

• O AWS Systems Manager CloudWatch Dashboard não estará mais disponível a partir de 30 de abril de 2026. Os clientes podem continuar usando o console do Amazon CloudWatch para visualizar, criar e gerenciar os painéis do Amazon CloudWatch exatamente como fazem hoje. Para obter mais informações, consulte a [documentação do Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

# Casos de uso e melhores práticas
<a name="systems-manager-best-practices"></a>

Esse tópico lista os casos de uso comuns e as melhores práticas para ferramentas do AWS Systems Manager. Se disponível, esse tópico também inclui links para postagens de blog relevantes e a documentação técnica.

**nota**  
O título de cada seção aqui é um link ativo na seção correspondente na documentação técnica.

**[Automação](systems-manager-automation.md)**
+ Crie runbooks do Automation do autoatendimento para infraestrutura.
+ Use o Automation, uma ferramenta do AWS Systems Manager, para simplificar a criação de Amazon Machine Images (AMIs) do AWS Marketplace ou de uma AMIs personalizada, usando documentos públicos do Systems Manager (documentos SSM) ou criando seus próprios fluxos de trabalho.
+ [Crie e mantenha as AMIs](automation-tutorial-update-ami.md) usando o `AWS-UpdateLinuxAmi` e runbooks do Automation do `AWS-UpdateWindowsAmi` ou runbooks do Automation personalizados criados por você.

**[Compliance](systems-manager-compliance.md)**
+ Como prática recomendada de segurança, recomendamos que você atualize o perfil (IAM) AWS Identity and Access Management usado pelos nós gerenciados para restringir a capacidade do nó de usar a ação da API [PutComplianceItems](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_PutComplianceItems.html). Essa ação da API registra um tipo de conformidade e outros detalhes de conformidade em um recurso designado, como uma instância do Amazon EC2 ou um nó gerenciado. Para obter mais informações, consulte [Configuração de permissões para Compliance](compliance-permissions.md).

**[Inventory](systems-manager-inventory.md)**
+ Use o Inventory, uma ferramenta do AWS Systems Manager, com o AWS Config para auditar suas configurações de aplicações ao longo do tempo.

**[Maintenance Windows](maintenance-windows.md)**
+ Defina um agendamento para realizar ações potencialmente disruptivas em seus nós, como patches de sistema operacional (SO), atualizações de drivers ou instalações de software.
+ Para obter informações sobre as diferenças entre State Manager e Maintenance Windows, uma ferramenta do AWS Systems Manager, consulte [Selecionar entre State Manager e Maintenance Windows](state-manager-vs-maintenance-windows.md).

**[Parameter Store](systems-manager-parameter-store.md)**
+ Use o Parameter Store, uma ferramenta do AWS Systems Manager, para gerenciar de forma centralizada as opções de configuração globais.
+ [Como o AWS Systems ManagerParameter Store usa o AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-parameter-store.html).
+ [Fazer referência a segredos do AWS Secrets Manager de parâmetros do Parameter Store](integration-ps-secretsmanager.md).

**[Patch Manager](patch-manager.md)**
+ Use o Patch Manager, uma ferramenta do AWS Systems Manager, para distribuir patches em grande escala e aumentar a visibilidade da conformidade da frota em seus nós.
+  [Integre o Patch Manager ao AWS Security Hub CSPM](patch-manager-security-hub-integration.md) para receber alertas quando os nós da sua frota saírem de conformidade e para monitorar o status da aplicação de patches das suas frotas de um ponto de vista de segurança. Será cobrada uma taxa para o uso do Security Hub CSPM. Para obter mais informações, consulte [Preços](https://aws.amazon.com/security-hub/pricing/).
+ Use somente um método por vez para verificar a conformidade com os patches nos nós gerenciados, a fim de [evitar sobrescrever acidentalmente dados de conformidade](patch-manager-compliance-data-overwrites.md).

