qui envoie des notifications au développeur Amazon Q dans les applications de chat dans](https://docs.aws.amazon.com/chatbot/latest/adminguide/create-eventbridge-rule.html) le *Guide de l'administrateur d'Amazon Q Developer dans les applications de chat*.

## Configurer les notifications Amazon SNS pour AWS Systems Manager
<a name="monitoring-sns-configure"></a>

Run Command et les tâches Maintenance Windows qui sont enregistrées auprès d'une fenêtre de maintenance peuvent envoyer des notifications Amazon SNS pour les tâches de commande dont le statut devient l'un des suivants : 
+ En cours
+ Réussite
+ Échec
+ Expiré
+ Annulée

Pour de plus amples informations sur les conditions qui entraînent ces changements de statut, consultez la section [Comprendre les états des commandes](monitor-commands.md).

**Note**  
Les commandes envoyées à l'aide de la fonctionnalité Run Command signalent également les statuts Annulation en cours et En suspens. Ces statuts ne sont pas capturés par les notifications Amazon SNS.

### Résumé de commandes associé aux notifications Amazon SNS
<a name="monitoring-sns-configure-summary"></a>

Si vous configurez Run Command ou une tâche Run Command dans votre fenêtre de maintenance pour les notifications Amazon SNS, Amazon SNS envoie des messages récapitulatifs qui incluent les informations suivantes.


****  

| Champ | Type | Description | 
| --- | --- | --- | 
|  eventTime  |  String  |  Heure à laquelle l'événement a été initié. L'horodatage est important, car Amazon SNS ne garantit pas l'ordre de transmission des messages. Exemple : 2016-04-26T13:15:30Z   | 
|  documentName  |  String  |  Nom du document SSM utilisé pour exécuter cette commande.  | 
|  commandId  |  String  |  ID généré par la fonctionnalité Run Command une fois que la commande a été envoyée.  | 
|  expiresAfter  |  Date  |  Si la date d'expiration est atteinte et que la commande n'a pas encore démarré, l'exécution n'a pas lieu.   | 
|  Sorties 3 BucketName  |  String  |  Le compartiment Amazon Simple Storage Service (Amazon S3) dans lequel les réponses à l'exécution de la commande doivent être stockées.  | 
|  Sorties 3 KeyPrefix  |  String  |  Chemin du répertoire Amazon S3 à l'intérieur du compartiment dans lequel les réponses à l'exécution de la commande doivent être stockées.  | 
|  requestedDateTime  |  String  |  Heure et date auxquelles la demande a été envoyée à ce nœud spécifique.  | 
|  instanceIds  |  StringList  |  Nœuds qui étaient ciblés par la commande.   IDs Les instances ne sont incluses dans le message récapitulatif que si la Run Command tâche cible IDs directement l'instance. IDs Les instances ne sont pas incluses dans le message récapitulatif si la Run Command tâche a été émise à l'aide d'un ciblage basé sur des balises.   | 
|  status  |  String  |  Statut de la commande.  | 

### Notifications Amazon SNS basées sur des invocations
<a name="monitoring-sns-configure-invocation"></a>

Si vous envoyez une commande à plusieurs nœuds, Amazon SNS peut envoyer des messages concernant chaque copie ou invocation de la commande. Les messages incluent les informations suivantes.


****  

| Champ | Type | Description | 
| --- | --- | --- | 
|  eventTime  |  String  |  Heure à laquelle l'événement a été initié. L'horodatage est important, car Amazon SNS ne garantit pas l'ordre de transmission des messages. Exemple : 2016-04-26T13:15:30Z   | 
|  documentName  |  String  |  Nom du document Systems Manager (document SSM) utilisé pour exécuter cette commande.  | 
|  requestedDateTime  |  String  |  Heure et date auxquelles la demande a été envoyée à ce nœud spécifique.  | 
|  commandId  |  String  |  ID généré par la fonctionnalité Run Command une fois que la commande a été envoyée.  | 
|  instanceId  |  String  |  Instance qui était ciblée par la commande.  | 
|  status  |  String  |  Statut de la commande pour cette invocation.  | 

Pour configurer les notifications Amazon SNS en cas de changement de statut d'une commande, effectuez les tâches suivantes.

**Note**  
Si vous ne configurez pas les notifications Amazon SNS pour votre fenêtre de maintenance, vous pouvez ignorer la tâche 5 décrite plus loin dans cette rubrique.

**Topics**
+ [Résumé de commandes associé aux notifications Amazon SNS](#monitoring-sns-configure-summary)
+ [Notifications Amazon SNS basées sur des invocations](#monitoring-sns-configure-invocation)
+ [Tâche 1 : Créer une rubrique Amazon SNS et s'y abonner](#monitoring-configure-sns)
+ [Tâche 2 : Créer une politique IAM pour les notifications Amazon SNS](#monitoring-iam-policy)
+ [Tâche 3 : Créer un rôle IAM pour les notifications Amazon SNS](#monitoring-iam-notifications)
+ [Tâche 4 : Configuration de l'accès utilisateur](#monitoring-sns-passpolicy)
+ [Tâche 5 : associer la PassRole politique iam : à votre rôle de fenêtre de maintenance](#monitoring-sns-passpolicy-mw)

### Tâche 1 : Créer une rubrique Amazon SNS et s'y abonner
<a name="monitoring-configure-sns"></a>

Une *rubrique* Amazon SNS est un canal de communication utilisé par des tâches Run Command et Run Command, qui sont enregistrées auprès d'une fenêtre de maintenance, pour envoyer des notifications relatives au statut de vos commandes. Amazon SNS prend en charge différents protocoles de communication, notamment le HTTP/S, le courrier électronique et d'autres protocoles Services AWS tels qu'Amazon Simple Queue Service (Amazon SQS). Pour commencer, nous vous recommandons de commencer par le protocole de messagerie. Pour obtenir des informations sur la création d'une rubrique, consultez [Création d'une rubrique Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) dans le *Guide du développeur Amazon Simple Notification Service*.

