• O AWS Systems Manager CloudWatch Dashboard não estará mais disponível a partir de 30 de abril de 2026. Os clientes podem continuar usando o console do Amazon CloudWatch para visualizar, criar e gerenciar os painéis do Amazon CloudWatch exatamente como fazem hoje. Para obter mais informações, consulte a [documentação do Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

# Segurança no AWS Systems Manager
<a name="security"></a>

A segurança da nuvem na Amazon Web Services é a nossa maior prioridade. Como cliente da AWS, você se beneficiará de um data center e de uma arquitetura de rede criados para atender aos requisitos das empresas com as maiores exigências de segurança.

A segurança é uma responsabilidade compartilhada entre a AWS e você. O [Modelo de Responsabilidade Compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isso como segurança *da* nuvem e segurança *na* nuvem:
+ **Segurança da nuvem**: a AWS é responsável pela proteção da infraestrutura que executa os Serviços da AWS na Nuvem AWS. A AWS também fornece serviços que você pode usar com segurança. Auditores terceirizados testam e verificam regularmente a eficácia da nossa segurança como parte dos [Programas de conformidade da AWS](https://aws.amazon.com/compliance/programs/). Para saber mais sobre os programas de conformidade que se aplicam ao AWS Systems Manager, consulte [Serviços da AWS em escopo por programa de conformidade](https://aws.amazon.com/compliance/services-in-scope/)
+ **Segurança na nuvem**: sua responsabilidade é determinada pelo AWS service (Serviço da AWS) que você usa. Você também é responsável por outros fatores, incluindo a confidencialidade dos dados, os requisitos da empresa e as leis e regulamentos aplicáveis. 

Esta documentação ajuda a entender como aplicar o modelo de responsabilidade compartilhada ao usar o AWS Systems Manager. Os tópicos a seguir mostram como configurar o Systems Manager para atender aos seus objetivos de segurança e conformidade. Saiba também como usar outros Serviços da AWS que ajudam você a monitorar e proteger os recursos do Systems Manager. 

**Topics**
+ [Proteção de dados no AWS Systems Manager](data-protection.md)
+ [Perímetro de dados na AWS Systems Manager](data-perimeters.md)
+ [Gerenciamento de identidade e acesso para o AWS Systems Manager](security-iam.md)
+ [Usar perfis vinculados a serviço do Systems Manager](using-service-linked-roles.md)
+ [Registrar em log e monitorar no AWS Systems Manager](logging-and-monitoring.md)
+ [Validação de conformidade do AWS Systems Manager](compliance-validation.md)
+ [Resiliência no AWS Systems Manager](disaster-recovery-resiliency.md)
+ [Segurança da infraestrutura no AWS Systems Manager](infrastructure-security.md)
+ [Análise de vulnerabilidade e configuração no AWS Systems Manager](vulnerability-analysis-and-management.md)
+ [Melhores práticas de segurança do Systems Manager](security-best-practices.md)

# Proteção de dados no AWS Systems Manager
<a name="data-protection"></a>

A proteção de dados protege os dados *em trânsito* (à medida que são transferidos no Systems Manager) e *em repouso* (enquanto estão armazenados em datacenters da AWS).

O AWS [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica à proteção de dados no AWS Systems Manager. Conforme descrito nesse modelo, AWS é responsável por proteger a infraestrutura global que executa todas as Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para obter mais informações sobre a privacidade de dados, consulte as [Data Privacy FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Para obter mais informações sobre a proteção de dados na Europa, consulte a postagem do blog [AWS Shared Responsibility Model and RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *Blog de segurança da AWS*.

Para fins de proteção de dados, recomendamos que você proteja as credenciais da Conta da AWS e configure as contas de usuário individuais com Centro de Identidade do AWS IAM ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use uma autenticação multifator (MFA) com cada conta.
+ Use SSL/TLS para se comunicar com os recursos da AWS. Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Configure os logs de API e atividade do usuário com AWS CloudTrail. Para obter informações sobre como usar as trilhas do CloudTrail para capturar atividades da AWS, consulte [Working with CloudTrail trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) no *Guia do usuário do AWS CloudTrail*.
+ Use as soluções de criptografia AWS, juntamente com todos os controles de segurança padrão em Serviços da AWS.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sigilosos armazenados no Amazon S3.
+ Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar a AWS por meio de uma interface de linha de comandos ou de uma API, use um endpoint do FIPS. Para obter mais informações sobre os endpoints FIPS disponíveis, consulte [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

É altamente recomendável que nunca sejam colocadas informações confidenciais ou sigilosas, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo **Nome**. Isso inclui trabalhar com a Systems Manager ou outros Serviços da AWS usando o console, a API, a AWS CLI ou os AWS SDKs. Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.

## Criptografia de dados
<a name="data-encryption"></a>

### Criptografia em repouso
<a name="encryption-at-rest"></a>

**Parâmetros do Parameter Store**  
Os tipos de parâmetros que é possível criar no Parameter Store, uma ferramenta do AWS Systems Manager, incluem `String`, `StringList` e `SecureString`.

Todos os parâmetros, independentemente do tipo, são criptografados em trânsito e em repouso. Em trânsito, os parâmetros são criptografados usando a transport layer security (TLS) para criar uma conexão HTTPS segura para solicitações de API. Em repouso, eles são criptografados com um Chave pertencente à AWS no AWS Key Management Service (AWS KMS). Para obter mais informações sobre criptografia Chave pertencente à AWS, consulte [Chaves pertencentes à AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) no *Guia do desenvolvedor AWS Key Management Service* .

O tipo de `SecureString` oferece opções adicionais de criptografia e é recomendado para todos os dados confidenciais. Você pode escolher entre os seguintes tipos de chaves AWS KMS para criptografar e descriptografar o valor de um parâmetro de `SecureString`:
+ A Chave gerenciada pela AWS da sua conta
+ Uma chave gerenciada pelo cliente (CMK) que você criou em sua conta
+ Uma CMK em outra Conta da AWS que foi compartilhada com você

Para obter mais informações sobre criptografiaAWS KMS, consulte o [Guia do desenvolvedor AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/).

**Conteúdo em buckets do S3**  
Como parte de suas operações do Systems Manager, é possível optar por carregar ou armazenar dados em um ou mais buckets do Amazon Simple Storage Service (Amazon S3). 

Para obter mais informações sobre a criptografia do bucket do S3, consulte [Proteger dados usando criptografia](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html) e [Proteção de dados no Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/DataDurability.html) no *Guia do usuário do Amazon Simple Storage Service*.

