• O AWS Systems Manager CloudWatch Dashboard não estará mais disponível a partir de 30 de abril de 2026. Os clientes podem continuar usando o console do Amazon CloudWatch para visualizar, criar e gerenciar os painéis do Amazon CloudWatch exatamente como fazem hoje. Para obter mais informações, consulte a [documentação do Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
# Configurar o acesso ao console do Systems Manager
Para usar o AWS Systems Manager no Console de gerenciamento da AWS, é necessário ter as permissões corretas configuradas.
Para obter mais informações sobre como criar políticas do AWS Identity and Access Management e anexá-las a identidades do IAM, consulte [Criar políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do usuário do IAM*
## Política de integração do Systems Manager
Você pode criar uma política do IAM como a mostrada no exemplo a seguir e anexar a política às suas identidades do IAM. Esta política concede acesso total à integração e à configuração do Systems Manager.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `ssm-quicksetup`: permite que as entidades principais acessem todas as ações do Configuração rápida do AWS Systems Manager.
+ `ssm`: permite que as entidades principais acessem o Systems Manager Automation e o Explorador de recursos.
+ `organizations`: permite que as entidades principais leiam a estrutura de uma organização no AWS Organizations e gerenciem os administradores delegados ao se integrarem ao Systems Manager como uma organização.
+ `cloudformation`: permite que as entidades principais gerenciem suas pilhas da Quick Setup.
+ `iam`: permite que as entidades principais gerenciem os perfis e políticas do IAM necessários para a integração do Systems Manager.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "QuickSetupActions",
"Effect": "Allow",
"Action": [
"ssm-quicksetup:*"
],
"Resource": "*"
},
{
"Sid": "SsmReadOnly",
"Effect": "Allow",
"Action": [
"ssm:DescribeAutomationExecutions",
"ssm:GetAutomationExecution",
"ssm:ListAssociations",
"ssm:DescribeAssociation",
"ssm:ListDocuments",
"ssm:ListResourceDataSync",
"ssm:DescribePatchBaselines",
"ssm:GetPatchBaseline",
"ssm:DescribeMaintenanceWindows",
"ssm:DescribeMaintenanceWindowTasks"
],
"Resource": "*"
},
{
"Sid": "SsmDocument",
"Effect": "Allow",
"Action": [
"ssm:GetDocument",
"ssm:DescribeDocument"
],
"Resource": [
"arn:aws:ssm:*:*:document/AWSQuickSetupType-*",
"arn:aws:ssm:*:*:document/AWS-EnableExplorer"
]
},
{
"Sid": "SsmEnableExplorer",
"Effect": "Allow",
"Action": "ssm:StartAutomationExecution",
"Resource": [
"arn:aws:ssm:*:*:document/AWS-EnableExplorer",
"arn:aws:ssm:*:*:automation-execution/*"
]
},
{
"Sid": "SsmExplorerRds",
"Effect": "Allow",
"Action": [
"ssm:GetOpsSummary",
"ssm:CreateResourceDataSync",
"ssm:UpdateResourceDataSync"
],
"Resource": "arn:aws:ssm:*:*:resource-data-sync/AWS-QuickSetup-*"
},
{
"Sid": "OrgsReadOnly",
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators",
"organizations:ListRoots",
"organizations:ListParents",
"organizations:ListOrganizationalUnitsForParent",
"organizations:DescribeOrganizationalUnit",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": "*"
},
{
"Sid": "OrgsAdministration",
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"ssm.amazonaws.com",
"ssm-quicksetup.amazonaws.com",
"member.org.stacksets.cloudformation.amazonaws.com",
"resource-explorer-2.amazonaws.com"
]
}
}
},
{
"Sid": "CfnReadOnly",
"Effect": "Allow",
"Action": [
"cloudformation:ListStacks",
"cloudformation:DescribeStacks",
"cloudformation:ListStackSets",
"cloudformation:DescribeOrganizationsAccess"
],
"Resource": "*"
},
{
"Sid": "OrgCfnAccess",
"Effect": "Allow",
"Action": [
"cloudformation:ActivateOrganizationsAccess"
],
"Resource": "*"
},
{
"Sid": "CfnStackActions",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStackResources",
"cloudformation:DescribeStackEvents",
"cloudformation:GetTemplate",
"cloudformation:RollbackStack",
"cloudformation:TagResource",
"cloudformation:UntagResource",
"cloudformation:UpdateStack"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-*",