**Note**  
Une fois que vous avez créé la rubrique, copier l'**ARN de la rubrique** ou prenez-en note. Vous devez spécifier cet ARN lorsque vous envoyez une commande qui est configurée pour renvoyer des notifications de statut.

Une fois que vous avez créé la rubrique, vous devez vous y abonner en spécifiant un **Point de terminaison**. Si vous avez choisi le protocole de messagerie, le point de terminaison est l'adresse e-mail à laquelle vous souhaitez recevoir des notifications. Pour plus d'informations sur l'abonnement à une rubrique, consultez [Abonnement à une rubrique Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html) dans le *Guide du développeur Amazon Simple Notification Service*.

Amazon SNS envoie un e-mail de confirmation à partir d'*AWS Notifications* à l'adresse e-mail que vous spécifiez. Ouvrez cet e-mail et sélectionnez le lien **Confirm subscription (Confirmer l'abonnement)**.

Vous recevrez un message d'accusé de réception de AWS. Amazon SNS est maintenant configuré pour recevoir des notifications et envoyer la notification par e-mail à l'adresse spécifiée.

### Tâche 2 : Créer une politique IAM pour les notifications Amazon SNS
<a name="monitoring-iam-policy"></a>

Utilisez la procédure suivante pour créer une politique personnalisée Gestion des identités et des accès AWS (IAM) qui fournit des autorisations pour lancer des notifications Amazon SNS.

**Pour créer une politique IAM personnalisée pour les notifications Amazon SNS**

1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dans le volet de navigation, choisissez **Policies**, puis **Create Policy**. (Si un bouton **Get Started (Mise en route)** est affiché, sélectionnez-le, puis sélectionnez **Create Policy [Créer une politique]**.)

1. Sélectionnez l'onglet **JSON**.

1. Remplacez le contenu par défaut par l'un des suivants, selon que la rubrique Amazon SNS utilise AWS KMS le chiffrement ou non :

------
#### [ SNS topic not encrypted ]

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "sns:Publish"
               ],
               "Resource": "arn:aws:sns:us-east-1:111122223333:sns-topic-name"
           }
       ]
   }
   ```

------

   *region*représente l'identifiant d'une région Région AWS prise en charge par AWS Systems Manager, par exemple `us-east-2` pour la région USA Est (Ohio). Pour obtenir la liste des *region* valeurs prises en charge, consultez la colonne **Région** dans les [points de terminaison du service Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) dans le *Référence générale d'Amazon Web Services*.

   **account-id**représente l'identifiant à 12 chiffres de votre Compte AWS, au format`123456789012`. 

   *sns-topic-name*représente le nom de la rubrique Amazon SNS que vous souhaitez utiliser pour publier des notifications.

------
#### [ SNS topic encrypted ]

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "sns:Publish"
               ],
               "Resource": "arn:aws:sns:us-east-1:111122223333:sns-topic-name"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "kms:GenerateDataKey",
                   "kms:Decrypt"
               ],
               "Resource": "arn:aws:kms:us-east-1:111122223333:key/kms-key-id"
           }
       ]
   }
   ```

------

   *region*représente l'identifiant d'une région Région AWS prise en charge par AWS Systems Manager, par exemple `us-east-2` pour la région USA Est (Ohio). Pour obtenir la liste des *region* valeurs prises en charge, consultez la colonne **Région** dans les [points de terminaison du service Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) dans le *Référence générale d'Amazon Web Services*.

   **account-id**représente l'identifiant à 12 chiffres de votre Compte AWS, au format`123456789012`. 

   *sns-topic-name*représente le nom de la rubrique Amazon SNS que vous souhaitez utiliser pour publier des notifications.

   *kms-key-id*représente l'ID de la clé KMS de chiffrement symétrique AWS KMS à utiliser pour chiffrer et déchiffrer le sujet, au format. `1234abcd-12ab-34cd-56ef-12345EXAMPLE`

**Note**  
L'utilisation du AWS KMS chiffrement est payante. Pour plus d’informations, consultez [Gestion des clés de chiffrement et des coûts d’Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-key-management.html) dans le *Guide du développeur AWS Key Management Service *.

------

1. Choisissez **Suivant : Balises**.

1. (Facultatif) Ajoutez une ou plusieurs paires clé-valeur d'identification afin d'organiser, de suivre ou de contrôler l'accès pour cette politique. 

1. Choisissez **Suivant : Vérification**.

1. Sur la page **Examiner une politique**, dans le champ **Nom**, saisissez un nom pour la politique en ligne. Par exemple : **my-sns-publish-permissions**.