Veja a seguir os tipos de dados dos quais é possível fazer upload ou ter armazenados em buckets do S3 como parte de suas atividades do Systems Manager:
+ A saída dos comandos em Run Command, uma ferramenta do AWS Systems Manager
+ Pacotes no Distributor, uma ferramenta do AWS Systems Manager
+ Logs de operação de aplicação de patches no Patch Manager, uma ferramenta do AWS Systems Manager
+ Listas de substituição de patches do Patch Manager
+ Scripts ou manuais do Ansible a serem executados em um fluxo de trabalho do runbook no Automation, uma ferramenta do AWS Systems Manager 
+ Perfis do Chef InSpec para uso com as verificações no Compliance, uma ferramenta do AWS Systems Manager
+ Logs do AWS CloudTrail
+ Logs de histórico de sessão no Session Manager, uma ferramenta do AWS Systems Manager
+ Relatórios do Explorer, uma ferramenta do AWS Systems Manager
+ OpsData do OpsCenter, uma ferramenta do AWS Systems Manager
+ Modelos do AWS CloudFormation para uso com fluxos de trabalho de automação
+ Dados de conformidade de uma verificação de sincronização de dados de recursos
+ Saída de solicitações para criar ou editar associação no State Manager, uma ferramenta do AWS Systems Manager, em nós gerenciados
+ Documentos personalizados do Systems Manager (documentos SSM) que você pode executar usando o documento do SSM gerenciado pela AWS do `AWS-RunDocument`

**Grupos de logs do CloudWatch Logs**  
Como parte de suas operações do Systems Manager, é possível optar por transmitir dados para um ou mais grupos de logs do Amazon CloudWatch Logs.

Para obter informações sobre a criptografia de grupos de logs do CloudWatch Logs, consulte [Criptografar dados de log no CloudWatch Logs usando o AWS Key Management Service](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html) no *Guia do usuário do Amazon CloudWatch Logs*.

Veja a seguir tipos de dados que é possível ter transmitido para um grupo de logs do CloudWatch Logs como parte de suas atividades do Systems Manager:
+ A saída de comandos do Run Command
+ A saída de scripts executados usando a ação `aws:executeScript` em um runbook de automação
+ Logs de histórico de sessão do Session Manager
+ Logs do SSM Agent em nós gerenciados

### Criptografia em trânsito
<a name="encryption-in-transit"></a>

Recomendamos usar um protocolo de criptografia, como o Transport Layer Security (TLS), para criptografar dados sigilosos em trânsito entre os clientes e seus nós.

O Systems Manager fornece o suporte a seguir para criptografia de seus dados em trânsito.

**Conexões com endpoints da API do Systems Manager**  
Os endpoints da API do Systems Manager oferecem suporte a conexões seguras somente em HTTPS. Ao gerenciar recursos do Systems Manager com o Console de gerenciamento da AWS, o AWS SDK ou a API do Systems Manager, toda a comunicação é criptografada com Transport Layer Security (TLS). Para obter uma lista completa de endpoints de API, consulte [AWS service (Serviço da AWS) endpoints](https://docs.aws.amazon.com/general/latest/gr/rande.html) no *Referência geral da Amazon Web Services*. 

**Instâncias gerenciadas**  
A AWS fornece conectividade segura e privada entre as instâncias do Amazon Elastic Compute Cloud (Amazon EC2). Além disso, nós criptografamos automaticamente os dados em trânsito entre instâncias compatíveis na mesma rede privada virtual (VPC) ou em VPCs emparelhadas, usando algoritmos AEAD com criptografia de 256 bits. Essa funcionalidade de criptografia usa recursos de descarregamento do hardware subjacente, e não há impacto na performance da rede. As instâncias compatíveis são: C5n, G4, I3en, M5dn, M5n, P3dn, R5dn e R5n.

**Sessões do Session Manager**  
Por padrão, o Session Manager usa o TLS 1.3 para criptografar dados de sessão transmitidos entre as máquinas locais de usuários na sua conta e suas instâncias do EC2. Você também pode escolher criptografar ainda mais os dados em trânsito usando uma AWS KMS key criada no AWS KMS. A criptografia do AWS KMS está disponível para os tipos de sessão `Standard_Stream`, `InteractiveCommands` e `NonInteractiveCommands`. 

**Acesso do Run Command**  
Por padrão, o acesso remoto aos nós que usam o Run Command é criptografado usando TLS 1.3, e as solicitações para criar uma conexão são assinadas usando SigV4.

## Privacidade do tráfego entre redes
<a name="internetwork-privacy"></a>

Você pode usar o Amazon Virtual Private Cloud (Amazon VPC) para criar limites entre os recursos dos nós gerenciados e controlar o tráfego entre eles, sua rede on-premises e a Internet. Para obter detalhes, consulte [Melhorar a segurança das instâncias do EC2 usando endpoints da VPC para o Systems Manager](setup-create-vpc.md). 

Para obter mais informações sobre a segurança da Amazon Virtual Private Cloud, consulte [Internetwork traffic privacy in Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html) (Tráfego de trabalho na Internet na Amazon VPC) no *Guia do usuário da Amazon VPC*.

# Perímetro de dados na AWS Systems Manager
<a name="data-perimeters"></a>

Um perímetro de dados é um conjunto de barreiras de proteção de permissões em seu ambiente da AWS que ajudam a garantir que seus dados só possam ser acessados por identidades confiáveis a partir de redes e recursos esperados. Ao implementar controles de perímetro de dados, talvez seja necessário incluir exceções para recursos de propriedade do serviço de AWS que o Systems Manager acessa em seu nome.

**Exemplo de cenário: bucket do S3 sobre categorias de documentos SSM**  
O Systems Manager acessa um bucket do S3 gerenciado por AWS para recuperar informações da categoria de documentos para [Documentos do AWS Systems Manager](documents.md). Esse bucket contém metadados sobre categorias de documentos que ajudam a organizar e classificar documentos SSM no console.

Padrões de ARN de recursos  
`arn:aws:s3:::ssm-document-categories-region`  
Exemplos regionais:  
+ `arn:aws:s3:::ssm-document-categories-us-east-1`
+ `arn:aws:s3:::ssm-document-categories-us-west-2`
+ `arn:aws:s3:::ssm-document-categories-eu-west-1`
+ `arn:aws:s3:::ssm-document-categories-ap-northeast-1`

Quando acessado  
Esse recurso é acessado quando você visualiza documentos SSM no console do Systems Manager ou ao usar APIs que recuperam metadados e categorias de documentos.

Dados armazenados  
O bucket contém arquivos JSON com definições de categorias de documentos e metadados. Esses dados são somente para leitura e não contêm informações específicas do cliente.