"arn:aws:cloudformation:*:*:stack/AWS-QuickSetup-*",
"arn:aws:cloudformation:*:*:type/resource/*"
]
},
{
"Sid": "CfnStackSetActions",
"Effect": "Allow",
"Action": [
"cloudformation:CreateStackInstances",
"cloudformation:CreateStackSet",
"cloudformation:DeleteStackInstances",
"cloudformation:DeleteStackSet",
"cloudformation:DescribeStackInstance",
"cloudformation:DetectStackSetDrift",
"cloudformation:ListStackInstanceResourceDrifts",
"cloudformation:DescribeStackSet",
"cloudformation:DescribeStackSetOperation",
"cloudformation:ListStackInstances",
"cloudformation:ListStackSetOperations",
"cloudformation:ListStackSetOperationResults",
"cloudformation:TagResource",
"cloudformation:UntagResource",
"cloudformation:UpdateStackSet"
],
"Resource": [
"arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-*",
"arn:aws:cloudformation:*:*:type/resource/*",
"arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-*:*"
]
},
{
"Sid": "ValidationReadonlyActions",
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:GetRole"
],
"Resource": "*"
},
{
"Sid": "IamRolesMgmt",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:DeleteRole",
"iam:GetRole",
"iam:AttachRolePolicy",
"iam:DetachRolePolicy",
"iam:GetRolePolicy",
"iam:ListRolePolicies"
],
"Resource": [
"arn:aws:iam::*:role/AWS-QuickSetup-*",
"arn:aws:iam::*:role/service-role/AWS-QuickSetup-*"
]
},
{
"Sid": "IamPassRole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/AWS-QuickSetup-*",
"arn:aws:iam::*:role/service-role/AWS-QuickSetup-*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"ssm.amazonaws.com",
"ssm-quicksetup.amazonaws.com",
"cloudformation.amazonaws.com"
]
}
}
},
{
"Sid": "IamRolesPoliciesMgmt",
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:DetachRolePolicy"
],
"Resource": [
"arn:aws:iam::*:role/AWS-QuickSetup-*",
"arn:aws:iam::*:role/service-role/AWS-QuickSetup-*"
],
"Condition": {
"ArnEquals": {
"iam:PolicyARN": [
"arn:aws:iam::aws:policy/AWSSystemsManagerEnableExplorerExecutionPolicy",
"arn:aws:iam::aws:policy/AWSQuickSetupSSMDeploymentRolePolicy"
]
}
}
},
{
"Sid": "CfnStackSetsSLR",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/stacksets.cloudformation.amazonaws.com/AWSServiceRoleForCloudFormationStackSetsOrgAdmin",
"arn:aws:iam::*:role/aws-service-role/ssm.amazonaws.com/AWSServiceRoleForAmazonSSM",
"arn:aws:iam::*:role/aws-service-role/accountdiscovery.ssm.amazonaws.com/AWSServiceRoleForAmazonSSM_AccountDiscovery",
"arn:aws:iam::*:role/aws-service-role/ssm-quicksetup.amazonaws.com/AWSServiceRoleForSSMQuickSetup",
"arn:aws:iam::*:role/aws-service-role/resource-explorer-2.amazonaws.com/AWSServiceRoleForResourceExplorer"
]
}
]
}
```
------
## Política do operador do console do AWS Systems Manager
Você pode criar uma política do IAM como a mostrada no exemplo a seguir e anexar a política às suas identidades do IAM. Essa política concede acesso total para operar o Systems Manager e permite que o Systems Manager execute documentos do Automation para diagnóstico e correção.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `ssm`: permite que as entidades principais acessem todas as APIs do Systems Manager.
+ `ssm-quicksetup`: permite que as entidades principais gerenciem as próprias configurações da Quick Setup.
+ `ec2`: permite que o Systems Manager determine sua Regiões da AWS habilitada e o status da instância do Amazon EC2.
+ `cloudformation`: permite que as entidades principais leiam as próprias pilhas da Quick Setup.
+ `organizations`: permite que as entidades principais leiam a estrutura de uma organização no AWS Organizations e gerenciem os administradores delegados ao se integrarem ao Systems Manager como uma organização.
+ `s3`: permite que as entidades principais listem e obtenham objetos em um bucket do Amazon S3 para diagnóstico, o qual é criado durante o processo de integração do Systems Manager.
+ `iam:PassRole`: permite que as entidades principais passem perfis a serem assumidos para o Systems Manager quando eles executam automações para diagnóstico e correção de nós não gerenciados.
