• Le AWS Systems Manager CloudWatch tableau de bord ne sera plus disponible après le 30 avril 2026. Les clients peuvent continuer à utiliser CloudWatch la console Amazon pour consulter, créer et gérer leurs CloudWatch tableaux de bord Amazon, comme ils le font aujourd'hui. Pour plus d'informations, consultez la [documentation Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utilisation des rôles liés aux services pour Systems Manager
AWS Systems Managerutilise des Gestion des identités et des accès AWS rôles liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service est un type unique de rôle IAM lié directement à Systems Manager. Les rôles liés à un service sont prédéfinis par Systems Manager et incluent toutes les autorisations requises par le service pour appeler d'autres Services AWS en votre nom.
**Note**
Une *fonction de service* est différente d'un rôle lié à un service. Un rôle de service est un type de rôle Gestion des identités et des accès AWS (IAM) qui accorde des autorisations à un service Service AWS afin qu'il puisse accéder aux AWS ressources. Seuls quelques scénarios Systems Manager nécessitent un rôle de service. Lorsque vous créez une fonction du service pour Systems Manager, vous choisissez les autorisations à accorder pour qu'il puisse accéder aux autres ressources AWS ou interagir avec ces dernières.
Un rôle lié à un service permet d’utiliser Systems Manager plus facilement, car vous n’avez pas besoin d’ajouter manuellement les autorisations requises. Systems Manager définit les autorisations de ses rôles liés à un service et, sauf définition contraire, seul Systems Manager peut endosser ses rôles. Les autorisations définies comprennent la politique d'approbation et la politique d'autorisation. De plus, cette politique d'autorisation ne peut pas être attachée à une autre entité IAM.
Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Vos ressources Systems Manager sont ainsi protégées, car vous ne pouvez pas involontairement supprimer l’autorisation d’accéder aux ressources.
**Note**
Pour les nœuds non EC2 dans un environnement [hybride et multicloud](operating-systems-and-machine-types.md#supported-machine-types), vous avez besoin d'un rôle IAM supplémentaire qui permet à ces machines de communiquer avec le service Systems Manager. Il s'agit du rôle de service IAM pour Systems Manager. Ce rôle accorde AWS Security Token Service (AWS STS) *AssumeRole*confiance au Systems Manager service. L'action `AssumeRole` renvoie un ensemble d'informations d'identification de sécurité temporaires (composé d'un ID de clé d'accès, d'une clé d'accès secrète et d'un jeton de sécurité). Vous utilisez ces informations d'identification temporaires pour accéder à AWS des ressources auxquelles vous n'avez pas normalement accès. Pour plus d'informations, consultez la section [Créer le rôle de service IAM requis pour Systems Manager dans les environnements hybrides et multicloud](hybrid-multicloud-service-role.md) et [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)dans le Guide de référence des *[AWS Security Token Service API](https://docs.aws.amazon.com/STS/latest/APIReference/)*.
Pour plus d'informations sur les autres services prenant en charge les rôles liés à un service, reportez-vous aux [Services AWS opérationnels avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services présentant la mention **Yes** (Oui) dans la colonne **Service-linked roles** (Rôles liés à un service). Choisissez un **Oui** ayant un lien permettant de consulter les détails du rôle pour ce service.
**Topics**
+ [Utilisation des rôles pour collecter l'inventaire et consulter OpsData](using-service-linked-roles-service-action-1.md)
+ [Utilisation des rôles pour collecter des Compte AWS informations pour OpsCenter et Explorer](using-service-linked-roles-service-action-2.md)
+ [Utiliser des rôles pour créer OpsData et OpsItems pour Explorer](using-service-linked-roles-service-action-3.md)
+ [Utiliser les rôles pour créer des informations opérationnelles OpsItems dans Systems Manager OpsCenter](using-service-linked-roles-service-action-4.md)
+ [Utilisation de rôles pour maintenir l’état et la cohérence des ressources provisionnées par Quick Setup](using-service-linked-roles-service-action-5.md)
+ [Utiliser des rôles pour exporter Explorer OpsData](using-service-linked-roles-service-action-6.md)
+ [Utilisation de rôles pour activer l'accès aux just-in-time nœuds](using-service-linked-roles-service-action-8.md)
+ [Utilisation de rôles pour envoyer des notifications de demande d'accès aux just-in-time nœuds](using-service-linked-roles-service-action-9.md)
# Utilisation des rôles pour collecter l'inventaire et consulter OpsData
Systems Managerutilise le rôle lié au service nommé. **`AWSServiceRoleForAmazonSSM`** AWS Systems Manager utilise ce rôle de service IAM pour gérer les AWS ressources en votre nom.
## Autorisations de rôle liées au service pour l'inventaire, et OpsData OpsItems
Le rôle lié à un service `AWSServiceRoleForAmazonSSM` fait confiance uniquement à `ssm.amazonaws.com` pour assumer le rôle.
Vous pouvez utiliser le rôle lié au service `AWSServiceRoleForAmazonSSM` de Systems Manager dans les cas suivants :
+ L’outil Systems Manager Inventory utilise le rôle lié à un service `AWSServiceRoleForAmazonSSM` pour collecter les métadonnées d’inventaire à partir des balises et des groupes de ressources.
+ L'Exploreroutil utilise le rôle lié au service `AWSServiceRoleForAmazonSSM` pour permettre la visualisation OpsData et à OpsItems partir de plusieurs comptes. Ce rôle lié au service permet également de Explorer créer une règle gérée lorsque vous activez Security Hub CSPM en tant que source de données depuis ou. Explorer OpsCenter
**Important**
Auparavant, la console Systems Manager vous permettait de choisir le rôle lié au service IAM AWS géré `AWSServiceRoleForAmazonSSM` à utiliser comme rôle de maintenance pour vos tâches. L'utilisation de ce rôle et de la politique associée, `AmazonSSMServiceRolePolicy`, pour les tâches de la fenêtre de maintenance n'est plus recommandée. Si vous utilisez ce rôle pour des tâches de fenêtre de maintenance maintenant, nous vous encourageons à cesser de l'utiliser. Créez plutôt votre propre rôle IAM qui permet la communication entre Systems Manager et les autres Services AWS lorsque les tâches de votre fenêtre de maintenance sont exécutées.