Identidade usada  
O Systems Manager acessa esse recurso usando credenciais de serviço de AWS em nome de suas solicitações.

Permissões obrigatórias  
`s3:GetObject` no conteúdo do bucket.

**Considerações sobre políticas de perímetro de dados**  
Ao implementar controles de perímetro de dados usando políticas de controle de serviços (SCPs) ou políticas de endpoint da VPC com condições como `aws:ResourceOrgID`, você precisa criar exceções para os recursos de propriedade do serviço AWS que o Systems Manager exige.

Por exemplo, se estiver usando um SCP com `aws:ResourceOrgID` para restringir o acesso a recursos fora da sua organização, você precisará adicionar uma exceção ao bucket de categorias de documentos do SSM.

Essa política nega acesso a recursos fora da sua organização, mas inclui uma exceção para os buckets do S3 apropriados, permitindo que o Systems Manager continue funcionando adequadamente.

Da mesma forma, se você estiver usando políticas de endpoint de VPC para restringir o acesso ao S3, precisará garantir que os buckets de categorias de documentos do SSM sejam acessíveis por meio de seus endpoints da VPC.

**Mais informações**  
Para obter mais informações sobre os perímetros de dados na AWS, consulte os seguintes tópicos:
+ [Perímetros de dados na AWS](https://aws.amazon.com/identity/data-perimeters-on-aws/).
+ [Estabeleça barreiras de proteção para as permissões usando perímetros de dados](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_data-perimeters.html) no *Guia do usuário do IAM*
+ [Orientação específica do serviço: AWS Systems Manager](https://github.com/aws-samples/data-perimeter-policy-examples/blob/main/service_specific_guidance/ssm-specific-guidance.md) e [recursos de propriedade do serviço](https://github.com/aws-samples/data-perimeter-policy-examples/blob/main/service_owned_resources.md) no *repositório de amostras da AWS* no GitHub

# Gerenciamento de identidade e acesso para o AWS Systems Manager
<a name="security-iam"></a>

AWS Identity and Access Management (IAM) é um serviço da AWS service (Serviço da AWS) que ajuda o administrador no controle de segurança de acesso aos recursos da AWS de forma segura. Os administradores do IAM controlam quem pode ser *autenticado* (fazer login) e *autorizado* (ter permissões) a usar os recursos do Systems Manager. O IAM é um AWS service (Serviço da AWS) que pode ser usado sem custo adicional.

**Topics**
+ [Público](#security_iam_audience)
+ [Autenticação com identidades](#security_iam_authentication)
+ [Gerenciar o acesso usando políticas](#security_iam_access-manage)
+ [Como o AWS Systems Manager funciona com o IAM](security_iam_service-with-iam.md)
+ [AWS Systems ManagerExemplos de políticas baseadas em identidade do](security_iam_id-based-policy-examples.md)
+ [Políticas gerenciadas pela AWS para o AWS Systems Manager](security-iam-awsmanpol.md)
+ [Solução de problemas de identidade e acesso do AWS Systems Manager](security_iam_troubleshoot.md)

## Público
<a name="security_iam_audience"></a>

A forma como você usa o AWS Identity and Access Management (IAM) difere com base em seu perfil:
+ **Usuário do serviço**: solicite permissões ao seu administrador se você não conseguir acessar os atributos (consulte [Solução de problemas de identidade e acesso do AWS Systems Manager](security_iam_troubleshoot.md)).
+ **Administrador do serviço**: determine o acesso do usuário e envie solicitações de permissão (consulte [Como o AWS Systems Manager funciona com o IAM](security_iam_service-with-iam.md))
+ **Administrador do IAM**: escreva políticas para gerenciar o acesso (consulte [AWS Systems ManagerExemplos de políticas baseadas em identidade do](security_iam_id-based-policy-examples.md))

## Autenticação com identidades
<a name="security_iam_authentication"></a>

A autenticação é a forma como fazer login na AWS usando suas credenciais de identidade. Você precisa se autenticar como o Usuário raiz da conta da AWS, como um usuário do IAM ou assumindo um perfil do IAM.

Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade, como o Centro de Identidade do AWS IAM (Centro de Identidade do IAM), autenticação única ou credenciais do Google/Facebook. Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS*.

Para acesso programático, a AWS oferece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.

### Usuário-raiz Conta da AWS
<a name="security_iam_authentication-rootuser"></a>

 Ao criar uma Conta da AWS, você começa com uma identidade de login única chamada *usuário-raiz* da Conta da AWS, que tem acesso total a todos os recursos e Serviços da AWS. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*. 

### Usuários e grupos do IAM
<a name="security_iam_authentication-iamuser"></a>

Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para saber mais, consulte [Exigir que os usuários humanos usem a federação com um provedor de identidade para acessar a AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.

Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.

### Perfis do IAM
<a name="security_iam_authentication-iamrole"></a>

Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. É possível assumir um perfil [alternando de um usuário para um perfil do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de API AWS CLI ou AWS. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.

Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.

## Gerenciar o acesso usando políticas
<a name="security_iam_access-manage"></a>

Você controla o acesso na AWS criando políticas e anexando-as a identidades ou recursos da AWS. Uma política define permissões quando associada a uma identidade ou a um recurso. A AWS avalia essas políticas quando a entidade principal faz uma solicitação. A maioria das políticas é armazenada na AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.

Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.

Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.

### Políticas baseadas em identidade
<a name="security_iam_access-manage-id-based-policies"></a>

As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.

As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.

Para obter informações sobre as políticas gerenciadas pela AWS para o Systems Manager, consulte [AWS Systems ManagerPolíticas gerenciadas pela](security_iam_service-with-iam.md#managed-policies).

### Políticas baseadas em recursos
<a name="security_iam_access-manage-resource-based-policies"></a>

Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. Entre os exemplos estão *políticas de confiança de perfil* do IAM e *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos.

Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Não é possível usar as políticas gerenciadas pela AWS do IAM em uma política baseada em atributos.

### Chaves de condição de políticas
<a name="policy-condition-keys"></a>

As ações que os usuários e perfis podem realizar e os recursos nos quais eles podem realizar essas ações podem ser ainda mais restringidos por *condições* específicas. 

Em documentos de política JSON, o elemento `Condition` (ou bloco `Condition`) permite que você especifique condições nas quais uma declaração está em vigor. O elemento `Condition` é opcional. É possível criar expressões condicionais que usam [operadores de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como `StringEquals` ou `StringNotLike`, para comparar a condição na política com os valores na solicitação. 

