• O AWS Systems Manager CloudWatch Dashboard não estará mais disponível a partir de 30 de abril de 2026. Os clientes podem continuar usando o console do Amazon CloudWatch para visualizar, criar e gerenciar os painéis do Amazon CloudWatch exatamente como fazem hoje. Para obter mais informações, consulte a [documentação do Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

# Configurar perfis e permissões para o Change Manager
<a name="change-manager-permissions"></a>

**Mudança de disponibilidade do Change Manager**  
O AWS Systems Manager Change Manager não estará mais disponível para novos clientes a partir de 7 de novembro de 2025. Se quiser usar o Change Manager, inscreva-se antes dessa data. Os clientes atuais podem continuar usando o serviço normalmente. Para obter mais informações, consulte [mudança de disponibilidade do AWS Systems Manager Change Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/change-manager-availability-change.html). 

Por padrão, o Change Manager não tem permissão para executar ações em suas instâncias. Você deve conceder acesso usando uma AWS Identity and Access ManagementFunção de serviço (IAM) ou *Função assumida*. Essa função permite Change Manager executar com segurança os fluxos de trabalho de runbook especificados em uma solicitação de alteração aprovada em seu nome. Essa função concede a AWS Security Token Service (AWS STS) [AssumeRole (Função assuida)](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) de Change Manager.

Ao fornecer essas permissões a uma função para agir em nome de usuários em uma organização, os usuários não precisam receber essa matriz de permissões. As ações permitidas pelas permissões são limitadas apenas a operações aprovadas.

Quando os usuários em sua conta ou organização criam uma solicitação de alteração, eles podem selecionar essa função para realizar as operações de alteração.

Você pode criar uma nova função assumida para Change Manager ou atualizar uma função existente com as permissões necessárias.

Se você precisar criar uma função de serviço para o Change Manager, conclua as tarefas a seguir. 

**Topics**
+ [Tarefa 1: Criar uma política de função assumida para Change Manager](#change-manager-role-policy)
+ [Tarefa 2: Criando uma função assumida para Change Manager](#change-manager-role)
+ [Tarefa 3: Anexar a política `iam:PassRole` a outras funções](#change-manager-passpolicy)
+ [Tarefa 4: Adicionar políticas em linha a um papel assumido para invocar outros Serviços da AWS](#change-manager-role-add-inline-policy)
+ [Tarefa 5: Configurar o acesso do usuário para Change Manager](#change-manager-passrole)

## Tarefa 1: Criar uma política de função assumida para Change Manager
<a name="change-manager-role-policy"></a>

Use o procedimento a seguir para criar a política que você anexará à sua função assumida Change Manager.

**Para criar uma política de função assumida para Change Manager**

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Policies** e, em seguida, **Create Policy**.