Pour de plus amples informations, veuillez consulter [Configuration de Maintenance Windows](setting-up-maintenance-windows.md).
La politique gérée utilisée pour fournir des autorisations au rôle `AWSServiceRoleForAmazonSSM` est `AmazonSSMServiceRolePolicy`. Pour plus d'informations sur les autorisations accordées, consultez [AWS politique gérée : Amazon SSMService RolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSSMServiceRolePolicy).
## Création du rôle lié au service `AWSServiceRoleForAmazonSSM` pour Systems Manager
Vous pouvez utiliser la console IAM pour créer un rôle lié au service avec le cas d'utilisation **EC2**. L'utilisation de commandes pour IAM dans la AWS Command Line Interface (AWS CLI) ou l'utilisation de l'API IAM, crée un rôle lié au service qui porte le nom du service `ssm.amazonaws.com`. Pour plus d’informations, consultez [Création d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dans le *Guide de l’utilisateur IAM*.
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte.
## Modification du rôle lié au service `AWSServiceRoleForAmazonSSM` pour Systems Manager
Systems Manager ne vous permet pas de modifier le rôle lié à un service `AWSServiceRoleForAmazonSSM`. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour en savoir plus, consultez [Modification d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *guide de l'utilisateur IAM*.
## Suppression du rôle lié au service `AWSServiceRoleForAmazonSSM` pour Systems Manager
Si vous n'avez plus besoin d'utiliser de fonction ni de service nécessitant un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, aucune entité inutilisée n'est surveillée ou gérée activement. Vous pouvez utiliser la console IAM AWS CLI, ou l'API IAM pour supprimer manuellement le rôle lié à un service. Pour cela, vous devez commencer par nettoyer manuellement les ressources pour votre rôle lié à un service. Vous pouvez ensuite supprimer manuellement ce rôle.
Comme le rôle lié au service `AWSServiceRoleForAmazonSSM` peut être utilisé par plusieurs outils, avant d’essayer de supprimer le rôle, assurez-vous qu’aucune d’elles ne l’utilise.
+ **Inventaire** : si vous supprimez le rôle lié à un service utilisé par l’outil Inventory, les données d’inventaire pour les balises et les groupes de ressources ne seront plus synchronisées. Vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.
+ **Explorer:** Si vous supprimez le rôle lié au service utilisé par l'Exploreroutil, les rôles entre comptes et entre régions OpsItems ne sont plus OpsData visibles.
**Note**
Si le service Systems Manager utilise le rôle lorsque vous essayez de supprimer les balises ou les groupes de ressources, la suppression peut échouer. Si cela se produit, patientez quelques minutes et réessayez.
**Pour supprimer les ressources Systems Manager utilisées par le service `AWSServiceRoleForAmazonSSM`**
1. Pour supprimer des balises, consultez [Ajout et suppression de balises sur une ressource individuelle](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).
1. Pour supprimer des groupes de ressources, voir [Supprimer des groupes de Groupes de ressources AWS](https://docs.aws.amazon.com/ARG/latest/userguide/deleting-resource-groups.html).
**Pour supprimer manuellement le rôle lié au service `AWSServiceRoleForAmazonSSM` à l'aide d'IAM**
Utilisez la console IAM AWS CLI, ou l'API IAM pour supprimer le rôle lié au `AWSServiceRoleForAmazonSSM` service. Pour plus d'informations, consultez [Suppression d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l'utilisateur IAM*.
## Régions prises en charge pour le rôle lié à un service `AWSServiceRoleForAmazonSSM` de Systems Manager
Systems Managerprend en charge l'utilisation du rôle `AWSServiceRoleForAmazonSSM` lié au service partout Régions AWS où le service est disponible. Pour plus d’informations, consultez [Points de terminaison et quotas AWS Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html).
# Utilisation des rôles pour collecter des Compte AWS informations pour OpsCenter et Explorer
Systems Managerutilise le rôle lié au service nommé. **`AWSServiceRoleForAmazonSSM_AccountDiscovery`** AWS Systems Manager utilise ce rôle de service IAM pour appeler d'autres personnes afin Services AWS de découvrir des Compte AWS informations.
## Autorisations des rôles liés à un service pour la découverte de comptes Systems Manager
Le rôle lié à un service `AWSServiceRoleForAmazonSSM_AccountDiscovery` approuve les services suivants pour endosser le rôle :
+ `accountdiscovery.ssm.amazonaws.com`
La politique d'autorisations liée au rôle permet à Systems Manager de réaliser les actions suivantes sur les ressources spécifiées :
+ `organizations:DescribeAccount`
+ `organizations:DescribeOrganizationalUnit`
+ `organizations:DescribeOrganization`
+ `organizations:ListAccounts`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:ListDelegatedServicesForAccount`
+ `organizations:ListDelegatedAdministrators`
+ `organizations:ListRoots`
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d'informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l'utilisateur IAM*.
## Création du rôle lié au service `AWSServiceRoleForAmazonSSM_AccountDiscovery` pour Systems Manager
Vous devez créer un rôle lié à un service si vous souhaitez utiliser Explorer et OpsCenter, des outils de Systems Manager, sur plusieurs Comptes AWS. Pour OpsCenter, vous devez créer manuellement le rôle lié à un service. Pour de plus amples informations, veuillez consulter [(Facultatif) Configurez manuellement OpsCenter pour gérer de manière centralisée OpsItems sur l’ensemble des comptes](OpsCenter-getting-started-multiple-accounts.md).