1. (Facultatif) Dans le champ **Description**, saisissez une description pour la politique.

1. Sélectionnez **Créer une politique**.

### Tâche 3 : Créer un rôle IAM pour les notifications Amazon SNS
<a name="monitoring-iam-notifications"></a>

Utilisez la procédure suivante afin de créer un rôle IAM pour les notifications Amazon SNS. Ce rôle de service est utilisé par Systems Manager pour initier des notifications Amazon SNS. Dans toutes les procédures suivantes, ce rôle est appelé rôle IAM Amazon SNS.

**Pour créer un rôle de service IAM pour les notifications Amazon SNS**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le volet de navigation de la console IAM, sélectionnez **Roles** (Rôles), puis **Create role** (Créer un rôle).

1. Choisissez le type de rôle du **Service AWS**, puis choisissez Systems Manager.

1. Choisissez le cas d'utilisation de Systems Manager. Ensuite, choisissez **Suivant**.

1. Sur la page **Attacher des politiques d'autorisations**, cochez la case située à gauche du nom de la politique personnalisée que vous avez créée à la tâche 2. Par exemple : **my-sns-publish-permissions**.

1. (Facultatif) Définissez une [limite d'autorisations](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html). Il s'agit d'une fonctionnalité avancée disponible pour les rôles de service, mais pas les rôles liés à un service. 

   Développez la section **Permissions boundary** (Limite d'autorisations) et sélectionnez **Use a permissions boundary to control the maximum role permissions** (Utiliser une limite d'autorisations pour contrôler le nombre maximum d'autorisations de rôle). IAM inclut une liste des politiques AWS gérées et gérées par le client dans votre compte. Sélectionnez la politique à utiliser pour la limite d'autorisations ou choisissez **Créer une politique** pour ouvrir un nouvel onglet de navigateur et créer une nouvelle politique de bout en bout. Pour plus d'informations, consultez [Création de politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) dans le *Guide de l'utilisateur IAM*. Une fois la politique créée, fermez cet onglet et revenez à l'onglet initial pour sélectionner la politique à utiliser pour la limite d'autorisations.

1. Choisissez **Suivant**.

1. Si possible, saisissez un nom de rôle ou le suffixe d'un nom de rôle vous permettant d'identifier l'objectif du rôle. Les noms de rôle doivent être uniques dans votre Compte AWS. Ils ne sont pas distingués au cas par cas. Par exemple, vous ne pouvez pas créer deux rôles nommés **PRODROLE** et **prodrole**. Différentes entités peuvent référencer le rôle et il n'est donc pas possible de modifier son nom après sa création.

1. (Facultatif) Pour **Description**, saisissez une description pour le nouveau rôle.

1. Choisissez **Edit** (Modifier) dans les sections **Step 1: Select trusted entities** (Étape 1 : sélection d'entités de confiance) ou **Step 2: Select permissions** (Étape 2 : sélection d'autorisations) pour modifier les cas d'utilisation et les autorisations pour le rôle. 

1. (Facultatif) Ajoutez des métadonnées à l'utilisateur en associant les balises sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balises dans IAM, consultez la rubrique [Balisage des ressources IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) dans le *Guide de l'utilisateur IAM*.

1. Passez en revue les informations du rôle, puis choisissez **Créer un rôle**.

1. Choisissez le nom du rôle, puis copiez ou notez la valeur de **Role ARN (ARN du rôle)**. Cet Amazon Resource Name (ARN) pour le rôle est utilisé lorsque vous envoyez une commande configurée pour renvoyer des notifications Amazon SNS.

1. La page **Summary (Récapitulatif)** s'ouvre.

### Tâche 4 : Configuration de l'accès utilisateur
<a name="monitoring-sns-passpolicy"></a>

Si des autorisations d’administrateur sont attribuées à une entité IAM (utilisateur, rôle ou groupe), l’utilisateur ou le rôle a accès à Run Command et Maintenance Windows, des outils d’ AWS Systems Manager.

Pour les entités sans autorisations d'administrateur, un administrateur doit accorder les autorisations suivantes à l'entité IAM :
+ La politique gérée `AmazonSSMFullAccess`, ou une politique qui fournit des autorisations comparables.
+ Les autorisations `iam:PassRole` pour le rôle créé dans [Tâche 3 : Créer un rôle IAM pour les notifications Amazon SNS](#monitoring-iam-notifications). Par exemple :