Se você especificar vários elementos de `Condition` em uma declaração ou várias chaves em um único elemento de `Condition`, a AWS os avaliará usando uma operação lógica `AND`. Se você especificar vários valores para uma única chave de condição, a AWS avaliará a condição usando uma operação lógica `OR`. Todas as condições devem ser atendidas antes que as permissões da instrução sejam concedidas.

Você também pode usar variáveis de espaço reservado ao especificar condições. Por exemplo, é possível conceder a um usuário do IAM permissão para acessar um recurso somente se ele estiver marcado com seu nome de usuário do IAM. Para obter mais informações, consulte [Elementos da política do IAM: variáveis e tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) no *Guia do usuário do IAM*. 

A AWS oferece compatibilidade com chaves de condição globais e chaves de condição específicas do serviço. Para obter mais informações, consulte [Chaves de contexto de condição global da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.

**Importante**  
Se você usa o Systems Manager Automation, recomendamos que você não use a chave de condição [aws:SourceIp](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceip) em suas políticas. O comportamento dessa chave de condição depende de vários fatores, incluindo se um perfil do IAM para a execução de um runbook do Automation é fornecido e as ações de automação usadas no runbook. Como resultado, a chave de condição pode produzir um comportamento inesperado. Por esse motivo, recomendamos que você não a use.

O Systems Manager oferece suporte a várias de suas próprias chaves de condição. Para obter mais informações, consulte [Chaves de condição do AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-policy-keys) na *Referência de autorização do serviço*. As ações e os recursos com os quais você pode usar uma chave de condição específica do Systems Manager estão listados em [Tipos de recursos definidos por AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-policy-keys) na *Referência de autorização do serviço*.

Se sua política precisar depender de um nome de entidade principal de serviço pertencente ao serviço Systems Manager, recomendamos verificar sua existência ou inexistência usando a [chave de condição com vários valores](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-single-vs-multi-valued-context-keys.html#reference_policies_condition-multi-valued-context-keys) `aws:PrincipalServiceNamesList` em vez da chave de condição `aws:PrincipalServiceName`. A chave de condição `aws:PrincipalServiceName` contém somente uma entrada da lista de nomes de entidades principais do serviço e pode nem sempre ser o nome da entidade principal do serviço que você espera. O bloco `Condition` a seguir demonstra a verificação da existência de `ssm.amazonaws.com`. 

```
{
    "Condition": {
        "ForAnyValue:StringEquals": {
            "aws:PrincipalServiceNamesList": "ssm.amazonaws.com"
        }
    }
}
```

Para visualizar exemplos de políticas baseadas em identidade do Systems Manager, consulte [AWS Systems ManagerExemplos de políticas baseadas em identidade do](security_iam_id-based-policy-examples.md).

### Listas de controle de acesso (ACLs)
<a name="security_iam_access-manage-acl"></a>

As listas de controle de acesso (ACLs) controlam quais entidades principais (membros, usuários ou perfis da conta) têm permissões para acessar um recurso. As ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.

Amazon S3, AWS WAF e Amazon VPC são exemplos de serviços que oferecem compatibilidade com ACLs. Para saber mais sobre ACLs, consulte [Visão geral da lista de controle de acesso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) no *Guia do Desenvolvedor do Amazon Simple Storage Service*.

### Outros tipos de política
<a name="security_iam_access-manage-other-policies"></a>

A AWS permite outros tipos de política capazes de definir o máximo de permissões concedidas por tipos de política mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de Controle de Serviços (SCPs)**: as SCPs especificam o número máximo de permissões para uma organização ou uma unidade organizacional no AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations*.
+ **Políticas de controle de recursos (RCPs)**: definem o número máximo de permissões disponíveis para recursos em suas contas. Consulte mais informações em [Resource control policies (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia do usuário do AWS Organizations*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.

### Vários tipos de política
<a name="security_iam_access-manage-multiple-policies"></a>

Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como a AWS determina se deve permitir ou não uma solicitação quando há vários tipos de política envolvidos, consulte [Lógica da avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.

# Como o AWS Systems Manager funciona com o IAM
<a name="security_iam_service-with-iam"></a>

Antes de usar o AWS Identity and Access Management IAM para gerenciar o acesso ao AWS Systems Manager, você precisa saber quais recursos do IAM estão disponíveis para uso com o Systems Manager. Para ter uma visão geral de como o Systems Manager e outros Serviços da AWS funcionam com o IAM, consulte [Serviços da AWS compatíveis com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html), no *Guia do usuário do IAM*.

**Topics**
+ [Systems ManagerPolíticas baseadas em identidade](#security_iam_service-with-iam-id-based-policies)
+ [Systems ManagerPolíticas baseadas em recursos do](#security_iam_service-with-iam-resource-based-policies)
+ [Autorização baseada em tags do Systems Manager](#security_iam_service-with-iam-tags)
+ [Systems ManagerPerfis do IAM no](#security_iam_service-with-iam-roles)

## Systems ManagerPolíticas baseadas em identidade
<a name="security_iam_service-with-iam-id-based-policies"></a>

Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados e as condições sob as quais as ações são permitidas ou negadas. O Systems Manager oferece suporte a ações, recursos e chaves de condição específicos. Para saber mais sobre todos os elementos usados em uma política JSON, consulte [Referência de elementos de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.

### Ações
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

Os administradores podem usar as políticas JSON da AWS para especificar quem tem acesso a quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.

O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.

As ações de políticas no Systems Manager usam o seguinte prefixo antes da ação: `ssm:`. Por exemplo, para conceder a alguém permissão para criar um parâmetro do Systems Manager (parâmetro do SSM) com a operação de API `PutParameter` do Systems Manager, inclua a ação `ssm:PutParameter` na política da pessoa. As declarações de política devem incluir um elemento `Action` ou Systems Manager. O `NotAction` define seu próprio conjunto de ações que descrevem as tarefas que podem ser executadas com esse serviço.

Para especificar várias ações em uma única instrução, separe-as com vírgulas, como segue:

```
"Action": [
      "ssm:action1",
      "ssm:action2"
]
```

**nota**  
As ferramentas do AWS Systems Manager a seguir usam prefixos diferentes antes das ações.  
O AWS AppConfig usa o prefixo `appconfig:` antes das ações.
O Incident Manager usa o prefixo `ssm-incidents:` ou `ssm-contacts:` antes das ações.
O Systems Manager GUI Connect usa o prefixo `ssm-guiconnect:` antes das ações.
O Quick Setup usa o prefixo `ssm-quicksetup:` antes das ações.