Pour Explorer, si vous créez une synchronisation des données de ressource avec Systems Manager dans AWS Management Console, vous pouvez créer le rôle lié à un service en choisissant le bouton **Create role** (Créer un rôle). Pour créer une synchronisation des données de ressource par programmation, vous devez créer le rôle au préalable. Vous pouvez créer le rôle à l'aide de l'opération [CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html)API.
## Modification du rôle lié au service `AWSServiceRoleForAmazonSSM_AccountDiscovery` pour Systems Manager
Systems Manager ne vous permet pas de modifier le rôle lié à un service `AWSServiceRoleForAmazonSSM_AccountDiscovery`. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour en savoir plus, consultez [Modification d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *guide de l'utilisateur IAM*.
## Suppression du rôle lié au service `AWSServiceRoleForAmazonSSM_AccountDiscovery` pour Systems Manager
Si vous n'avez plus besoin d'utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, aucune entité inutilisée n'est surveillée ou gérée activement. Cependant, vous devez nettoyer votre rôle lié à un service avant de pouvoir le supprimer manuellement.
### Nettoyage du rôle lié au service `AWSServiceRoleForAmazonSSM_AccountDiscovery`
Avant de pouvoir utiliser IAM pour supprimer le rôle lié au service `AWSServiceRoleForAmazonSSM_AccountDiscovery`, vous devez d'abord supprimer toutes les synchronisations de données des ressources Explorer.
**Note**
Si le service Systems Manager utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression peut échouer. Si cela se produit, patientez quelques minutes et réessayez.
### Suppression manuelle du rôle lié au service `AWSServiceRoleForAmazonSSM_AccountDiscovery`
Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au `AWSServiceRoleForAmazonSSM_AccountDiscovery` service. Pour plus d'informations, consultez [Suppression d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l'utilisateur IAM*.
## Régions prises en charge pour le rôle lié à un service `AWSServiceRoleForAmazonSSM_AccountDiscovery` de Systems Manager
Systems Manager prend en charge l’utilisation des rôles liés à un service dans toutes les régions où le service est disponible. Pour plus d’informations, consultez [Points de terminaison et quotas AWS Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html).
## Mises à jour du rôle AWSServiceRoleForAmazonSSM\$1AccountDiscovery lié au service
Consultez les détails des mises à jour apportées au rôle AWSServiceRoleForAmazonSSM\$1AccountDiscovery lié au service depuis que ce service a commencé à suivre ces modifications. Pour obtenir des alertes automatiques sur les modifications apportées à cette page, abonnez-vous au flux RSS de la page Systems Manager [Historique du document](systems-manager-release-history.md).
| Modifier | Description | Date |
| --- | --- | --- |
| Ajout de nouvelles autorisations | Ce rôle lié à un service comprend désormais les autorisations `organizations:DescribeOrganizationalUnit` et `organizations:ListRoots`. Ces autorisations permettent à un compte AWS Organizations de gestion ou à un compte administrateur délégué de Systems Manager de travailler avec OpsItems plusieurs comptes. Pour de plus amples informations, veuillez consulter [(Facultatif) Configurez manuellement OpsCenter pour gérer de manière centralisée OpsItems sur l’ensemble des comptes](OpsCenter-getting-started-multiple-accounts.md). | 17 octobre 2022 |
# Utiliser des rôles pour créer OpsData et OpsItems pour Explorer
Systems Managerutilise le rôle lié au service nommé. **`AWSServiceRoleForSystemsManagerOpsDataSync`** AWS Systems Manager utilise ce rôle de service IAM pour Explorer créer OpsData etOpsItems.
## Autorisations de rôle liées au service pour la synchronisation Systems Manager OpsData
Le rôle lié à un service `AWSServiceRoleForSystemsManagerOpsDataSync` approuve les services suivants pour endosser le rôle :
+ `opsdatasync.ssm.amazonaws.com`
La politique d'autorisations liée au rôle permet à Systems Manager de réaliser les actions suivantes sur les ressources spécifiées :
+ Systems Manager Explorer exige qu'un rôle lié à un service accorde l'autorisation de mettre à jour une constatation de sécurité lorsqu'une OpsItem est mise à jour, de créer et de mettre à jour une source de données Security Hub CSPMOpsItem, et de désactiver la source de données Security Hub CSPM lorsqu'une règle gérée par SSM est supprimée par les clients.
La politique gérée utilisée pour fournir des autorisations au rôle `AWSServiceRoleForSystemsManagerOpsDataSync` est `AWSSystemsManagerOpsDataSyncServiceRolePolicy`. Pour plus d'informations sur les autorisations accordées, consultez [AWS politique gérée : AWSSystems ManagerOpsDataSyncServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy).
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d'informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l'utilisateur IAM*.
## Création du rôle lié au service `AWSServiceRoleForSystemsManagerOpsDataSync` pour Systems Manager
Vous n'avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous l'activez Explorer dans le AWS Management Console, Systems Manager crée le rôle lié au service pour vous.
**Important**
Ce rôle lié au service peut apparaître dans votre compte si vous avez effectué une action dans un autre service qui utilise les fonctions prises en charge par ce rôle. De même, si vous utilisiez Systems Manager avant le 1er janvier 2017, quand il commençait à prendre en charge les rôles liés à un service, Systems Manager créait le rôle `AWSServiceRoleForSystemsManagerOpsDataSync` dans votre compte. Pour en savoir plus, consultez [Un nouveau rôle est apparu dans mon compte IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous l'activez Explorer dans le AWS Management Console, Systems Manager crée à nouveau le rôle lié au service pour vous.
Vous pouvez également utiliser la console IAM pour créer un rôle lié à un service avec le rôle de **AWS service qui permet de créer OpsData et OpsItems d'Explorerutiliser** un cas. Dans l'API AWS CLI ou dans l' AWS API, créez un rôle lié à un service avec le nom du `opsdatasync.ssm.amazonaws.com` service. Pour plus d’informations, consultez [Création d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dans le *Guide de l’utilisateur IAM*. Si vous supprimez ce rôle lié à un service, vous pouvez utiliser ce même processus pour créer le rôle à nouveau.
