Configuración de Maintenance Windows

Para que los usuarios de su Cuenta de AWS puedan crear y programar tareas de periodo de mantenimiento mediante Maintenance Windows, una capacidad de AWS Systems Manager, es preciso que antes se les concedan los permisos necesarios.

Antes de empezar

Para completar las tareas de la sección, necesita uno de los siguientes recursos ya configurados, o ambos:

Permisos asignados a una entidad de IAM (usuario, rol o grupo). Estas entidades ya deben tener permisos generales para utilizar periodos de mantenimiento. Haga esto y asigne la política de IAM AmazonSSMFullAccess a los usuarios o los grupos, o bien otra política de IAM que proporcione un conjunto más pequeño de permisos de acceso a Systems Manager que abarque las tareas del periodo de mantenimiento.
(Opcional) Para los periodos de mantenimiento que ejecuten tareas Run Command, puede elegir que se envíen notificaciones de estado de Amazon Simple Notification Service (Amazon SNS). Run Command es una capacidad de Systems Manager. Si desea utilizar esta opción, configure el tema de Amazon SNS antes de completar estas tareas de configuración. Para obtener información acerca de la configuración de las notificaciones de Amazon SNS para Systems Manager, incluida la información sobre cómo crear un rol de IAM para enviar notificaciones de SNS, consulte Monitoreo de los cambios de estado de Systems Manager mediante las notificaciones de Amazon SNS.

Información general sobre las tareas de configuración

Para conceder los permisos que los usuarios necesitan para registrar los periodos de mantenimiento, un administrador realiza las siguientes tareas. (Las instrucciones completas se proporcionan en Utilice la consola para configurar permisos para periodos de mantenimiento).

Tarea 1: Crear una política para utilizarla con el rol de periodo de mantenimiento personalizado

Las tareas de periodo de mantenimiento requieren un rol de IAM para proporcionar los permisos necesarios para su ejecución en los recursos de destino. El contenido de esta política lo determinan los tipos de tareas que se ejecutan y el resto de requisitos operativos.

Proporcionamos una política básica que puede adaptar en el tema Tarea 1: Crear una política para el rol de servicio de periodo de mantenimiento personalizado.

Tarea 2: Crear un rol de servicio personalizado para tareas de periodo de mantenimiento

La política que se crea en la tarea 1 se adjunta al rol de periodo de mantenimiento que se crea en la tarea 2. Cuando los usuarios registran una tarea de periodo de mantenimiento, especifican este rol de servicio personalizado como parte de la configuración de la tarea. Los permisos de este rol autorizan a Systems Manager a ejecutar tareas en periodos de mantenimiento en su nombre.

importante

Antes, la consola de Systems Manager ofrecía la posibilidad de elegir el rol vinculado a servicio de IAM AWSServiceRoleForAmazonSSM administrado de AWS que utilizar como rol de mantenimiento para las tareas. Ya no se recomienda utilizar este rol y su política asociada, AmazonSSMServiceRolePolicy, para tareas de periodo de mantenimiento. Si está utilizando actualmente este rol para tareas de periodo de mantenimiento, le recomendamos que deje de hacerlo. En su lugar, cree su propio rol de IAM que permita la comunicación entre Systems Manager y otros Servicios de AWS cuando se ejecuten las tareas de periodo de mantenimiento.

Tarea 3: Conceder permisos para utilizar el rol de servicio a los usuarios que registren tareas de periodo de mantenimiento

Proporcionar a los usuarios permisos para acceder al rol de periodo de mantenimiento personalizado les permite utilizarlo con sus tareas de periodo de mantenimiento. Esto se suma a los permisos que ya se les haya concedido para utilizar los comandos de la API de Systems Manager para la capacidad de Maintenance Windows. Este rol transmite los permisos necesarios para ejecutar una tarea de periodo de mantenimiento. Como resultado, un usuario no puede asignar tareas a un periodo de mantenimiento mediante el rol de servicio personalizado sin la posibilidad de transferir esos permisos de IAM.

Tarea 4 (opcional): Denegar explícitamente permisos a usuarios que no tengan autorización para registrar tareas de periodo de mantenimiento

Puede denegar el permiso ssm:RegisterTaskWithMaintenanceWindow a los usuarios de la Cuenta de AWS que no desee que registren tareas en periodos de mantenimiento. Esto proporciona una capa adicional de protección frente a usuarios que no deban registrar tareas de periodo de mantenimiento.

Temas

Utilice la consola para configurar permisos para periodos de mantenimiento

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Maintenance Windows

Control del acceso mediante la consola