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::111122223333:role/sns-role-name",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "ssm.amazonaws.com"
                }
            }
        }
    ]
}
```

------

Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
+ Utilisateurs et groupes dans AWS IAM Identity Center :

  Créez un jeu d’autorisations. Suivez les instructions de la rubrique [Création d’un jeu d’autorisations](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) du *Guide de l’utilisateur AWS IAM Identity Center *.
+ Utilisateurs gérés dans IAM par un fournisseur d’identité :

  Créez un rôle pour la fédération d’identité. Suivez les instructions de la rubrique [Création d’un rôle pour un fournisseur d’identité tiers (fédération)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dans le *Guide de l’utilisateur IAM*.
+ Utilisateurs IAM :
  + Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique [Création d’un rôle pour un utilisateur IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dans le *Guide de l’utilisateur IAM*.
  + (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique [Ajout d'autorisations à un utilisateur (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) du *Guide de l'utilisateur IAM*.

**Pour configurer l'accès utilisateur et associer la politique `iam:PassRole` à un compte utilisateur**

1. Dans le panneau de navigation IAM, sélectionnez **Users (Utilisateurs)**, puis le compte utilisateur à configurer.

1. Sous l'onglet **Permissions (Autorisations)**, dans la liste des politiques, vérifiez que la politique **AmazonSSMFullAccess** est répertoriée ou qu'une politique comparable autorise le compte à accéder à Systems Manager.

1. Sélectionnez **Ajouter une politique en ligne**.

1. Dans la page **Créer une politique**, sélectionnez l'onglet **Éditeur visuel**.

1. Sélectionnez **Choose a service (Sélectionner un service)**, puis **IAM**.

1. Pour **Actions**, dans la zone de texte **Filtrer les actions****PassRole**, entrez, puis cochez la case à côté de **PassRole**.

1. Pour **Resources (Ressources)**, vérifiez que **Specific (Spécifique)** est sélectionné, puis sélectionnez **Add ARN (Ajouter un ARN)**.

1. Dans le champ **Specify ARN for role (Spécifier l'ARN du rôle)**, collez l'ARN du rôle IAM Amazon SNS que vous avez copié à la fin de la tâche 3. Le système remplit automatiquement les champs **Account (Compte)** et **Role name with path (Nom du rôle avec chemin d'accès)**.

1. Choisissez **Ajouter**.

1. Sélectionnez **Review policy (Examiner une politique)**.

1. Sur la page **Review Policy (Examiner une politique)**, saisissez un nom, puis choisissez **Create Policy (Créer une politique)**.

### Tâche 5 : associer la PassRole politique iam : à votre rôle de fenêtre de maintenance
<a name="monitoring-sns-passpolicy-mw"></a>

Lorsque vous enregistrez une tâche Run Command auprès d'une fenêtre de maintenance, vous spécifiez un Amazon Resource Name (ARN) de rôle de service. Ce rôle de service est utilisé par Systems Manager pour exécuter des tâches enregistrées auprès de la fenêtre de maintenance. Pour configurer les notifications Amazon SNS pour une tâche Run Command enregistrée, attachez une politique `iam:PassRole` au rôle de service de fenêtre de maintenance spécifié. Si vous n'avez pas l'intention de configurer la tâche enregistrée pour les notifications Amazon SNS, vous pouvez ignorer cette tâche.

La politique `iam:PassRole` autorise le rôle de service Maintenance Windows à transmettre le rôle IAM Amazon SNS créé au cours de la tâche 3 au service Amazon SNS. La procédure suivante montre comment attacher la politique `iam:PassRole` au rôle de service Maintenance Windows.

**Note**  
Utilisez un rôle de service personnalisé pour votre fenêtre de maintenance afin d'envoyer des notifications concernant les tâches Run Command enregistrées. Pour plus d'informations, consultez [Configuration de Maintenance Windows](setting-up-maintenance-windows.md).  
Si vous devez créer une fonction du service personnalisée pour les tâches de la fenêtre de maintenance, consultez la rubrique [Configuration de Maintenance Windows](setting-up-maintenance-windows.md).

**Pour attacher la politique `iam:PassRole` au rôle Maintenance Windows**

1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dans le panneau de navigation, sélectionnez **Roles (Rôles)**, puis sélectionnez le rôle IAM Amazon SNS créé au cours de la tâche 3.

1. Copiez le **Role ARN (ARN de rôle)** ou notez-le et revenez à la section **Roles (Rôles)** de la console IAM.

1. Sélectionnez le rôle de service Maintenance Windows personnalisé que vous avez créé depuis la liste **Role name (Nom de rôle)**.

1. Sous l'onglet **Permissions (Autorisations)**, vérifiez que la politique `AmazonSSMMaintenanceWindowRole` est répertoriée ou qu'une politique comparable accorde à la fenêtre de maintenance l'autorisation d'accéder à l'API Systems Manager. Si ce n'est pas le cas, choisissez **Attacher des politiques** pour l'attacher.

1. Choisissez **Add permissions, Create inline policy** (Ajouter des autorisations, Créer une politique en ligne).

1. Sélectionnez l'onglet **Visual Editor**.

1. Pour **Service**, sélectionnez **IAM**.

1. Pour **Actions**, dans la zone de texte **Filtrer les actions****PassRole**, entrez, puis cochez la case à côté de **PassRole**.

1. Pour **Ressources**, sélectionnez **Spécifique**, puis **Ajouter un ARN**.

1. Dans la zone **Specify ARN for role (Spécifier l'ARN pour le rôle)**, collez l'ARN du rôle IAM Amazon SNS créé dans la tâche 3, puis sélectionnez **Add (Ajouter)**.

1. Sélectionnez **Review policy (Examiner une politique)**.

1. Sur la page **Examiner une politique** indiquez un nom pour la politique `PassRole`, puis sélectionnez **Créer une politique**.

# Exemples de notifications Amazon SNS pour AWS Systems Manager
<a name="monitoring-sns-examples"></a>

Vous pouvez configurer Amazon Simple Notification Service (Amazon SNS) de sorte à envoyer des notifications sur le statut des commandes que vous envoyez à l’aide de Run Command ou Maintenance Windows, qui sont des outils d’ AWS Systems Manager.

**Note**  
Ce guide ne traite pas de la configuration des notifications pour la fonctionnalité Run Command ou une Maintenance Windows. Pour de plus amples informations sur la configuration de la fonctionnalité Run Command ou d'une Maintenance Windows pour envoyer des notifications Amazon SNS sur le statut des commandes, veuillez consulter [Configurer les notifications Amazon SNS pour AWS Systems Manager](monitoring-sns-notifications.md#monitoring-sns-configure). 

Les exemples suivants montrent la structure de la sortie JSON renvoyée par les notifications Amazon SNS configurées pour Run Command ou Maintenance Windows.

**Exemple de sortie JSON pour les messages du récapitulatif des commandes en utilisant le ciblage par ID d'instance**