## Modification du rôle lié au service `AWSServiceRoleForSystemsManagerOpsDataSync` pour Systems Manager
Systems Manager ne vous permet pas de modifier le rôle lié à un service `AWSServiceRoleForSystemsManagerOpsDataSync`. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour en savoir plus, consultez [Modification d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *guide de l'utilisateur IAM*.
## Suppression du rôle lié au service `AWSServiceRoleForSystemsManagerOpsDataSync` pour Systems Manager
Si vous n'avez plus besoin d'utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, aucune entité inutilisée n'est surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.
**Note**
Si le service Systems Manager utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression peut échouer. Si cela se produit, patientez quelques minutes et réessayez.
La procédure de suppression Systems Manager des ressources utilisées par le `AWSServiceRoleForSystemsManagerOpsDataSync` rôle dépend de votre configuration Explorer ou de votre intégration OpsCenter à Security Hub CSPM.
**Pour supprimer les ressources Systems Manager utilisées par le rôle `AWSServiceRoleForSystemsManagerOpsDataSync`**
+ Pour arrêter Explorer de créer de nouvelles conclusions OpsItems pour le Security Hub CSPM, consultez. [Comment arrêter l'envoi des résultats](explorer-securityhub-integration.md#explorer-securityhub-integration-disable-receive)
+ Pour arrêter OpsCenter de créer de nouvelles conclusions OpsItems relatives au Security Hub CSPM, voir
**Pour supprimer manuellement le rôle lié au service `AWSServiceRoleForSystemsManagerOpsDataSync` à l'aide d'IAM**
Utilisez la console IAM AWS CLI, le ou l' AWS API pour supprimer le rôle lié au `AWSServiceRoleForSystemsManagerOpsDataSync` service. Pour plus d'informations, consultez [Suppression d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l'utilisateur IAM*.
## Régions prises en charge pour le rôle lié à un service `AWSServiceRoleForSystemsManagerOpsDataSync` de Systems Manager
Systems Manager prend en charge l'utilisation des rôles liés à un service dans toutes les régions où le service est disponible. Pour de plus amples informations, consultez [Points de terminaison et quotas AWS Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html).
Systems Manager ne prend pas en charge l'utilisation des rôles liés à un service dans toutes les régions où le service est disponible. Vous pouvez utiliser le rôle `AWSServiceRoleForSystemsManagerOpsDataSync` dans les régions suivantes :
****
| Région AWS nom | Identité de la région | Prise en charge dans Systems Manager |
| --- | --- | --- |
| USA Est (Virginie du Nord) | us-east-1 | Oui |
| USA Est (Ohio) | us-east-2 | Oui |
| USA Ouest (Californie du Nord) | us-west-1 | Oui |
| USA Ouest (Oregon) | us-west-2 | Oui |
| Asie-Pacifique (Mumbai) | ap-south-1 | Oui |
| Asie-Pacifique (Osaka) | ap-northeast-3 | Oui |
| Asie-Pacifique (Séoul) | ap-northeast-2 | Oui |
| Asie-Pacifique (Singapour) | ap-southeast-1 | Oui |
| Asie-Pacifique (Sydney) | ap-southeast-2 | Oui |
| Asie-Pacifique (Tokyo) | ap-northeast-1 | Oui |
| Canada (Centre) | ca-central-1 | Oui |
| Europe (Francfort) | eu-central-1 | Oui |
| Europe (Irlande) | eu-west-1 | Oui |
| Europe (Londres) | eu-west-2 | Oui |
| Europe (Paris) | eu-west-3 | Oui |
| Europe (Stockholm) | eu-north-1 | Oui |
| Amérique du Sud (São Paulo) | sa-east-1 | Oui |
| AWS GovCloud (US) | us-gov-west-1 | Non |
# Utiliser les rôles pour créer des informations opérationnelles OpsItems dans Systems Manager OpsCenter
Systems Managerutilise le rôle lié au service nommé. **`AWSServiceRoleForAmazonSSM_OpsInsights`** AWS Systems Manager utilise ce rôle de service IAM pour créer et mettre à jour des informations opérationnelles OpsItems dans Systems ManagerOpsCenter.
## `AWSServiceRoleForAmazonSSM_OpsInsights`autorisations de rôle liées au service pour Systems Manager un aperçu opérationnel OpsItems
Le rôle lié à un service `AWSServiceRoleForAmazonSSM_OpsInsights` approuve les services suivants pour endosser le rôle :
+ `opsinsights.ssm.amazonaws.com`
La politique d'autorisations liée au rôle permet à Systems Manager de réaliser les actions suivantes sur les ressources spécifiées :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateOpsItem",
"Effect": "Allow",
"Action": [
"ssm:CreateOpsItem",
"ssm:AddTagsToResource"
],
"Resource": "*"
},
{
"Sid": "AllowAccessOpsItem",
"Effect": "Allow",
"Action": [
"ssm:UpdateOpsItem",
"ssm:GetOpsItem"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SsmOperationalInsight": "true"
}
}
}
]
}
```
------
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d'informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l'utilisateur IAM*.
## Création du rôle lié au service `AWSServiceRoleForAmazonSSM_OpsInsights` pour Systems Manager
Vous devez créer un rôle lié au service. Si vous activez les informations opérationnelles Systems Manager en utilisant le AWS Management Console, vous pouvez créer le rôle lié au service en cliquant sur le bouton **Activer**.
## Modification du rôle lié au service `AWSServiceRoleForAmazonSSM_OpsInsights` pour Systems Manager
Systems Manager ne vous permet pas de modifier le rôle lié à un service `AWSServiceRoleForAmazonSSM_OpsInsights`. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour en savoir plus, consultez [Modification d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *guide de l'utilisateur IAM*.