Você também pode especificar várias ações usando caracteres-curinga (\$1). Por exemplo, para especificar todas as ações que começam com a palavra `Describe`, inclua a seguinte ação:

```
"Action": "ssm:Describe*"
```



Para ver uma lista das ações do Systems Manager, consulte [Ações definidas pelo AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions) na *Referência de autorização do serviço*.

### Recursos
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

Os administradores podem usar as políticas JSON da AWS para especificar quem tem acesso a quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.

O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.

```
"Resource": "*"
```



Por exemplo, o recurso da janela de manutenção do Systems Manager tem o seguinte formato ARN.

```
arn:aws:ssm:region:account-id:maintenancewindow/window-id
```

Para especificar as janelas de manutenção mw-0c50858d01EXAMPLE na instrução na região Leste dos EUA (Ohio), você usaria um ARN semelhante ao que se segue.

```
"Resource": "arn:aws:ssm:us-east-2:123456789012:maintenancewindow/mw-0c50858d01EXAMPLE"
```

Para especificar todas as janelas de manutenção que pertencem a uma conta específica, use o curinga (\$1).

```
"Resource": "arn:aws:ssm:region:123456789012:maintenancewindow/*"
```

Para ações de API do `Parameter Store`, é possível fornecer ou restringir o acesso a todos parâmetros em um nível da hierarquia usando nomes hierárquicos e políticas do AWS Identity and Access Management (IAM), da seguinte maneira:

```
"Resource": "arn:aws:ssm:region:123456789012:parameter/Dev/ERP/Oracle/*"
```

Algumas ações do Systems Manager, como as ações para a criação de recursos, não podem ser executadas em um recurso específico. Nesses casos, é necessário utilizar o caractere curinga (\$1).

```
"Resource": "*"
```

Algumas operações de API do Systems Manager aceitam vários recursos. Para especificar vários recursos em uma única instrução, separe seus ARNs com vírgulas, conforme o seguinte.

```
"Resource": [
      "resource1",
      "resource2"
```

**nota**  
A maioria dos Serviços da AWS trata dois pontos (:) e a barra inclinada (/) como o mesmo caractere em ARNs. No entanto, o Systems Manager requer uma correspondência exata nos padrões e regras de recursos. Ao criar padrões de eventos, lembre-se de usar os caracteres corretos do ARN para que correspondam ao ARN do recurso.

A tabela a seguir descreve os formatos de ARN para os tipos de recursos aceitos pelo Systems Manager.

**nota**  
Observe as seguintes exceções aos formatos de ARN.  
As ferramentas do AWS Systems Manager a seguir usam prefixos diferentes antes das ações.  
O AWS AppConfig usa o prefixo `appconfig:` antes das ações.
O Incident Manager usa o prefixo `ssm-incidents:` ou `ssm-contacts:` antes das ações.
O Systems Manager GUI Connect usa o prefixo `ssm-guiconnect` antes das ações.
Documentos e recursos de definição de automação que pertencem à Amazon, bem como parâmetros públicos fornecidos pela Amazon e por fontes externas. Não incluem IDs de conta em seus formatos de ARN. Por exemplo:  
O documento do SSM `AWS-RunPatchBaseline`:  
`arn:aws:ssm:us-east-2::document/AWS-RunPatchBaseline` 
O runbooks de automação `AWS-ConfigureMaintenanceWindows`:   
`arn:aws:ssm:us-east-2::automation-definition/AWS-ConfigureMaintenanceWindows`
O parâmetro público `/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version`:   
`arn:aws:ssm:us-east-2::parameter/aws/service/bottlerocket/aws-ecs-1-nvidia/x86_64/1.13.4/image_version`
Para obter mais informações sobre esses três tipos de recursos consulte os seguintes tópicos:  
[Trabalhar com documentos](documents-using.md)
[Executar uma operação automatizada com tecnologia do Systems Manager Automation](running-simple-automations.md)
[Trabalhar com parâmetros públicos no Parameter Store](parameter-store-public-parameters.md)
O Quick Setup usa o prefixo `ssm-quicksetup:` antes das ações.


| Tipo de recurso | Formato ARN | 
| --- | --- | 
| Aplicação (AWS AppConfig) | arn:aws:appconfig:region:account-id:application/application-id | 
| Associação | arn:aws:ssm:region:account-id:association/association-id | 
| Execução de automação | arn:aws:ssm:region:account-id:automation-execution/automation-execution-id | 
| Definição de automação (com sub-recurso da versão) |  arn:aws:ssm:*region*:*account-id*:automation-definition/*automation-definition-id*:*version-id* **1**  | 
| Perfil de configuração (AWS AppConfig) | arn:aws:appconfig:region:account-id:application/application-id/configurationprofile/configurationprofile-id | 
| Contatos (Incident Manager) |  arn:aws:ssm-contacts:*region*:*account-id*:contact/*contact-alias*  | 
| Estratégia de implantação (AWS AppConfig) | arn:aws:appconfig:region:account-id:deploymentstrategy/deploymentstrategy-id | 
| Documento |  arn:aws:ssm:*region*:*account-id*:document/*document-name*  | 
| Ambiente (AWS AppConfig) | arn:aws:appconfig:region:account-id:application/application-id/environment/environment-id | 
| O incidente |  arn:aws:ssm-incidents:*region*:*account-id*:incident-record/*response-plan-name*/*incident-id*  | 
| Maintenance window |  arn:aws:ssm:*region*:*account-id*:maintenancewindow/*window-id*  | 
| Nó gerenciado |  arn:aws:ssm:*region*:*account-id*:managed-instance/*managed-node-id*  | 
| Inventário de nós gerenciados | arn:aws:ssm:region:account-id:managed-instance-inventory/managed-node-id | 
| OpsItem | arn:aws:ssm:region:account-id:opsitem/OpsItem-id | 
| Parâmetro |  Parâmetro de um único nível: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/systems-manager/latest/userguide/security_iam_service-with-iam.html) Um parâmetro com nome de uma estrutura hierárquica: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/systems-manager/latest/userguide/security_iam_service-with-iam.html)  | 
| Linha de base de patch |  arn:aws:ssm:*region*:*account-id*:patchbaseline/*patch-baseline-id*   | 
| Plano de resposta |  arn:aws:ssm-incidents:*region*:*account-id*:response-plan/*response-plan-name*  | 
| Sessão |  arn:aws:ssm:*region*:*account-id*:session/*session-id* **3**  | 
|  Todos os recursos do Systems Manager  |  arn:aws:ssm:\$1  | 
|  Todos os recursos do Systems Manager pertencentes à Conta da AWS especificada na Região da AWS especificada  |  arn:aws:ssm:*region*:*account-id*:\$1  | 

**nota**  
Os recursos de definição de automação estão sendo descontinuados. Atualize suas políticas de IAM para incluir uma permissão para `ssm:StartAutomationExecution` ou `ssm:StartChangeRequestExecution` em recursos `document` e `automation-execution`. Para ver as práticas recomendadas e exemplos para configurar permissões do IAM, consulte nosso guia do usuário com [Exemplos de configuração de políticas baseadas em identidade](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-setup-identity-based-policies.html). 