```
{
    "commandId": "a8c7e76f-15f1-4c33-9052-0123456789ab",
    "documentName": "AWS-RunPowerShellScript",
    "instanceIds": [
        "i-1234567890abcdef0",
        "i-9876543210abcdef0"
    ],
    "requestedDateTime": "2019-04-25T17:57:09.17Z",
    "expiresAfter": "2019-04-25T19:07:09.17Z",
    "outputS3BucketName": "amzn-s3-demo-bucket",
    "outputS3KeyPrefix": "runcommand",
    "status": "InProgress",
    "eventTime": "2019-04-25T17:57:09.236Z"
}
```

**Exemple de sortie JSON pour les messages du récapitulatif des commandes en utilisant le ciblage basé sur des balises**

```
{
    "commandId": "9e92c686-ddc7-4827-b040-0123456789ab",
    "documentName": "AWS-RunPowerShellScript",
    "instanceIds": [],
    "requestedDateTime": "2019-04-25T18:01:03.888Z",
    "expiresAfter": "2019-04-25T19:11:03.888Z",
    "outputS3BucketName": "",
    "outputS3KeyPrefix": "",
    "status": "InProgress",
    "eventTime": "2019-04-25T18:01:05.825Z"
}
```

**Exemple de sortie JSON pour les messages d’invocation**