## Suppression du rôle lié au service `AWSServiceRoleForAmazonSSM_OpsInsights` pour Systems Manager
Si vous n'avez plus besoin d'utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n'avez aucune entité inutilisée qui n'est pas surveillée ou gérée activement. Cependant, vous devez nettoyer votre rôle lié à un service avant de pouvoir le supprimer manuellement.
### Nettoyage du rôle lié au service `AWSServiceRoleForAmazonSSM_OpsInsights`
Avant de pouvoir utiliser IAM pour supprimer un rôle lié au service `AWSServiceRoleForAmazonSSM_OpsInsights`, vous devez d'abord désactiver les informations opérationnelles dans Systems Manager OpsCenter. Pour de plus amples informations, veuillez consulter [Analyse des informations opérationnelles pour réduire OpsItems](OpsCenter-working-operational-insights.md).
### Suppression manuelle du rôle lié au service `AWSServiceRoleForAmazonSSM_OpsInsights`
Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au `AWSServiceRoleForAmazonSSM_OpsInsights` service. Pour plus d'informations, consultez [Suppression d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l'utilisateur IAM*.
## Régions prises en charge pour le rôle lié à un service `AWSServiceRoleForAmazonSSM_OpsInsights` de Systems Manager
Systems Manager ne prend pas en charge l'utilisation de rôles liés à un service dans toutes les régions où le service est disponible. Vous pouvez utiliser le AWSServiceRoleForAmazonSSM\$1OpsInsights rôle dans les régions suivantes.
****
| Nom de la région | Identité de la région | Prise en charge dans Systems Manager |
| --- | --- | --- |
| USA Est (Virginie du Nord) | us-east-1 | Oui |
| USA Est (Ohio) | us-east-2 | Oui |
| USA Ouest (Californie du Nord) | us-west-1 | Oui |
| USA Ouest (Oregon) | us-west-2 | Oui |
| Asie-Pacifique (Mumbai) | ap-south-1 | Oui |
| Asie-Pacifique (Tokyo) | ap-northeast-1 | Oui |
| Asie-Pacifique (Séoul) | ap-northeast-2 | Oui |
| Asie-Pacifique (Singapour) | ap-southeast-1 | Oui |
| Asie-Pacifique (Sydney) | ap-southeast-2 | Oui |
| Asie-Pacifique (Hong Kong) | ap-east-1 | Oui |
| Canada (Centre) | ca-central-1 | Oui |
| Europe (Francfort) | eu-central-1 | Oui |
| Europe (Irlande) | eu-west-1 | Oui |
| Europe (Londres) | eu-west-2 | Oui |
| Europe (Paris) | eu-west-3 | Oui |
| Europe (Stockholm) | eu-north-1 | Oui |
| Europe (Milan) | eu-south-1 | Oui |
| Amérique du Sud (São Paulo) | sa-east-1 | Oui |
| Moyen-Orient (Bahreïn) | me-south-1 | Oui |
| Afrique (Le Cap) | af-south-1 | Oui |
| AWS GovCloud (US) | us-gov-west-1 | Oui |
| AWS GovCloud (US) | us-gov-east-1 | Oui |
# Utilisation de rôles pour maintenir l’état et la cohérence des ressources provisionnées par Quick Setup
Systems Manager utilise le rôle lié à un service **`AWSServiceRoleForSSMQuickSetup`**.
## Autorisations de rôle lié à un service `AWSServiceRoleForSSMQuickSetup` pour Systems Manager
Le rôle lié à un service `AWSServiceRoleForSSMQuickSetup` approuve les services suivants pour endosser le rôle :
+ `ssm-quicksetup.amazonaws.com`
AWS Systems Manager utilise ce rôle de service IAM pour vérifier l'état de la configuration, garantir une utilisation cohérente des paramètres et des ressources allouées, et corriger les ressources lorsqu'une dérive est détectée.
La politique d'autorisations liée au rôle permet à Systems Manager de réaliser les actions suivantes sur les ressources spécifiées :
+ `ssm` (Systems Manager) : lit les informations relatives à l’état dans lequel les ressources configurées sont censées se trouver, y compris dans les comptes d’administrateurs délégués.
+ `iam` (Gestion des identités et des accès AWS) : nécessaire pour que les synchronisations des données de ressources soient accessibles à l’ensemble des organisations dans AWS Organizations.
+ `organizations` (AWS Organizations) : lit les informations sur les comptes membres appartenant à une organisation, tels que configurés dans Organizations.
+ `cloudformation`(CloudFormation) — Lit les informations sur les CloudFormation piles utilisées pour gérer l'état des ressources et les opérations des CloudFormation stacksets.
La politique gérée utilisée pour fournir des autorisations au rôle `AWSServiceRoleForSSMQuickSetup` est `SSMQuickSetupRolePolicy`. Pour plus d'informations sur les autorisations accordées, consultez [AWS politique gérée : SSMQuick SetupRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SSMQuickSetupRolePolicy).
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d'informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l'utilisateur IAM*.
## Création du rôle lié au service `AWSServiceRoleForSSMQuickSetup` pour Systems Manager
Il n'est pas nécessaire de créer manuellement le rôle lié au service de AWSService RoleFor SSMQuick configuration. Lorsque vous créez une configuration Quick Setup dans l’ AWS Management Console, Systems Manager crée automatiquement le rôle lié au service pour vous.
## Modification du rôle lié au service `AWSServiceRoleForSSMQuickSetup` pour Systems Manager
Systems Manager ne vous permet pas de modifier le rôle lié à un service `AWSServiceRoleForSSMQuickSetup`. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour en savoir plus, consultez [Modification d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *guide de l'utilisateur IAM*.
## Suppression du rôle lié au service `AWSServiceRoleForSSMQuickSetup` pour Systems Manager
Si vous n'avez plus besoin d'utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n'avez aucune entité inutilisée qui n'est pas surveillée ou gérée activement. Cependant, vous devez nettoyer votre rôle lié à un service avant de pouvoir le supprimer manuellement.