+ `iam:GetRole`: permite que as entidades principais obtenham informações específicas de perfis do Quick Setup ao operar com o Systems Manager.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:*",
"ssm-quicksetup:*"
],
"Resource": "*"
},
{
"Sid": "AllowEC2DescribeActions",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstances",
"ec2:DescribeRegions"
],
"Resource": "*"
},
{
"Sid": "CfnAccess",
"Effect": "Allow",
"Action": [
"cloudformation:ListStacks",
"cloudformation:ListStackSets",
"cloudformation:ListStackInstances",
"cloudformation:ListStackSetOperations",
"cloudformation:ListStackSetOperationResults",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackSet",
"cloudformation:DescribeStackSetOperation",
"cloudformation:DescribeOrganizationsAccess",
"cloudformation:DescribeStackInstance",
"cloudformation:DetectStackSetDrift",
"cloudformation:ListStackInstanceResourceDrifts"
],
"Resource": "*"
},
{
"Sid": "OrgsReadOnly",
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators",
"organizations:ListRoots",
"organizations:ListParents",
"organizations:ListOrganizationalUnitsForParent",
"organizations:DescribeOrganizationalUnit",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": "*"
},
{
"Sid": "AllowKMSOperations",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SystemsManagerManaged": "true"
},
"ArnLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::do-not-delete-ssm-diagnosis-*"
},
"StringLike": {
"kms:ViaService": "s3.*.amazonaws.com"
},
"Bool": {
"aws:ViaAWSService": "true"
}
}
},
{
"Sid": "AllowReadS3BucketFromOrganization",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::do-not-delete-ssm-diagnosis*",
"Condition": {
"StringEquals": {
"aws:ResourceOrgId": "${aws:PrincipalOrgId}"
}
}
},
{
"Sid": "AllowReadS3BucketFromSingleAccount",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::do-not-delete-ssm-diagnosis*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/AWS-SSM-DiagnosisAdminRole*",
"arn:aws:iam::*:role/AWS-SSM-DiagnosisExecutionRole*",
"arn:aws:iam::*:role/AWS-SSM-RemediationAdminRole*",
"arn:aws:iam::*:role/AWS-SSM-RemediationExecutionRole*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "ssm.amazonaws.com"
}
}
},
{
"Sid": "IamReadOnly",
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": [
"arn:aws:iam::*:role/AWS-QuickSetup-*",
"arn:aws:iam::*:role/service-role/AWS-QuickSetup-*"
]
}
]
}
```
------
## Política somente leitura do operador do console do AWS Systems Manager
Você pode criar uma política do IAM como a mostrada no exemplo a seguir e anexar a política às suas identidades do IAM. Essa política concede acesso somente leitura ao Systems Manager.
+ `ssm`: permite que as entidades principais acessem as APIs somente leitura do Systems Manager.
+ `ssm-quicksetup`: permite que as entidades principais leiam as próprias configurações da Quick Setup.
+ `cloudformation`: permite que as entidades principais leiam as próprias pilhas da Quick Setup.
+ `iam:GetRole`: permite que as entidades principais obtenham informações de perfis específicas para perfis do Quick Setup quando utilizam o Systems Manager.
+ `ec2:DescribeRegions`: permite que o Systems Manager determine suas Regiões da AWS habilitadas.
+ `organizations`: permite que as entidades principais leiam a estrutura de uma organização no AWS Organizations ao se integrarem ao Systems Manager como uma organização.
+ `s3`: permite que as entidades principais listem e obtenham objetos em um bucket do Amazon S3 que é criado durante o processo de integração do Systems Manager.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:Describe*",
"ssm:Get*",
"ssm:List*",
"ssm-quicksetup:List*",
"ssm-quicksetup:Get*",
"cloudformation:Describe*",
"cloudformation:Get*",
"cloudformation:List*",
"iam:GetRole",
"ec2:DescribeRegions",
"organizations:Describe*",
"organizations:List*"
],
"Resource": "*"
},
{
"Sid": "AllowKMSOperations",
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SystemsManagerManaged": "true"
},
"ArnLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::do-not-delete-ssm-diagnosis-*"
},
"StringLike": {
"kms:ViaService": "s3.*.amazonaws.com"
},
"Bool": {
"aws:ViaAWSService": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::do-not-delete-ssm-diagnosis*",
"Condition": {
"StringEquals": {
"aws:ResourceOrgId": "${aws:PrincipalOrgId}"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::do-not-delete-ssm-diagnosis*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------