```
{
    "commandId": "ceb96b84-16aa-4540-91e3-925a9a278b8c",
    "documentName": "AWS-RunPowerShellScript",
    "instanceId": "i-1234567890abcdef0",
    "requestedDateTime": "2019-04-25T18:06:05.032Z",
    "status": "InProgress",
    "eventTime": "2019-04-25T18:06:05.099Z"
}
```

# Utiliser la fonctionnalité Run Command pour envoyer une commande qui renvoie des notifications de statut
<a name="monitoring-sns-rc-send"></a>

Les procédures suivantes montrent comment utiliser le AWS Command Line Interface (AWS CLI) ou AWS Systems Manager la console pour envoyer une commande via Run Command un outil configuré pour renvoyer des notifications d'état. AWS Systems Manager

## Envoi d'une tâche Run Command qui renvoie des notifications (console)
<a name="monitoring-sns-rc-send-console"></a>

Utilisez la procédure suivante pour envoyer via la fonctionnalité Run Command une commande qui est configurée pour renvoyer des notifications de statut à l'aide de la console Systems Manager.

**Pour envoyer une commande qui renvoie des notifications (console)**

1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Dans le panneau de navigation, sélectionnez **Run Command**.

1. Sélectionnez **Run Command (Exécuter la commande)**.

1. Dans la liste **Command document (Document de commande)**, sélectionnez un document Systems Manager.

1. Dans la section **Command parameters (Paramètres de la commande)**, indiquez des valeurs pour les paramètres requis.

1. Dans la section **Targets (Cibles)**, sélectionnez les nœuds gérés sur lesquels vous souhaitez exécuter cette opération en spécifiant des balises, en sélectionnant des instances ou des appareils de périphérie manuellement ou en spécifiant un groupe de ressources.
**Astuce**  
Si, contrairement à vos attentes, un nœud géré ne figure pas dans la liste, consultez [Résolution des problèmes de disponibilité des nœuds gérés](fleet-manager-troubleshooting-managed-nodes.md) pour obtenir des conseils de dépannage.

1. Pour **Autres paramètres** :
   + Pour **Comment (Commentaire)**, saisissez des informations à propos de cette commande.
   + Pour **Délai (secondes)**, précisez le nombre de secondes durant lesquelles le système doit attendre avant de mettre en échec l'exécution de la commande globale. 

1. Pour **Rate control (Contrôle de débit)** :
   + Dans **Concurrency (Simultanéité)**, spécifiez un nombre ou un pourcentage de nœuds gérés sur lesquels exécuter simultanément la commande.
**Note**  
Si vous avez sélectionné des cibles en spécifiant des balises appliquées aux nœuds gérés ou en spécifiant AWS des groupes de ressources, et que vous n'êtes pas certain du nombre de nœuds gérés ciblés, limitez le nombre de cibles pouvant exécuter le document en même temps en spécifiant un pourcentage.
   + Dans **Error threshold (Seuil d'erreur)**, indiquez quand arrêter l'exécution de la commande sur les autres nœuds gérés après l'échec de celle-ci sur un certain nombre ou un certain pourcentage de nœuds. Si, par exemple, vous spécifiez trois erreurs, Systems Manager cesse d'envoyer la commande à la réception de la quatrième erreur. Les nœuds gérés sur lesquels la commande est toujours en cours de traitement peuvent également envoyer des erreurs.

1. (Facultatif) Pour **Output options (Options de sortie)**, pour enregistrer la sortie de la commande dans un fichier, cochez la case **Write command output to an S3 bucket (Écrire la sortie de commande vers un compartiment S3)**. Saisissez les noms de compartiment et de préfixe (dossier) dans les zones.
**Note**  
Les autorisations S3 qui accordent la possibilité d'écrire les données dans un compartiment S3 sont celles du profil d'instance (pour les instances EC2) ou de la fonction du service IAM (pour les machines activées par un système hybride) attribués à l'instance, et non celles de l'utilisateur IAM qui effectue cette tâche. Pour plus d’informations, consultez les sections [Configurer des autorisations d’instance requises pour Systems Manager](setup-instance-permissions.md) et [Créer un rôle de service IAM pour un environnement hybride](hybrid-multicloud-service-role.md). En outre, si le compartiment S3 spécifié se trouve sur un autre Compte AWS, assurez-vous que le profil d'instance ou la fonction de service IAM associé au nœud géré dispose des autorisations nécessaires pour écrire dans ce compartiment.

1. Dans la section **SNS Notifications (Notifications SNS)**, sélectionnez **Enable SNS notifications (Activer les notifications SNS)**.

1. Dans la section **IAM Role (Rôle IAM)**, choisissez l'ARN du rôle IAM Amazon SNS que vous avez créé au cours de la tâche 3 dans [Surveillance des changements d'état du Systems Manager à l'aide des notifications Amazon SNS](monitoring-sns-notifications.md).

1. Dans le champ **SNS topic (Rubrique SNS)**, saisissez l'ARN de la rubrique Amazon SNS à utiliser.

1. Pour **Event notifications (Notifications d'événement)**, sélectionnez les événements pour lesquels vous souhaitez recevoir des notifications.

1. Pour **Change notifications (Notification de modification)**, choisissez de recevoir des notifications uniquement pour le résumé des commandes (**Command status changes (Changements d'état des commandes)**) ou pour chaque copie d'une commande envoyée à plusieurs nœuds (**Command status on each instance changes (L'état des commandes sur chaque instance change)**).

1. Cliquez sur **Exécuter**.

1. Recherchez un message d'Amazon SNS dans votre messagerie et ouvrez l'e-mail. L'envoi de l'e-mail peut prendre plusieurs minutes à Amazon SNS.

## Envoi d'une tâche Run Command qui renvoie des notifications (interface de ligne de commande)
<a name="monitoring-sns-rc-send-cli"></a>

Utilisez la procédure suivante pour envoyer via la fonctionnalité Run Command une commande qui est configurée afin de renvoyer des notifications de statut à l'aide de l' AWS CLI.

**Pour envoyer une commande qui renvoie des notifications (interface de ligne de commande)**

1. Ouvrez le AWS CLI.