### Nettoyage du rôle lié au service `AWSServiceRoleForSSMQuickSetup`
Avant que vous puissiez utiliser IAM pour supprimer le rôle lié au service `AWSServiceRoleForSSMQuickSetup`, vous devez d’abord supprimer les configurations Quick Setup qui utilisent le rôle. Pour de plus amples informations, veuillez consulter [Modification et suppression de votre configuration](quick-setup-using.md#quick-setup-edit-delete).
### Suppression manuelle du rôle lié au service `AWSServiceRoleForSSMQuickSetup`
Utilisez la console IAM AWS CLI, le ou l' AWS API pour supprimer le rôle lié au `AWSServiceRoleForSSMQuickSetup` service. Pour plus d’informations, consultez les rubriques suivantes :
+ [Deleting a service-linked role](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *guide de l’utilisateur IAM*
+ [https://docs.aws.amazon.com/cli/latest/reference/ssm-quicksetup/delete-configuration-manager.html](https://docs.aws.amazon.com/cli/latest/reference/ssm-quicksetup/delete-configuration-manager.html) dans la section Quick Setup de la *référence AWS CLI *
+ [https://docs.aws.amazon.com/quick-setup/latest/APIReference/API_DeleteConfigurationManager.html](https://docs.aws.amazon.com/quick-setup/latest/APIReference/API_DeleteConfigurationManager.html) dans la *Référence d'API Quick Setup*
## Régions prises en charge pour le rôle lié à un service `AWSServiceRoleForSSMQuickSetup` de Systems Manager
Systems Manager ne prend pas en charge l'utilisation de rôles liés à un service dans toutes les régions où le service est disponible. Vous pouvez utiliser le rôle AWSService RoleFor SSMQuick Configuration dans les régions suivantes.
+ USA Est (Ohio)
+ USA Est (Virginie du Nord)
+ USA Ouest (Californie du Nord)
+ USA Ouest (Oregon)
+ Asie-Pacifique (Mumbai)
+ Asie-Pacifique (Séoul)
+ Asie-Pacifique (Singapour)
+ Asie-Pacifique (Sydney)
+ Asie-Pacifique (Tokyo)
+ Canada (Centre)
+ Europe (Francfort)
+ Europe (Stockholm)
+ Europe (Irlande)
+ Europe (Londres)
+ Europe (Paris)
+ Amérique du Sud (São Paulo)
# Utiliser des rôles pour exporter Explorer OpsData
AWS Systems Manager Explorerutilise le rôle de SSMExplorer ExportRole service **Amazon** pour exporter les données d'opérations (OpsData) à l'aide du runbook `AWS-ExportOpsDataToS3` d'automatisation.
## Autorisations des rôles liés à un service pour Explorer
Le rôle lié à un service `AmazonSSMExplorerExportRole` fait confiance uniquement à `ssm.amazonaws.com` pour assumer le rôle.
Vous pouvez utiliser le rôle `AmazonSSMExplorerExportRole` lié à un service pour exporter les données d'opérations (OpsData) à l'aide du runbook `AWS-ExportOpsDataToS3` d'automatisation. Vous pouvez exporter 5 000 OpsData articles depuis Explorer un fichier de valeurs séparées par des virgules (.csv) vers un bucket Amazon Simple Storage Service (Amazon S3).
La politique d'autorisations liée au rôle permet à Systems Manager de réaliser les actions suivantes sur les ressources spécifiées :
+ `s3:PutObject`
+ `s3:GetBucketAcl`
+ `s3:GetBucketLocation`
+ `sns:Publish`
+ `logs:DescribeLogGroups`
+ `logs:DescribeLogStreams`
+ `logs:CreateLogGroup`
+ `logs:PutLogEvents`
+ `logs:CreateLogStream`
+ `ssm:GetOpsSummary`
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d'informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l'utilisateur IAM*.
## Création du rôle lié au service `AmazonSSMExplorerExportRole` pour Systems Manager
Systems Manager crée le rôle `AmazonSSMExplorerExportRole` lié au service lorsque vous exportez à OpsData l'aide de Explorer la console Systems Manager. Pour de plus amples informations, veuillez consulter [Exportation OpsData depuis Systems Manager Explorer](Explorer-exporting-OpsData.md).
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte.
## Modification du rôle lié au service `AmazonSSMExplorerExportRole` pour Systems Manager
Systems Manager ne vous permet pas de modifier le rôle lié à un service `AmazonSSMExplorerExportRole`. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour en savoir plus, consultez [Modification d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *guide de l'utilisateur IAM*.
## Suppression du rôle lié au service `AmazonSSMExplorerExportRole` pour Systems Manager
Si vous n'avez plus besoin d'utiliser de fonction ni de service nécessitant un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, aucune entité inutilisée n'est surveillée ou gérée activement. Vous pouvez utiliser la console IAM AWS CLI, ou l'API IAM pour supprimer manuellement le rôle lié à un service. Pour cela, vous devez commencer par nettoyer manuellement les ressources pour votre rôle lié à un service. Vous pouvez ensuite supprimer manuellement ce rôle.
**Note**
Si le service Systems Manager utilise le rôle lorsque vous essayez de supprimer les balises ou les groupes de ressources, la suppression peut échouer. Si cela se produit, patientez quelques minutes et réessayez.
**Pour supprimer les ressources Systems Manager utilisées par le service `AmazonSSMExplorerExportRole`**
1. Pour supprimer des balises, consultez [Ajout et suppression de balises sur une ressource individuelle](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).
1. Pour supprimer des groupes de ressources, voir [Supprimer des groupes de Groupes de ressources AWS](https://docs.aws.amazon.com/ARG/latest/userguide/deleting-resource-groups.html).