**1** Para definições de automação, o Systems Manager oferece suporte a um recurso de segundo nível, o *ID de versão*. Na AWS, esses recursos de segundo nível são conhecidos como *sub-recursos*. A especificação de um sub-recurso de uma versão para um recurso de definição de automação permite que você forneça acesso a determinadas versões de uma definição de automação. Por exemplo, é provável que você queira garantir que apenas a versão mais recente de uma definição de automação seja usada no gerenciamento do nó.

**2** Para organizar e gerenciar parâmetros, você pode criar nomes para parâmetros com uma estrutura hierárquica. Com construção hierárquica, um nome de parâmetro pode incluir um caminho definido usando-se barras. É possível atribuir um nome a um recurso de parâmetro com um máximo de quinze níveis. Sugerimos que você crie hierarquias que reflitam uma estrutura hierárquica existente no seu ambiente. Para obter mais informações, consulte [Criar parâmetros do Parameter Store no Systems Manager](sysman-paramstore-su-create.md).

**3** Na maioria dos casos, o ID da sessão é construído usando o ID do usuário da conta que iniciou a sessão, além de um sufixo alfanumérico. Por exemplo:

```
arn:aws:us-east-2:111122223333:session/JohnDoe-1a2b3c4sEXAMPLE
```

No entanto, se o ID de usuário não estiver disponível, o ARN será construído dessa forma:

```
arn:aws:us-east-2:111122223333:session/session-1a2b3c4sEXAMPLE
```

Para obter mais informações sobre o formato de ARNs, consulte [Nomes de recurso da Amazon (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) na *Referência geral da Amazon Web Services*.

Para obter uma lista dos tipos de recursos do Systems Manager e seus ARNs, consulte [Recursos definidos pelo AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-resources-for-iam-policies) na *Referência de autorização do serviço*. Para saber com quais ações você pode especificar o ARN de cada recurso, consulte [Ações definidas pelo AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions).<a name="policy-conditions"></a>

### Chaves de condição do Systems Manager
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

Os administradores podem usar as políticas JSON da AWS para especificar quem tem acesso a quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.

O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição globais da AWS, consulte [Chaves de contexto de condição globais da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.



Para ver uma lista de chaves de condição do Systems Manager, consulte [Chaves de Condição do AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-policy-keys) no campo *Referência de Autorização do Serviço*. Para saber com quais ações e recursos você pode usar uma chave de condição, consulte [Ações definidas pelo AWS Systems Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssystemsmanager.html#awssystemsmanager-actions-as-permissions).

Para obter informações sobre como usar a chave de condição `ssm:resourceTag/*`, consulte os tópicos a seguir:
+ [Restringir o acesso aos comandos em nível raiz por meio do SSM Agent](ssm-agent-restrict-root-level-commands.md)
+ [Restringir o acesso ao Run Command com base em etiquetas](run-command-setting-up.md#tag-based-access) 
+ [Restringir o acesso à sessão com base em tags de instância](getting-started-restrict-access-examples.md#restrict-access-example-instance-tags)

Para obter informações sobre como usar as chaves de condição `ssm:Recursive`, `ssm:Policies` e `ssm:Overwrite`, consulte [Impedir o acesso às operações da API Parameter Store](parameter-store-policy-conditions.md).

### Exemplos
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



Para ver exemplos de políticas baseadas em identidade do Systems Manager, consulte [AWS Systems ManagerExemplos de políticas baseadas em identidade do](security_iam_id-based-policy-examples.md).

## Systems ManagerPolíticas baseadas em recursos do
<a name="security_iam_service-with-iam-resource-based-policies"></a>

Outros Serviços da AWS, como o Amazon Simple Storage Service (Amazon S3), são compatíveis com políticas de permissões baseadas em recursos. Por exemplo: você pode anexar uma política de permissões a um bucket do S3 para gerenciar permissões de acesso a esse bucket. 

Systems ManagerO não é compatível com Políticas baseadas em recursos.

## Autorização baseada em tags do Systems Manager
<a name="security_iam_service-with-iam-tags"></a>

É possível anexar tags a recursos do Systems Manager ou passar tags em uma solicitação ao Systems Manager. Para controlar o acesso com base em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as chaves de condição `ssm:resourceTag/key-name`, `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`. É possível adicionar tags aos seguintes tipos de recursos ao criá-los ou atualizá-los:
+ Documento
+ Nó gerenciado
+ Maintenance window
+ Parâmetro
+ Linha de base de patch
+ OpsItem

Para visualizar um exemplo de política baseada em identidade para limitar o acesso a um recurso baseado em tags desse recurso, consulte [Visualizar documentos do Systems Manager com base em tags](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-documents-tags).

## Systems ManagerPerfis do IAM no
<a name="security_iam_service-with-iam-roles"></a>

Um [perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) é uma entidade dentro da sua Conta da AWS que tem permissões específicas.

### Usar credenciais temporárias com o Systems Manager
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

É possível usar credenciais temporárias para fazer login com federação, assumir um perfil do IAM ou assumir um perfil entre contas. As credenciais de segurança temporárias são obtidas chamando operações da API do AWS Security Token Service (AWS STS), como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) ou [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).

Systems ManagerO é compatível com a utilização de credenciais temporárias. 

### Perfis vinculados ao serviço
<a name="security_iam_service-with-iam-roles-service-linked"></a>

[Funções vinculadas ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) permitem que os Serviços da AWS acessem recursos em outros serviços para concluir uma ação em seu nome. As funções vinculadas ao serviço são listadas em sua conta do IAM e são de propriedade do serviço. Um administrador do pode visualizar, mas não pode editar as permissões para funções vinculadas ao serviço.

Systems Manager é compatível com funções vinculadas ao serviço. Para obter detalhes sobre como criar ou gerenciar perfis vinculados a serviço do Systems Manager, consulte [Usar perfis vinculados a serviço do Systems Manager](using-service-linked-roles.md).

