• O AWS Systems Manager CloudWatch Dashboard não estará mais disponível a partir de 30 de abril de 2026. Os clientes podem continuar usando o console do Amazon CloudWatch para visualizar, criar e gerenciar os painéis do Amazon CloudWatch exatamente como fazem hoje. Para obter mais informações, consulte a [documentação do Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
# Etapa 2: verificar ou adicionar permissões de instância para o Session Manager
Por padrão, o AWS Systems Manager não tem permissão para executar ações em suas instâncias. É possível fornecer permissões de instância no nível da conta usando um perfil do AWS Identity and Access Management (IAM) ou no nível da instância usando um perfil de instância. Se o seu caso de uso permitir, recomendamos conceder acesso no nível da conta usando a configuração de gerenciamento de host padrão. Se já definiu a configuração de gerenciamento do host padrão para sua conta usando a política `AmazonSSMManagedEC2InstanceDefaultPolicy`, você pode avançar para a próxima etapa. Para obter mais informações sobre a configuração de gerenciamento do host padrão, consulte [Gerenciar instâncias do EC2 automaticamente com a Configuração de gerenciamento de hosts padrão](fleet-manager-default-host-management-configuration.md).
Se preferir, você pode usar perfis de instância para fornecer as permissões necessárias às suas instâncias. Um perfil da instância passa uma função do IAM para uma instância do Amazon EC2. Você pode anexar um perfil da instância do IAM a uma instância do Amazon EC2 ao executá-la ou a uma instância executada anteriormente. Para obter mais informações, consulte [Usar os perfis da instância](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-usingrole-instanceprofile.html).
Para servidores on-premises ou máquinas virtuais (VMs), as permissões são fornecidas pela função de serviço do IAM associada à ativação híbrida usada para registrar seus servidores e VMs on-premises com o Systems Manager. Servidores on-premises e VMs locais não usam perfis da instância.
Se você já usou outras ferramentas do Systems Manager, como o Run Command ou o Parameter Store, um perfil da instância com as permissões básicas necessárias para o Session Manager poderá já estar anexado às suas instâncias do Amazon EC2. Se um perfil da instância que contém a política gerenciada `AmazonSSMManagedInstanceCore` da AWS já estiver anexado às suas instâncias, as permissões para Session Manager já estarão fornecidas. Isso também é verdade se a função de serviço do IAM usada na ativação híbrida contiver a política gerenciada `AmazonSSMManagedInstanceCore`.
No entanto, em alguns casos, pode ser necessário modificar as permissões anexadas ao seu perfil de instância. Por exemplo, você quer fornecer um conjunto mais restrito de permissões de instância, você criou uma política personalizada para seu perfil da instância ou você quer usar as opções de criptografia do Amazon Simple Storage Service (Amazon S3) ou do AWS Key Management Service (AWS KMS) para proteger os dados da sessão. Nesses casos, para permitir que as ações do Session Manager sejam executadas em suas instâncias, proceda de uma das seguintes maneiras:
+ **Incorpore permissões para as ações do Session Manager em uma função do IAM personalizada**
Para adicionar permissões para ações do Session Manager a uma função do IAM existente que não dependa da política padrão `AmazonSSMManagedInstanceCore` fornecida pela AWS, siga as etapas em [Adicionar permissões do Session Manager a um perfil do IAM existente](getting-started-add-permissions-to-existing-profile.md).
+ **Crie uma função do IAM personalizada apenas com permissões do Session Manager**
Para criar uma função do IAM que contenha permissões somente para ações do Session Manager, siga as etapas em [Crie uma função do IAM personalizada para o Session Manager](getting-started-create-iam-instance-profile.md).
+ **Crie e use uma nova função do IAM com permissões para todas as ações do Systems Manager**
Para criar um perfil do IAM para as instâncias gerenciadas do Systems Manager que usam uma política padrão fornecida pela AWS para conceder todas as permissões do Systems Manager, siga as etapas em [Configurar permissões de instância obrigatórias para o Systems Manager](setup-instance-permissions.md).