**Pour supprimer manuellement le rôle lié au service `AmazonSSMExplorerExportRole` à l'aide d'IAM**
Utilisez la console IAM AWS CLI, ou l'API IAM pour supprimer le rôle lié au `AmazonSSMExplorerExportRole` service. Pour plus d'informations, consultez [Suppression d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l'utilisateur IAM*.
## Régions prises en charge pour le rôle lié à un service `AmazonSSMExplorerExportRole` de Systems Manager
Systems Managerprend en charge l'utilisation du rôle `AmazonSSMExplorerExportRole` lié au service partout Régions AWS où le service est disponible. Pour plus d’informations, consultez [Points de terminaison et quotas AWS Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html).
# Utilisation de rôles pour activer l'accès aux just-in-time nœuds
Systems Managerutilise le rôle lié au service nommé. **`AWSServiceRoleForSystemsManagerJustInTimeAccess`** AWS Systems Manager utilise ce rôle de service IAM pour permettre l'accès aux just-in-time nœuds.
## Autorisations de rôle liées au service pour l'accès aux nœuds Systems Manager just-in-time
Le rôle lié à un service `AWSServiceRoleForSystemsManagerJustInTimeAccess` approuve les services suivants pour endosser le rôle :
+ `ssm.amazonaws.com`
La politique d'autorisations liée au rôle permet à Systems Manager de réaliser les actions suivantes sur les ressources spécifiées :
+ `ssm:CreateOpsItem`
+ `ssm:GetOpsItem`
+ `ssm:UpdateOpsItem`
+ `ssm:DescribeOpsItems`
+ `ssm:DescribeSessions`
+ `ssm:ListTagsForResource`
+ `ssm-guiconnect:ListConnections`
+ `identitystore:ListGroupMembershipsForMember`
+ `identitystore:DescribeUser`
+ `identitystore:GetGroupId`
+ `identitystore:GetUserId`
+ `sso-directory:DescribeUsers`
+ `sso-directory:IsMemberInGroup`
+ `sso:ListInstances`
+ `sso:DescribeRegisteredRegions`
+ `sso:ListDirectoryAssociations`
+ `ec2:DescribeTags`
La politique gérée utilisée pour fournir des autorisations au rôle `AWSServiceRoleForSystemsManagerJustInTimeAccess` est `AWSSystemsManagerEnableJustInTimeAccessPolicy`. Pour plus d'informations sur les autorisations accordées, consultez [AWS politique gérée : AWSSystems ManagerJustInTimeAccessServicePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy).
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d'informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l'utilisateur IAM*.
## Création du rôle lié au service `AWSServiceRoleForSystemsManagerJustInTimeAccess` pour Systems Manager
Vous n'avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous activez l'accès aux just-in-time nœuds dans le AWS Management Console, Systems Manager crée le rôle lié au service pour vous.
**Important**
Ce rôle lié au service peut apparaître dans votre compte si vous avez effectué une action dans un autre service qui utilise les fonctions prises en charge par ce rôle. De même, si vous utilisiez Systems Manager avant le 19 novembre 2024, quand il commençait à prendre en charge les rôles liés à un service, Systems Manager créait le rôle `AWSServiceRoleForSystemsManagerJustInTimeAccess` dans votre compte. Pour en savoir plus, consultez [Un nouveau rôle est apparu dans mon compte IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous activez l'accès aux just-in-time nœuds dans le AWS Management Console, Systems Manager crée à nouveau le rôle lié au service pour vous.
Vous pouvez également utiliser la console IAM pour créer un rôle lié à un service avec le rôle de **AWS service qui permet à Systems Manager d'activer just-in-time** l'accès aux nœuds. cas d'utilisation. Dans l'API AWS CLI ou dans l' AWS API, créez un rôle lié à un service avec le nom du `ssm.amazonaws.com` service. Pour plus d’informations, consultez [Création d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dans le *Guide de l’utilisateur IAM*. Si vous supprimez ce rôle lié à un service, vous pouvez utiliser ce même processus pour créer le rôle à nouveau.
## Modification du rôle lié au service `AWSServiceRoleForSystemsManagerJustInTimeAccess` pour Systems Manager
Systems Manager ne vous permet pas de modifier le rôle lié à un service `AWSServiceRoleForSystemsManagerJustInTimeAccess`. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour en savoir plus, consultez [Modification d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *guide de l'utilisateur IAM*.
## Suppression du rôle lié au service `AWSServiceRoleForSystemsManagerJustInTimeAccess` pour Systems Manager
Si vous n'avez plus besoin d'utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, aucune entité inutilisée n'est surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.
**Note**
Si le service Systems Manager utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression peut échouer. Si cela se produit, patientez quelques minutes et réessayez.
**Pour supprimer manuellement le rôle lié au service `AWSServiceRoleForSystemsManagerJustInTimeAccess` à l'aide d'IAM**
Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au `AWSServiceRoleForSystemsManagerJustInTimeAccess` service. Pour plus d'informations, consultez [Suppression d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l'utilisateur IAM*.
## Régions prises en charge pour le rôle lié à un service `AWSServiceRoleForSystemsManagerJustInTimeAccess` de Systems Manager
****
| Région AWS nom | Identité de la région | Prise en charge dans Systems Manager |
| --- | --- | --- |
| USA Est (Virginie du Nord) | us-east-1 | Oui |
| USA Est (Ohio) | us-east-2 | Oui |
| USA Ouest (Californie du Nord) | us-west-1 | Oui |
| USA Ouest (Oregon) | us-west-2 | Oui |
| Asie-Pacifique (Mumbai) | ap-south-1 | Oui |
| Asie-Pacifique (Osaka) | ap-northeast-3 | Oui |
| Asie-Pacifique (Séoul) | ap-northeast-2 | Oui |
| Asie-Pacifique (Singapour) | ap-southeast-1 | Oui |
| Asie-Pacifique (Sydney) | ap-southeast-2 | Oui |
| Asie-Pacifique (Tokyo) | ap-northeast-1 | Oui |
| Canada (Centre) | ca-central-1 | Oui |
| Europe (Francfort) | eu-central-1 | Oui |
| Europe (Irlande) | eu-west-1 | Oui |
| Europe (Londres) | eu-west-2 | Oui |
| Europe (Paris) | eu-west-3 | Oui |
| Europe (Stockholm) | eu-north-1 | Oui |
| Amérique du Sud (São Paulo) | sa-east-1 | Oui |
| AWS GovCloud (US) | us-gov-west-1 | Non |
# Utilisation de rôles pour envoyer des notifications de demande d'accès aux just-in-time nœuds
Systems Managerutilise le rôle lié au service nommé. **`AWSServiceRoleForSystemsManagerNotifications`** AWS Systems Manager utilise ce rôle de service IAM pour envoyer des notifications aux approbateurs de demandes d'accès.