### Perfis de serviço
<a name="security_iam_service-with-iam-roles-service"></a>

Esse atributo permite que um serviço assuma um [perfil de serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) em seu nome. O perfil permite que o serviço acesse recursos em outros serviços para concluir uma ação em seu nome. As funções de serviço são exibidas em sua conta do IAM e são de propriedade da conta. Isso significa que um administrador do pode alterar as permissões para essa função. Porém, fazer isso pode alterar a funcionalidade do serviço.

Systems ManagerO oferece suporte às funções de serviço. 

### Selecionar um perfil do IAM no Systems Manager
<a name="security_iam_service-with-iam-roles-choose"></a>

Para o Systems Manager interagir com os nós gerenciados, é necessário escolher uma função que permita que o Systems Manager acesse os nós em seu nome. Caso já tenha criado uma função de serviço ou função vinculada ao serviço, o Systems Manager fornecerá uma lista das funções para sua escolha. É importante escolher uma função que permita o acesso para iniciar e interromper nós gerenciados. 

Para acessar as instâncias do EC2, é necessário configurar as permissões da instância. Para obter informações, consulte [Configurar permissões de instância obrigatórias para o Systems Manager](setup-instance-permissions.md). 

Para acessar nós que não são do EC2 em um ambiente [híbrido e multinuvem](operating-systems-and-machine-types.md#supported-machine-types), o perfil necessário para sua Conta da AWS é um perfil de serviço do IAM. Para obter informações, consulte [Criar o perfil de serviço do IAM obrigatório para o Systems Manager em ambientes híbridos e multinuvem](hybrid-multicloud-service-role.md).

Um fluxo de trabalho de automação pode ser iniciado no contexto de uma função de serviço (ou função de admissão). Isso permite que o serviço execute ações em seu nome. Se você não especificar uma função de admissão, a Automação usará o contexto do usuário que invocou a execução. No entanto, determinadas situações exigem especificar uma função de serviço para automação. Para obter mais informações, consulte [Configurar o acesso a uma função de serviço (função assumida) para automações](automation-setup.md#automation-setup-configure-role).

### AWS Systems ManagerPolíticas gerenciadas pela
<a name="managed-policies"></a>

AWS A aborda muitos casos de uso comuns fornecendo políticas autônomas do IAM que são criadas e administradas pela AWS. Essas *políticas gerenciadas* da AWS concedem as permissões necessárias para casos de uso comuns. Assim, você não precisa investigar quais permissões são necessárias. (Você também pode criar as próprias políticas do IAM personalizadas a fim de conceder permissões para ações e recursos do Systems Manager.) 

Para obter mais informações sobre políticas gerenciadas para o Systems Manager, consulte [Políticas gerenciadas pela AWS para o AWS Systems Manager](security-iam-awsmanpol.md)

Para obter informações gerais sobre políticas gerenciadas, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.

# AWS Systems ManagerExemplos de políticas baseadas em identidade do
<a name="security_iam_id-based-policy-examples"></a>

Por padrão, as entidades do AWS Identity and Access Management (IAM) (usuários e perfis) não têm permissões para criar ou modificar os recursos do AWS Systems Manager. Eles também não podem executar tarefas usando o console do Systems Manager, a AWS Command Line Interface (AWS CLI) ou a API da AWS. Um administrador deve criar as políticas do IAM que concedam aos usuários e aos perfis permissões para executar operações de API específicas nos recursos especificados que precisam. O administrador deve anexar essas políticas aos usuários ou grupos que exigem essas permissões.

Veja a seguir um exemplo de uma política de permissões que permite que um usuário exclua documentos com nomes que começam com **MyDocument-** na região Leste dos EUA (Ohio) (us-east-2) Região da AWS.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement" : [
    {
      "Effect" : "Allow",
      "Action" : [
        "ssm:DeleteDocument"
      ],
      "Resource" : [
        "arn:aws:ssm:us-east-1:111122223333:document/MyDocument-*"
      ]
    }
  ]
}
```

------

Para saber como criar uma política baseada em identidade do IAM usando esses exemplos de documentos de política JSON, consulte [Criar políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) no *Guia do usuário do IAM*.

**Topics**
+ [Práticas recomendadas de política](#security_iam_service-with-iam-policy-best-practices)
+ [Exemplo: permissão para usar o console do Systems Manager](#security_iam_id-based-policy-examples-console)
+ [Exemplo: permissão para possibilitar que os usuários visualizem suas próprias permissões](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Exemplo: permissão para ler e descrever parâmetros individuais](#security_iam_id-based-policy-examples-view-one-parameter)
+ [Prevenção contra o ataque do “substituto confuso” em todos os serviços](cross-service-confused-deputy-prevention.md)
+ [Exemplos de política gerenciada pelo cliente](#customer-managed-policies)
+ [Visualizar documentos do Systems Manager com base em tags](#security_iam_id-based-policy-examples-view-documents-tags)

## Práticas recomendadas de política
<a name="security_iam_service-with-iam-policy-best-practices"></a>

As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos do Systems Manager em sua conta. Essas ações podem incorrer em custos para seus Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas gerenciadas pela AWS e avance para as permissões de privilégio mínimo**: para começar a conceder permissões a seus usuários e workloads, use as *políticas gerenciadas pela AWS*, que concedem permissões para muitos casos de uso comuns. Elas estão disponíveis em seus Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo cliente da AWS que são específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Também pode usar condições para conceder acesso a ações de serviço, se elas forem usadas por meio de um AWS service (Serviço da AWS) específico, como o CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA)**: se houver um cenário que exija usuários do IAM ou um usuário raiz em sua Conta da AWS, ative a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.

Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.

## Exemplo: permissão para usar o console do Systems Manager
<a name="security_iam_id-based-policy-examples-console"></a>

Para acessar o console do Systems Manager, você deve ter um conjunto mínimo de permissões. Essas permissões devem permitir listar e visualizar detalhes dos recursos do Systems Manager e outros recursos em sua Conta da AWS. 

Se você criar uma política baseada em identidade mais restritiva do que as permissões mínimas requeridas, o console não funcionará conforme planejado para as entidades do IAM (usuários ou perfis) com essa política.

Não é necessário conceder permissões mínimas do console para usuários que fizerem chamadas somente a AWS CLI ou a API do AWS. Em vez disso, permita o acesso somente às ações que corresponderem a operação da API que você estiver tentando executar.

Para garantir que os usuários e os perfis ainda possam usar o console do Systems Manager, anexe também a política gerenciada pela AWS [AmazonSSMFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMFullAccess.html) ou [AmazonSSMReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html) às entidades. Para saber mais, consulte [Adicionar permissões a um usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.

## Exemplo: permissão para possibilitar que os usuários visualizem suas próprias permissões
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou de forma programática usando a AWS CLI ou a API da AWS.

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

## Exemplo: permissão para ler e descrever parâmetros individuais
<a name="security_iam_id-based-policy-examples-view-one-parameter"></a>

**Example Ler e descrever um parâmetro**  
É possível conceder acesso a um parâmetro anexando a política a seguir a uma identidade.    
****  