**Topics**
+ [Adicionar permissões do Session Manager a um perfil do IAM existente](getting-started-add-permissions-to-existing-profile.md)
+ [Crie uma função do IAM personalizada para o Session Manager](getting-started-create-iam-instance-profile.md)
# Adicionar permissões do Session Manager a um perfil do IAM existente
Use o procedimento a seguir para adicionar permissões do Session Manager a um perfil do AWS Identity and Access Management (IAM) já existente. Ao adicionar permissões a um perfil já existente, você pode aprimorar a segurança do ambiente de computação sem precisar usar a política `AmazonSSMManagedInstanceCore` da AWS para obter permissões de instância.
**nota**
Observe as seguintes informações:
Esse procedimento pressupõe que sua função existente já inclui outras permissões `ssm` do Systems Manager para ações que você deseja permitir o acesso. Essa política não é suficiente para usar o Session Manager.
O exemplo de política a seguir contém uma ação `s3:GetEncryptionConfiguration`. Essa ação será obrigatória se você escolher a opção **Aplicar criptografia de log do S3** nas preferências de registro em log do Session Manager.
Se a permissão `ssmmessages:OpenControlChannel` for removida das políticas anexadas ao seu perfil de instância do IAM ou perfil de serviço do IAM, o SSM Agent no nó gerenciado perderá a conectividade com o serviço Systems Manager na nuvem. No entanto, pode levar até 1 hora para uma conexão ser encerrada após a remoção da permissão. Esse é o mesmo comportamento de quando a função da instância do IAM ou o perfil de serviço do IAM é excluído.
**Para adicionar permissões do Session Manager a uma função existente (console)**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, escolha **Perfis**.
1. Selecione o nome do perfil ao qual você está adicionando as permissões.
1. Escolha a aba **Permissões**.
1. Escolha **Adicionar permissões** e, em seguida, selecione **Criar política em linha**.
1. Selecione a guia **JSON**.
1. Substitua o conteúdo da política padrão pelo conteúdo a seguir. Substitua *key-name* pelo nome do recurso da Amazon (ARN) da chave do AWS Key Management Service (AWS KMS key) que você deseja usar.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetEncryptionConfiguration"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
}
]
}
```
------
Para obter informações sobre como usar uma chave KMS para criptografar dados de sessão, consulte [Ativar a criptografia de chaves do KMS de dados de sessão (console)](session-preferences-enable-encryption.md).
Se você não or usar a criptografia do AWS KMS para sua sessão de dados, poderá remover o seguinte conteúdo da política:
```
,
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "key-name"
}
```
1. Escolha **Next: Tags**.
1. (Opcional) Adicione tags escolhendo **Add tag** (Adicionar tag) e inserindo as tags preferenciais para a política.
1. Escolha **Próximo: revisar**.
1. Na página **Revisar política**, em **Nome**, digite um nome para a política em linha, como **SessionManagerPermissions**.
1. (Opcional) Em **Descrição**, digite uma descrição para a política.
Escolha **Criar política**.
Para obter informações sobre as ações `ssmmessages`, consulte [Referência: ec2messages, ssmmessages e outras operações da API](systems-manager-setting-up-messageAPIs.md).
# Crie uma função do IAM personalizada para o Session Manager
É possível criar um perfil do AWS Identity and Access Management (IAM) que conceda ao Session Manager a permissão para realizar ações em suas instâncias gerenciadas do Amazon EC2. Você também pode incluir uma política para conceder as permissões necessárias para que os logs da sessão sejam enviados ao Amazon Simple Storage Service (Amazon S3) e ao Amazon CloudWatch Logs.