1. Spécifiez les paramètres dans la commande suivante à cibler en fonction du nœud géré IDs.

   ```
   aws ssm send-command --instance-ids "ID-1, ID-2" --document-name "Name" --parameters '{"commands":["input"]}' --service-role "SNSRoleARN" --notification-config '{"NotificationArn":"SNSTopicName","NotificationEvents":["All"],"NotificationType":"Command"}'
   ```

   Voici un exemple.

   ```
   aws ssm send-command --instance-ids "i-02573cafcfEXAMPLE, i-0471e04240EXAMPLE" --document-name "AWS-RunPowerShellScript" --parameters '{"commands":["Get-Process"]}' --service-role "arn:aws:iam::111122223333:role/SNS_Role" --notification-config '{"NotificationArn":"arn:aws:sns:us-east-1:111122223333:SNSTopic","NotificationEvents":["All"],"NotificationType":"Command"}'
   ```

**Autres commandes**  
Spécifiez les paramètres de la commande suivante pour cibler les instances gérées en utilisant des balises.

   ```
   aws ssm send-command --targets "Key=tag:TagName,Values=TagKey" --document-name "Name" --parameters '{"commands":["input"]}' --service-role "SNSRoleARN" --notification-config '{"NotificationArn":"SNSTopicName","NotificationEvents":["All"],"NotificationType":"Command"}'
   ```

   Voici un exemple.

   ```
   aws ssm send-command --targets "Key=tag:Environment,Values=Dev" --document-name "AWS-RunPowerShellScript" --parameters '{"commands":["Get-Process"]}' --service-role "arn:aws:iam::111122223333:role/SNS_Role" --notification-config '{"NotificationArn":"arn:aws:sns:us-east-1:111122223333:SNSTopic","NotificationEvents":["All"],"NotificationType":"Command"}'
   ```

1. Appuyez sur **Entrée**.

1. Recherchez un message d'Amazon SNS dans votre messagerie et ouvrez l'e-mail. L'envoi de l'e-mail peut prendre plusieurs minutes à Amazon SNS.

Pour plus d’informations, consultez [https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html) dans la *Référence des commandes de l’AWS CLI *.

# Utilisation d'une fenêtre de maintenance pour envoyer une commande qui renvoie des notifications de statut
<a name="monitoring-sns-mw-register"></a>

Les procédures suivantes indiquent comment enregistrer une Run Command tâche dans votre fenêtre de maintenance à l'aide de la AWS Systems Manager console ou du AWS Command Line Interface (AWS CLI). Run Commandest un outil dans AWS Systems Manager. Ces procédures expliquent aussi comment configurer la tâche Run Command pour renvoyer des notifications de statut.

**Avant de commencer**  
Si vous n'avez pas encore créé de fenêtre de maintenance ou de cibles enregistrées, consultez [Création et gestion de fenêtres de maintenance à l’aide de la console](sysman-maintenance-working.md) pour connaître les étapes permettant de créer une fenêtre de maintenance et d'enregistrer des cibles.

Pour recevoir des notifications du service Amazon Simple Notification Service (Amazon SNS), attachez une politique `iam:PassRole` au rôle de service Maintenance Windows spécifié dans la tâche enregistrée. Si vous n'avez pas ajouté d'autorisations `iam:PassRole` à votre rôle de service Maintenance Windows, consultez [Tâche 5 : associer la PassRole politique iam : à votre rôle de fenêtre de maintenance](monitoring-sns-notifications.md#monitoring-sns-passpolicy-mw). 

## Enregistrement d'une tâche Run Command auprès d'une fenêtre de maintenance qui renvoie des notifications (console)
<a name="monitoring-sns-mw-register-console"></a>

Utilisez la procédure suivante pour enregistrer une tâche Run Command configurée afin de renvoyer des notifications de statut à votre fenêtre de maintenance à l'aide de la console Systems Manager.

**Pour enregistrer une tâche Run Command auprès de votre fenêtre de maintenance qui renvoie des notifications (console)**

1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Dans le panneau de navigation, sélectionnez **Maintenance Windows**.

1. Sélectionnez la fenêtre de maintenance pour laquelle vous souhaitez enregistrer une tâche Run Command configurée pour envoyer des notifications Amazon Simple Notification Service (Amazon SNS).

1. Sélectionnez **Actions**, puis **Register Run command task (Enregistrer une tâche Run Command)**.

1. (Facultatif) Dans le champ **Name (Nom)**, saisissez un nom pour la tâche.

1. (Facultatif) Dans le champ **Description**, saisissez une description.

1. Dans la liste **Command Document (Document de commande)**, sélectionnez un document de commande.

1. Pour **Priorité de tâche**, spécifiez la priorité de cette tâche. Zéro (`0`) est la priorité la plus élevée. Les tâches d'une fenêtre de maintenance sont planifiées par ordre de priorité. Les tâches qui ont la même priorité sont planifiées en parallèle.

1. Dans la section **Cibles**, sélectionnez un groupe cible enregistré ou sélectionnez des cibles non enregistrées.

1. Pour **Rate control (Contrôle de débit)** :
   + Dans **Concurrency (Simultanéité)**, spécifiez un nombre ou un pourcentage de nœuds gérés sur lesquels exécuter simultanément la commande.
**Note**  
Si vous avez sélectionné des cibles en spécifiant des balises appliquées aux nœuds gérés ou en spécifiant AWS des groupes de ressources, et que vous n'êtes pas certain du nombre de nœuds gérés ciblés, limitez le nombre de cibles pouvant exécuter le document en même temps en spécifiant un pourcentage.
   + Dans **Error threshold (Seuil d'erreur)**, indiquez quand arrêter l'exécution de la commande sur les autres nœuds gérés après l'échec de celle-ci sur un certain nombre ou un certain pourcentage de nœuds. Si, par exemple, vous spécifiez trois erreurs, Systems Manager cesse d'envoyer la commande à la réception de la quatrième erreur. Les nœuds gérés sur lesquels la commande est toujours en cours de traitement peuvent également envoyer des erreurs.

1. Dans la zone **IAM service role (Rôle de service IAM)**, sélectionnez le rôle de service Maintenance Windows qui dispose des autorisations `iam:PassRole` sur le rôle SNS.