**[Run Command](run-command.md)**
+ [Gerenciar instâncias em grande escala sem acesso ao SSH usando o recurso Run Command do EC2](https://aws.amazon.com/blogs/aws/manage-instances-at-scale-without-ssh-access-using-ec2-run-command/).
+ Audite todas as chamadas de API feitas por ou em nome do Run Command, uma ferramenta do AWS Systems Manager, usando o AWS CloudTrail.
+ Ao enviar um comando usando o Run Command, não inclua informações confidenciais formatadas como texto sem formatação, como senhas, dados de configuração ou outros segredos. Todas as atividades de API do Systems Manager em sua conta são registradas em um bucket do S3 para logs do AWS CloudTrail. Isso significa que qualquer usuário com acesso ao bucket do S3 poderá visualizar os valores de texto simples desses segredos. Por esse motivo, recomendamos a criação e o uso de parâmetros `SecureString` para criptografar os dados sigilosos que você usa nas operações do Systems Manager.

  Para obter mais informações, consulte [Restringir o acesso a parâmetros do Parameter Store usando políticas do IAM](sysman-paramstore-access.md).
**nota**  
Por padrão, os arquivos de log entregues pelo CloudTrail ao seu bucket são criptografados pela [criptografia do servidor da Amazon com chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html). Para oferecer uma camada de segurança diretamente gerenciável, é possível usar a [criptografia do lado do servidor com chaves gerenciadas por AWS KMS(SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) para os arquivos de log do CloudTrail.  
Para obter mais informações, consulte [Criptografar arquivos de log do CloudTrail com chaves gerenciadas pelo AWS KMS (SSE-KMS)](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/encrypting-cloudtrail-log-files-with-aws-kms.html), no *Guia do usuário do AWS CloudTrail*.
+ [Use os destinos e recursos de controle de taxa em Run Command para realizar uma operação de comando em etapas](send-commands-multiple.md).
+ [Use permissões de acesso detalhadas para o Run Command (e todas as ferramentas do Systems Manager), usando as políticas do AWS Identity and Access Management (IAM)](security_iam_id-based-policy-examples.md#customer-managed-policies).

**[Session Manager](session-manager.md)**
+ [Registrar as atividades da sessão em log em sua Conta da AWS usando o AWS CloudTrail](session-manager-auditing.md).
+ [Registre os dados da sessão na sua Conta da AWS usando o Amazon CloudWatch Logs ou Amazon S3](session-manager-logging.md).
+ [Controle o acesso da sessão do usuário às instâncias](session-manager-getting-started-restrict-access.md).
+ [Restringir acesso a comandos em uma sessão](session-manager-restrict-command-access.md).
+ [Desativar ou ativar permissões administrativas da conta ssm-user](session-manager-getting-started-ssm-user-permissions.md).

**[State Manager](systems-manager-state.md)**
+ [Atualize o SSM Agent pelo menos uma vez por mês usando o documento `AWS-UpdateSSMAgent` pré-configurado](state-manager-update-ssm-agent-cli.md).
+ (Windows) Carregue o módulo PowerShell ou DSC no Amazon Simple Storage Service (Amazon S3) e use o `AWS-InstallPowerShellModule`.
+ Use etiquetas para criar grupos de aplicações para seus nós. Em seguida, defina destinos para os nós gerenciados usando o parâmetro `Targets` em vez de especificar IDs de instância individuais.
+ [Corrija automaticamente as constatações geradas pelo Amazon Inspector usando o Systems Manager](https://aws.amazon.com/blogs/security/how-to-remediate-amazon-inspector-security-findings-automatically/).
+ [Use um repositório de configuração centralizado para todos os documentos SSM e compartilhe documentos em toda a sua organização](documents-ssm-sharing.md).
+ Para obter informações sobre as diferenças entre State Manager e Maintenance Windows, consulte [Selecionar entre State Manager e Maintenance Windows](state-manager-vs-maintenance-windows.md).

**[Nós gerenciados](fleet-manager-managed-nodes.md)**
+ O Systems Manager requer referências de tempo precisas para realizar suas operações. Se a data e a hora do nó não estiverem definidas corretamente, talvez elas não correspondam à data de assinatura das solicitações da API. Isso pode causar erros ou funcionalidades incompletas. Por exemplo, as instâncias com configurações de tempo incorretas não serão incluídas em suas listas de nós gerenciados.

  Para obter mais informações sobre como definir o horário de seus nós, consulte, [Definir o horário da sua instância do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/set-time.html). 
+ Em nós gerenciados pelo Linux, [verifique a assinatura do SSM Agent](verify-agent-signature.md).

**Mais informações**  
+ [Melhores práticas de segurança do Systems Manager](security-best-practices.md)