Depois de criar o perfil do IAM, para obter informações sobre como anexar o perfil a uma instância consulte [Anexar ou substituir um perfil de instância](https://aws.amazon.com/premiumsupport/knowledge-center/attach-replace-ec2-instance-profile/) no site do AWS re:Post. Para obter mais informações sobre perfis de instância e perfis do IAM, consulte [Usar perfis de instância](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html) no *Guia do usuário do IAM* e [Perfis do IAM para Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html) no *Guia do usuário do Amazon Elastic Compute Cloud para instâncias do Linux*. Para obter mais informações sobre como criar um perfil de serviço do IAM para máquinas on-premises, consulte [Criar o perfil de serviço do IAM obrigatório para o Systems Manager em ambientes híbridos e multinuvem](https://docs.aws.amazon.com/systems-manager/latest/userguide/hybrid-multicloud-service-role.html).
**Topics**
+ [Crie uma função do IAM com permissões mínimas do Session Manager (console)](#create-iam-instance-profile-ssn-only)
+ [Crie uma função do IAM com permissões para o Session Manager, Amazon S3 e CloudWatch Logs (console)](#create-iam-instance-profile-ssn-logging)
## Crie uma função do IAM com permissões mínimas do Session Manager (console)
Use o procedimento a seguir para criar uma função do IAM personalizada com uma política que fornece permissões somente para ações do Session Manager em suas instâncias.
**Para criar um perfil de instância com permissões mínimas do Session Manager (console)**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, selecione **Políticas** e, em seguida, **Criar política**. (Se aparecer um botão **Get Started** (Iniciar), selecione-o e, em seguida, clique em **Create Policy** (Criar política).
1. Selecione a guia **JSON**.
1. Substitua o conteúdo padrão pela política a seguir. Para criptografar os dados de sessão usando o AWS Key Management Service (AWS KMS), substitua *key-name* pelo nome do recurso da Amazon (ARN) da AWS KMS key que você deseja usar.
**nota**
Se a permissão `ssmmessages:OpenControlChannel` for removida das políticas anexadas ao seu perfil de instância do IAM ou perfil de serviço do IAM, o SSM Agent no nó gerenciado perderá a conectividade com o serviço Systems Manager na nuvem. No entanto, pode levar até 1 hora para uma conexão ser encerrada após a remoção da permissão. Esse é o mesmo comportamento de quando a função da instância do IAM ou o perfil de serviço do IAM é excluído.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:UpdateInstanceInformation",
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
}
]
}
```
------
Para obter informações sobre como usar uma chave KMS para criptografar dados de sessão, consulte [Ativar a criptografia de chaves do KMS de dados de sessão (console)](session-preferences-enable-encryption.md).
Se você não or usar a criptografia do AWS KMS para sua sessão de dados, poderá remover o seguinte conteúdo da política:
```
,
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "key-name"
}
```
1. Escolha **Próximo: tags**.
1. (Opcional) Adicione tags escolhendo **Add tag** (Adicionar tag) e inserindo as tags preferenciais para a política.
1. Escolha **Próximo: revisar**.
1. Na página **Revisar política**, em **Nome**, digite um nome para a política em linha, como **SessionManagerPermissions**.
1. (Opcional) Em **Descrição**, digite uma descrição para a política.
1. Escolha **Criar política**.
1. No painel de navegação, escolha **Roles** (Funções) e **Create role** (Criar função).
1. Na página **Criar perfil**, escolha **Serviço da AWS** e, para **Caso de uso**, escolha **EC2**.
1. Escolha **Próximo**.
1. Na página **Add permissions** (Adicionar políticas), marque a caixa de seleção à esquerda do nome da política que acabou de criar, por exemplo, **SessionManagerPermissions**.
1. Escolha **Próximo**.
1. Na página **Name, review, and create** (Nomear, revisar e criar), em **Role name** (Nome da função), digite um nome para a função do IAM, por exemplo, **MySessionManagerRole**.
1. (Opcional) Em **Role description (Descrição da função)**, digite uma descrição para o perfil de instância.