**Note**  
Ajoutez des autorisations `iam:PassRole` au rôle Maintenance Windows pour permettre à Systems Manager de transmettre le rôle SNS à Amazon SNS. Si vous n'avez pas ajouté d'autorisations `iam:PassRole`, consultez Tâche 5 dans la rubrique [Surveillance des changements d'état du Systems Manager à l'aide des notifications Amazon SNS](monitoring-sns-notifications.md).

1. (Facultatif) Dans **Output options (Options de sortie)**, pour enregistrer la sortie de la commande dans un fichier, sélectionnez **Enable writing to an S3 bucket (Autoriser l'écriture dans un compartiment S3)** Saisissez les noms de compartiment et de préfixe (dossier) dans les zones.
**Note**  
Les autorisations S3 qui donnent la possibilité d'écrire les données dans un compartiment S3 sont celles du profil d'instance attribué au nœud géré, et non celles de l'utilisateur IAM qui effectue cette tâche. Pour plus d’informations, consultez les sections [Configurer des autorisations d’instance requises pour Systems Manager](setup-instance-permissions.md) et [Créer un rôle de service IAM pour un environnement hybride](hybrid-multicloud-service-role.md). En outre, si le compartiment S3 spécifié se trouve sur un autre Compte AWS, vérifiez que le profil d'instance ou la fonction de service IAM associé au nœud géré dispose des autorisations nécessaires pour écrire dans ce compartiment.

1. Dans la section **Notifications SNS**, procédez comme suit :
   + Sélectionnez **Activer les notifications SNS**.
   + Pour **rôle IAM**, sélectionnez l'Amazon Resource Name (ARN) du rôle IAM Amazon SNS que vous avez créé au cours de la tâche 3 dans [Surveillance des changements d'état du Systems Manager à l'aide des notifications Amazon SNS](monitoring-sns-notifications.md) pour initier Amazon SNS.
   + Dans le champ **SNS topic (Rubrique SNS)**, saisissez l'ARN de la rubrique Amazon SNS à utiliser.
   + Pour **Event type (Type d'événement)**, sélectionnez les événements pour lesquels vous souhaitez recevoir des notifications.
   + Dans **Notification type (Type de notification)**, choisissez de recevoir des notifications pour chaque copie d'une commande envoyée à plusieurs nœuds (appels) ou de recevoir un récapitulatif des commandes.

1. Dans la section **Parameters (Paramètres)**, entrez les paramètres requis en fonction du document de commande que vous avez choisi.

1. Sélectionnez **Register run command task (Enregistrer une tâche d'exécution de commande)**.

1. Après l'exécution suivante de votre fenêtre de maintenance, vérifiez vos e-mails pour savoir si vous avez reçu un message d'Amazon SNS, et ouvrez le message. Amazon SNS peut prendre quelques minutes pour envoyer le message.

## Enregistrement d'une tâche Run Command auprès d'une fenêtre de maintenance qui renvoie des notifications (interface de ligne de commande)
<a name="monitoring-sns-mw-register-cli"></a>

Utilisez la procédure suivante pour enregistrer une tâche Run Command qui est configurée pour renvoyer des notifications de statut à votre fenêtre de maintenance à l'aide de l' AWS CLI.

**Pour enregistrer une tâche Run Command auprès de votre fenêtre de maintenance qui renvoie des notifications (interface de ligne de commande)**
**Note**  
Afin de mieux gérer vos options de tâche, cette procédure utilise l'option de commande `--cli-input-json`, avec des valeurs d'option enregistrées dans un fichier JSON.

1. Sur votre ordinateur local, créez un fichier nommé `RunCommandTask.json`.

1. Collez le contenu suivant dans le fichier .

   ```
   {
       "Name": "Name",
       "Description": "Description",
       "WindowId": "mw-0c50858d01EXAMPLE",
       "ServiceRoleArn": "arn:aws:iam::account-id:role/MaintenanceWindowIAMRole",
       "MaxConcurrency": "1",
       "MaxErrors": "1",
       "Priority": 3,
       "Targets": [
           {
               "Key": "WindowTargetIds",
               "Values": [
                   "e32eecb2-646c-4f4b-8ed1-205fbEXAMPLE"
               ]
           }
       ],
       "TaskType": "RUN_COMMAND",
       "TaskArn": "CommandDocumentName",
       "TaskInvocationParameters": {
           "RunCommand": {
               "Comment": "Comment",
               "TimeoutSeconds": 3600,
               "NotificationConfig": {
                   "NotificationArn": "arn:aws:sns:region:account-id:SNSTopicName",
                   "NotificationEvents": [
                       "All"
                   ],
                   "NotificationType": "Command"
               },
               "ServiceRoleArn": "arn:aws:iam::account-id:role/SNSIAMRole"
           }
       }
   }
   ```

1. Remplacez les exemples de valeurs par les informations sur vos propres ressources. 

   Vous pouvez également restaurer les options que nous n'avons pas spécifiées dans cet exemple si vous souhaitez les utiliser. Par exemple, vous pouvez enregistrer la sortie de la commande dans un compartiment S3. 

   Pour plus d’informations, consultez [https://docs.aws.amazon.com/cli/latest/reference/ssm/register-task-with-maintenance-window.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/register-task-with-maintenance-window.html) dans la *Référence des commandes de l’AWS CLI *.

1. Enregistrez le fichier.

1. Dans le répertoire de votre ordinateur local où vous avez enregistré le fichier, exécutez la commande suivante.

   ```
   aws ssm register-task-with-maintenance-window --cli-input-json file://RunCommandTask.json
   ```
**Important**  
N'oubliez pas d'inclure `file://` devant le nom du fichier. Il est nécessaire dans cette commande.

   Si elle aboutit, la commande renvoie des informations similaires à ce qui suit.

   ```
   {
       "WindowTaskId": "j2l8d5b5c-mw66-tk4d-r3g9-1d4d1EXAMPLE"
   }
   ```

1. Après l'exécution suivante de votre fenêtre de maintenance, vérifiez vos e-mails pour savoir si vous avez reçu un message d'Amazon SNS, et ouvrez le message. Amazon SNS peut prendre quelques minutes pour envoyer le message.

Pour de plus amples informations sur l'enregistrement de tâches pour une fenêtre de maintenance à partir de la ligne de commande, consultez [Enregistrer des tâches avec la fenêtre de maintenance](mw-cli-tutorial-tasks.md).