## Autorisations de rôle liées au service pour les notifications d'accès aux Systems Manager just-in-time nœuds
Le rôle lié à un service `AWSServiceRoleForSystemsManagerNotifications` approuve les services suivants pour endosser le rôle :
+ `ssm.amazonaws.com`
La politique d'autorisations liée au rôle permet à Systems Manager de réaliser les actions suivantes sur les ressources spécifiées :
+ `identitystore:ListGroupMembershipsForMember`
+ `identitystore:ListGroupMemberships`
+ `identitystore:DescribeUser`
+ `sso:ListInstances`
+ `sso:DescribeRegisteredRegions`
+ `sso:ListDirectoryAssociations`
+ `sso-directory:DescribeUser`
+ `sso-directory:ListMembersInGroup`
+ `iam:GetRole`
La politique gérée utilisée pour fournir des autorisations au rôle `AWSServiceRoleForSystemsManagerNotifications` est `AWSSystemsManagerNotificationsServicePolicy`. Pour plus d'informations sur les autorisations accordées, consultez [AWS politique gérée : AWSSystems ManagerNotificationsServicePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy).
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d'informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l'utilisateur IAM*.
## Création du rôle lié au service `AWSServiceRoleForSystemsManagerNotifications` pour Systems Manager
Vous n'avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous activez l'accès aux just-in-time nœuds dans le AWS Management Console, Systems Manager crée le rôle lié au service pour vous.
**Important**
Ce rôle lié au service peut apparaître dans votre compte si vous avez effectué une action dans un autre service qui utilise les fonctions prises en charge par ce rôle. De même, si vous utilisiez Systems Manager avant le 19 novembre 2024, quand il commençait à prendre en charge les rôles liés à un service, Systems Manager créait le rôle `AWSServiceRoleForSystemsManagerNotifications` dans votre compte. Pour en savoir plus, consultez [Un nouveau rôle est apparu dans mon compte IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous activez l'accès aux just-in-time nœuds dans le AWS Management Console, Systems Manager crée à nouveau le rôle lié au service pour vous.
Vous pouvez également utiliser la console IAM pour créer un rôle lié à un service avec le cas d’utilisation **Rôle de service AWS qui permet à Systems Manager d’envoyer des notifications aux approbateurs de demandes d’accès**. Dans l'API AWS CLI ou dans l' AWS API, créez un rôle lié à un service avec le nom du `ssm.amazonaws.com` service. Pour plus d’informations, consultez [Création d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dans le *Guide de l’utilisateur IAM*. Si vous supprimez ce rôle lié à un service, vous pouvez utiliser ce même processus pour créer le rôle à nouveau.
## Modification du rôle lié au service `AWSServiceRoleForSystemsManagerNotifications` pour Systems Manager
Systems Manager ne vous permet pas de modifier le rôle lié à un service `AWSServiceRoleForSystemsManagerNotifications`. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour en savoir plus, consultez [Modification d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *guide de l'utilisateur IAM*.
## Suppression du rôle lié au service `AWSServiceRoleForSystemsManagerNotifications` pour Systems Manager
Si vous n'avez plus besoin d'utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, aucune entité inutilisée n'est surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.
**Note**
Si le service Systems Manager utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression peut échouer. Si cela se produit, patientez quelques minutes et réessayez.
**Pour supprimer manuellement le rôle lié au service `AWSServiceRoleForSystemsManagerNotifications` à l'aide d'IAM**
Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au `AWSServiceRoleForSystemsManagerNotifications` service. Pour plus d'informations, consultez [Suppression d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l'utilisateur IAM*.
## Régions prises en charge pour le rôle lié à un service `AWSServiceRoleForSystemsManagerNotifications` de Systems Manager
****
| Région AWS nom | Identité de la région | Prise en charge dans Systems Manager |
| --- | --- | --- |
| USA Est (Virginie du Nord) | us-east-1 | Oui |
| USA Est (Ohio) | us-east-2 | Oui |
| USA Ouest (Californie du Nord) | us-west-1 | Oui |
| USA Ouest (Oregon) | us-west-2 | Oui |
| Asie-Pacifique (Mumbai) | ap-south-1 | Oui |
| Asie-Pacifique (Osaka) | ap-northeast-3 | Oui |
| Asie-Pacifique (Séoul) | ap-northeast-2 | Oui |
| Asie-Pacifique (Singapour) | ap-southeast-1 | Oui |
| Asie-Pacifique (Sydney) | ap-southeast-2 | Oui |
| Asie-Pacifique (Tokyo) | ap-northeast-1 | Oui |
| Canada (Centre) | ca-central-1 | Oui |
| Europe (Francfort) | eu-central-1 | Oui |
| Europe (Irlande) | eu-west-1 | Oui |
| Europe (Londres) | eu-west-2 | Oui |
| Europe (Paris) | eu-west-3 | Oui |
| Europe (Stockholm) | eu-north-1 | Oui |
| Amérique du Sud (São Paulo) | sa-east-1 | Oui |
| AWS GovCloud (US) | us-gov-west-1 | Non |