1. Na página **Criar política**, escolha a guia **JSON** e substitua o conteúdo padrão pelo seguinte, que você modificará para suas próprias Change Manager operações nas etapas a seguir.
**nota**  
Se você estiver criando uma política para usar com uma única Conta da AWS e não uma organização com várias contas e Regiões da AWS, é possível omitir o primeiro bloco de instrução. A `iam:PassRole` permissão não é necessária no caso de uma única conta usando Change Manager.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "iam:PassRole",
               "Resource": "arn:aws:iam::111122223333:role/AWS-SystemsManager-job-functionAdministrationRole",
               "Condition": {
                   "StringEquals": {
                       "iam:PassedToService": "ssm.amazonaws.com"
                   }
               }
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ssm:DescribeDocument",
                   "ssm:GetDocument",
                   "ssm:StartChangeRequestExecution"
               ],
               "Resource": [
                   "arn:aws:ssm:us-east-1::document/template-name",
                   "arn:aws:ssm:us-east-1:111122223333:automation-execution/*"
               ]
           },
           {
               "Effect": "Allow",
               "Action": [
                   "ssm:ListOpsItemEvents",
                   "ssm:GetOpsItem",
                   "ssm:ListDocuments",
                   "ssm:DescribeOpsItems"
               ],
               "Resource": "*"
           }
       ]
   }
   ```

------

1. Para a ação `iam:PassRole`, atualize o valor `Resource` para incluir os ARNs de todas as funções de trabalho definidas para sua organização que você deseja conceder permissões para iniciar fluxos de trabalho de runbook.

1. Substitua os espaços reservados de *region*, *account-id*, *template-name*, *delegated-admin-account-id* e *job-function* por valores para as operações do Change Manager.

1. Para a segunda instrução `Resource`, modifique a lista para incluir todos os modelos de alteração para os quais você deseja conceder permissões. Como alternativa, especifique `"Resource": "*"` para conceder permissões para todos os modelos de alteração em sua organização.

1. Escolha **Próximo: tags**.

1. (Opcional) Adicione um ou mais pares de chave-valor de etiqueta para organizar, monitorar ou controlar acesso para essa política. 

1. Escolha **Próximo: revisar**.

1. Na página **Review policy (Revisar política)**, insira um nome na caixa **Name (Nome)**, como **MyChangeManagerAssumeRole**, e insira uma descrição opcional.

1. Escolha **Create policy (Criar política)** e continue para [Tarefa 2: Criando uma função assumida para Change Manager](#change-manager-role).

## Tarefa 2: Criando uma função assumida para Change Manager
<a name="change-manager-role"></a>

Use o procedimento a seguir para criar uma função assumida Change Manager, um tipo de função de serviço, para Change Manager.

**Para criar uma função assumida para Change Manager**

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Roles** e **Create role**.

1. Em **Select trusted entity** (Selecionar entidade confiável), faça as seguintes escolhas:

   1. Em **Trusted entity type** (Tipo de entidade confiável), escolha ** service** (Serviço da AWS)

   1. Em **Casos de uso para outros Serviços da AWS**, escolha **Systems Manager**.

   1. Escolha **Systems Manager**, como mostrado na imagem a seguir.  
![\[Captura de tela ilustrando a opção Systems Manager selecionada como um caso de uso.\]](http://docs.aws.amazon.com/pt_br/systems-manager/latest/userguide/images/iam_use_cases_for_MWs.png)

1. Escolha **Próximo**.

1. Na página **Attached permissions policy (Política de permissões anexadas)**, procure a política de função assumida que você criou em [Tarefa 1: Criar uma política de função assumida para Change Manager](#change-manager-role-policy), por exemplo,**MyChangeManagerAssumeRole**. 

1. Marque a caixa de seleção ao lado do nome da política assumir função e escolha **Próximo: tags.**.

1. Em **Role name** (Nome da função), insira um nome para seu novo perfil da instância, como **MyChangeManagerAssumeRole**.

1. (Opcional) Em **Description** (Descrição), atualize a descrição deste perfil de instância.

1. (Opcional) Adicione um ou mais pares de chave-valor de etiqueta para organizar, monitorar ou controlar acesso para essa função. 

1. Escolha **Próximo: revisar**.

1. (Opcional) Em **Tags** (Etiquetas), adicione um ou mais pares de valores etiqueta-chave para organizar, monitorar ou controlar o acesso para esse perfil e, em seguida, escolha **Create role** (Criar perfil). O sistema faz com que você retorne para a página **Roles**.

1. Selecione **Create role** (Criar função). O sistema faz com que você retorne para a página **Roles**.

1. Na página **Roles** (Funções), escolha a função que você acabou de criar para abrir a página **Summary** (Resumo). 

## Tarefa 3: Anexar a política `iam:PassRole` a outras funções
<a name="change-manager-passpolicy"></a>

Use o procedimento a seguir para anexar a política `iam:PassRole` a um perfil de instância do IAM ou função de serviço do IAM. (O serviço Systems Manager usa perfis de instância do IAM para se comunicar com instâncias do EC2. Para nós gerenciados que não são do EC2 em um ambiente [híbrido e multinuvem](operating-systems-and-machine-types.md#supported-machine-types), utiliza-se um perfil de serviço do IAM.)

Ao anexar o política `iam:PassRole`, o serviço Change Manager pode passar permissões de função para outros serviços ou ferramentas do Systems Manager (Gerenciador de sistemas) ao executar fluxos de trabalho do runbook.

**Para anexar a política `iam:PassRole` a um perfil de instância ou perfil de serviço do IAM**

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Perfis**.

1. Procure pela função assumida Change Manager que você criou, como **MyChangeManagerAssumeRole**, e escolha seu nome.

1. Na página **Summary (Resumo)** da função assumida, escolha a guia **Permissions (Permissões)**.

1. Escolha **Add permissions, Create inline policy** (Adicionar permissões, Criar política em linha).

1. Na página **Create policy** (Criar política), selecione a guia **Visual editor** (Editor visual).

1. Selecione **Service** (Serviço) e, em seguida, selecione **IAM**.

1. Na caixa de texto **Filter actions (Filtrar ações)**, insira **PassRole** e selecione a opção **PassRole**.

1. Ampliar os **Resources (Recursos)**. Verifique se **Specific** (Específico) está selecionado e, em seguida, selecione **Add ARN** (Adicionar ARN).

1. No campo **Specify ARN for role (Especificar ARN para função)**, insira o ARN da função de perfil da instância do IAM ou da função de serviço do IAM para a qual você deseja passar permissões de função assumida. O sistema preenche os campos **Account (Conta)** e **Role name with path (Nome da função com caminho)**. 

1. Escolha **Add** (Adicionar).

1. Escolha **Review policy** (Revisar política).

1. Em **Name** (Nome), insira um nome para identificar essa política e escolha **Create policy** (Criar política).

**Mais informações**  
+ [Configurar permissões de instância obrigatórias para o Systems Manager](setup-instance-permissions.md)
+ [Criar o perfil de serviço do IAM obrigatório para o Systems Manager em ambientes híbridos e multinuvem](hybrid-multicloud-service-role.md)

## Tarefa 4: Adicionar políticas em linha a um papel assumido para invocar outros Serviços da AWS
<a name="change-manager-role-add-inline-policy"></a>

Quando uma solicitação de alteração invoca outros Serviços da AWS usando a função assumida Change Manager, a função assume deve ser configurada com permissão para invocar esses serviços. Esse requisito se aplica a todos os AWSRunbooks do Automation (runbooks AWS-\$1) que podem ser usados em uma solicitação de alteração, como os Runbooks `AWS-ConfigureS3BucketLogging`, `AWS-CreateDynamoDBBackup` e `AWS-RestartEC2Instance`. Esse requisito também se aplica a todos os runbooks personalizados criados que invoquem outros Serviços da AWS, usando ações que chamam outros serviços. Por exemplo, se você usar as ações `aws:executeAwsApi`, `aws:CreateStack` ou `aws:copyImage`, então você deve configurar um perfil de serviço com permissão para invocar esses serviços. É possível habilitar permissões para outros Serviços da AWS adicionando uma política em linha do IAM à função. 

**Para adicionar uma política em linha a uma função de assunção para invocar outros Serviços da AWS (console do IAM)**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Perfis**.

1. Na lista, escolha o nome da função assumida que você deseja atualizar, como `MyChangeManagerAssumeRole`.

1. Escolha a aba **Permissões**.

1. Escolha **Add permissions, Create inline policy** (Adicionar permissões, Criar política em linha).

1. Selecione a guia **JSON**.

1. Insira um documento de política JSON para os Serviços da AWS que você deseja chamar. Veja a seguir dois exemplos de documentos de política JSON

   **Simple Storage Service (Amazon S3) `PutObject` e `GetObject` exemplo**

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "s3:PutObject",
                   "s3:GetObject"
               ],
               "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
           }
       ]
   }
   ```