1. (Opcional) Adicione tags escolhendo **Add tag** (Adicionar tag) e inserindo as tags preferenciais para a função.
Selecione **Criar perfil**.
Para obter informações sobre as ações `ssmmessages`, consulte [Referência: ec2messages, ssmmessages e outras operações da API](systems-manager-setting-up-messageAPIs.md).
## Crie uma função do IAM com permissões para o Session Manager, Amazon S3 e CloudWatch Logs (console)
Use o procedimento a seguir para criar uma função do IAM personalizada com uma política que fornece permissões para ações do Session Manager em suas instâncias. A política também fornece as permissões necessárias para que logs de sessão sejam armazenados em buckets do Amazon Simple Storage Service (Amazon S3) e em grupos de logs do Amazon CloudWatch Logs.
**Importante**
Para gerar logs de sessão em um bucket do Amazon S3 que pertença a outra Conta da AWS, você deve adicionar a permissão do IAM `s3:PutObjectAcl` à política de perfil do IAM. Além disso, é necessário garantir que a política do bucket conceda acesso entre contas ao perfil do IAM usado pela conta proprietária para conceder permissões do Systems Manager para instâncias gerenciadas. Se o bucket usar a criptografia do Key Management Service (KMS), a política do KMS do bucket também deverá conceder esse acesso entre contas. Para obter mais informações sobre como configurar permissões de bucket entre contas no Amazon S3, consulte [Granting cross-account bucket permissions](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example2.html) no *Guia do usuário do Amazon Simple Storage Service*. Se as permissões entre contas não forem adicionadas, a conta que possui o bucket do Amazon S3 não poderá acessar os logs de saída da sessão.
Para obter informações sobre como especificar as preferências para armazenar logs de sessão, consulte [Habilitar e desabilitar o registro em log de sessão](session-manager-logging.md).
**Para criar uma função do IAM com permissões para o Session Manager, Amazon S3 e CloudWatch Logs (console)**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, selecione **Políticas** e, em seguida, **Criar política**. (Se aparecer um botão **Get Started** (Iniciar), selecione-o e, em seguida, clique em **Create Policy** (Criar política).
1. Selecione a guia **JSON**.
1. Substitua o conteúdo padrão pela política a seguir. Substitua cada *espaço reservado para recurso de exemplo* por suas próprias informações.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel",
"ssm:UpdateInstanceInformation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/s3-prefix/*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetEncryptionConfiguration"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/key-name"
},
{
"Effect": "Allow",
"Action": "kms:GenerateDataKey",
"Resource": "*"
}
]
}
```
------
1. Escolha **Próximo: tags**.
1. (Opcional) Adicione tags escolhendo **Add tag** (Adicionar tag) e inserindo as tags preferenciais para a política.
1. Escolha **Próximo: revisar**.
1. Na página **Revisar política**, em **Nome**, digite um nome para a política em linha, como **SessionManagerPermissions**.
1. (Opcional) Em **Descrição**, digite uma descrição para a política.
1. Escolha **Criar política**.
1. No painel de navegação, escolha **Perfis** e **Criar perfil**.
1. Na página **Criar perfil**, escolha **Serviço da AWS** e, para **Caso de uso**, escolha **EC2**.
1. Escolha **Próximo**.
1. Na página **Add permissions** (Adicionar políticas), marque a caixa de seleção à esquerda do nome da política que acabou de criar, por exemplo, **SessionManagerPermissions**.
1. Escolha **Próximo**.
1. Na página **Name, review, and create** (Nomear, revisar e criar), em **Role name** (Nome da função), digite um nome para a função do IAM, por exemplo, **MySessionManagerRole**.
1. (Opcional) Em **Role description** (Descrição da função), digite uma descrição para a função.
1. (Opcional) Adicione tags escolhendo **Add tag** (Adicionar tag) e inserindo as tags preferenciais para a função.
1. Selecione **Criar perfil**.