------

   **Amazon EC2 `CreateSnapshot` e `DescribeSnapShots` exemplo**

------
#### [ JSON ]

****  

   ```
   {
      "Version":"2012-10-17",		 	 	 
      "Statement":[
         {
            "Effect":"Allow",
            "Action":"ec2:CreateSnapshot",
            "Resource":"*"
         },
         {
            "Effect":"Allow",
            "Action":"ec2:DescribeSnapshots",
            "Resource":"*"
         }
      ]
   }
   ```

------

    Para obter detalhes sobre a linguagem da política do IAM, consulte a [Referência da política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) no *Guia do usuário do IAM*.

1. Ao concluir, selecione **Review policy (Revisar política)**. O [Validador de política](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) indica se há qualquer erro de sintaxe.

1. Em **Name** (Nome), insira um nome para identificar a política que você está criando. Revise o **Resumo** da política para ver as permissões que são concedidas pela política. Em seguida, escolha **Criar política** para salvar seu trabalho.

1. Após a criação de uma política em linha, ela é automaticamente incorporada à sua função.

## Tarefa 5: Configurar o acesso do usuário para Change Manager
<a name="change-manager-passrole"></a>

Se seu usuário, grupo ou perfil tiver permissões de administrador atribuídas, você terá acesso ao Change Manager. Se você não tiver permissões de administrador, um administrador deverá atribuir a política gerenciada `AmazonSSMFullAccess` ou uma política que forneça permissões comparáveis ​​ao seu usuário, grupo ou perfil.

Use o procedimento a seguir para configurar um usuário para usar o Change Manager. O usuário escolhido terá permissões para configurar e executar o Change Manager. 

Dependendo da aplicação de identidade que você usa em sua organização, é possível selecionar qualquer uma das três opções disponíveis para configurar o acesso do usuário. Ao configurar o acesso do usuário, atribua ou adicione o seguinte: 

1. Atribua a política `AmazonSSMFullAccess` ou uma política comparável que forneça permissões para acessar o Systems Manager.

1. Atribua a política `iam:PassRole`.

1. Adicione o ARN para o perfil assumido do Change Manager copiado no final de [Tarefa 2: Criando uma função assumida para Change Manager](#change-manager-role).

Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
+ Usuários e grupos no Centro de Identidade do AWS IAM:

  Crie um conjunto de permissões. Siga as instruções em [Criação de um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) no *Guia do usuário do Centro de Identidade do AWS IAM*.
+ Usuários gerenciados no IAM com provedor de identidades:

  Crie um perfil para a federação de identidades. Siga as instruções em [Criando um perfil para um provedor de identidades de terceiros (federação)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) no *Guia do Usuário do IAM*.
+ Usuários do IAM:
  + Crie um perfil que seu usuário possa assumir. Siga as instruções em [Criação de um perfil para um usuário do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) no *Guia do usuário do IAM*.
  + (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em [Adição de permissões a um usuário (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.

Você terminou de configurar as funções necessárias para Change Manager. Agora é possível usar a função assumida ARN Change Manager em suas operações Change Manager.