```
{
"Version":"2012-10-17",		 	 	 
"Statement": [
  {
    "Effect": "Allow",
    "Action": [
      "ssm:GetParameter",
      "ssm:DescribeParameters"
      ],
    "Resource": "arn:aws:ssm:us-east-1:111122223333:parameter/parameter-name"
  }
]
}
```

# Prevenção contra o ataque do “substituto confuso” em todos os serviços
<a name="cross-service-confused-deputy-prevention"></a>

O problema de "confused deputy" é uma questão de segurança em que uma entidade que não tem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executá-la. Na AWS, a personificação entre serviços pode resultar no problema do ‘confused deputy’. A personificação entre serviços pode ocorrer quando um serviço (o *serviço de chamada*) chama outro serviço (o *serviço chamado*). O serviço de chamada pode ser manipulado de modo a usar suas permissões para atuar nos recursos de outro cliente de uma forma na qual ele não deveria ter permissão para acessar. Para evitar isso, a AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com entidades principais de serviço que receberam acesso aos recursos em sua conta. 

Recomendamos o uso das chaves de contexto de condição global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) e [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) em políticas de recursos para limitar as permissões de acesso ao recurso que o AWS Systems Manager concede a outro serviço. Se o valor `aws:SourceArn` não contiver o ID da conta, como um nome do recurso da Amazon (ARN) para um bucket do S3, você deverá usar ambas as chaves de contexto de condição global para limitar as permissões. Se você usa ambas as chaves de contexto de condição global, e o valor `aws:SourceArn` contém o ID da conta, o valor `aws:SourceAccount` e a conta no valor `aws:SourceArn` deverão utilizar a mesma ID de conta quando na mesma declaração de política. Use `aws:SourceArn` se quiser apenas um recurso associado a acessibilidade de serviço. Use `aws:SourceAccount` se quiser permitir que qualquer recurso nessa conta seja associado a acessibilidade de serviço.

As seções a seguir fornecem políticas de exemplo para ferramentas do AWS Systems Manager.

## Exemplo de política de ativação híbrida
<a name="cross-service-confused-deputy-prevention-hybrid"></a>

Para perfis de serviço usados em uma [ativação híbrida](activations.md), o valor do `aws:SourceArn` deve ser o ARN da Conta da AWS. Especifique a Região da AWS no ARN onde você criou sua ativação híbrida. Se você não souber o ARN completo do recurso ou se estiver especificando vários recursos, use a chave da condição de contexto global `aws:SourceArn` com curingas (`*`) para as partes desconhecidas do ARN. Por exemplo, `arn:aws:ssm:*:region:123456789012:*`.

O exemplo a seguir demonstra o uso das chaves de contexto de condição global `aws:SourceArn` e `aws:SourceAccount` para automação para evitar o problema do "confused deputy" na região Leste dos EUA (Ohio) (us-east-2).

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Sid":"",
         "Effect":"Allow",
         "Principal":{
            "Service":"ssm.amazonaws.com"
         },
         "Action":"sts:AssumeRole",
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":"123456789012"
            },
            "ArnEquals":{
               "aws:SourceArn":"arn:aws:ssm:us-east-1:123456789012:*"
            }
         }
      }
   ]
}
```

------

## Exemplo de política de sincronização de dados
<a name="cross-service-confused-deputy-prevention-rds"></a>

O Inventory, o Explorer e o Compliance do Systems Manager permitem que você crie uma sincronização de dados de recursos para centralizar o armazenamento de seus dados operacionais (OpsData) em um bucket central do Amazon Simple Storage Service. Se você quiser criptografar a sincronização dos dados do recurso, usando o AWS Key Management Service (AWS KMS), crie uma nova chave que inclua a política a seguir, ou atualize uma chave existente e adicione essa política a ela. O `aws:SourceArn` e chaves de condição `aws:SourceAccount` nesta política impedem o problema confused deputy. Veja a seguir um exemplo de política:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "ssm-access-policy",
    "Statement": [
        {
            "Sid": "ssm-access-policy-statement",
            "Action": [
                "kms:GenerateDataKey"
            ],
            "Effect": "Allow",
            "Principal": {
                "Service": "ssm.amazonaws.com"
            },
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/KMS_key_id",
            "Condition": {
                "StringLike": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:ssm:*:123456789012:role/aws-service-role/ssm.amazonaws.com/AWSServiceRoleForAmazonSSM"
                }
            }
        }
    ]
}
```

------

**nota**  
O ARN no exemplo de política permite que o sistema criptografe os dados operacionais de todas as fontes, exceto do AWS Security Hub CSPM. Se você precisar criptografar dados do Security Hub CSPM, por exemplo, se você usar o Explorer para coletar dados do Security Hub CSPM, você deve anexar uma política adicional que especifique o seguinte ARN:  
`"aws:SourceArn": "arn:aws:ssm:*:account-id:role/aws-service-role/opsdatasync.ssm.amazonaws.com/AWSServiceRoleForSystemsManagerOpsDataSync"` 

## Exemplos de política gerenciada pelo cliente
<a name="customer-managed-policies"></a>

Você pode criar políticas independentes que você administra em sua própria Conta da AWS. Nós as chamamos de *políticas gerenciadas pelo cliente*. Você pode anexar essas políticas a várias entidades principais em sua Conta da AWS. Ao anexar uma política a uma entidade principal, você atribui à entidade as permissões que estão definidas na política. Para obter mais informações, consulte [Criar exemplos de política gerenciada pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) no *[Guia do usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/)*.

Os exemplos a seguir de políticas de usuário concedem permissões para várias ações do Systems Manager. Use-os para limitar o acesso do Systems Manager para as entidades do IAM (usuários e perfis). Essas políticas funcionam na execução de ações na API do Systems Manager, em AWS SDKs ou na AWS CLI. Para usuários que usam o console, você precisa conceder permissões adicionais específicas ao console. Para obter mais informações, consulte [Exemplo: permissão para usar o console do Systems Manager](#security_iam_id-based-policy-examples-console).

**nota**  
Todos os exemplos usam a região do Oeste dos EUA (Oregon) (us-west-2) e contêm IDs de contas fictícias. O ID da conta não deve ser especificado no nome do recurso da Amazon (ARN) para documentos públicos da AWS (documentos que começam com `AWS-*`).

 **Exemplos** 
+  [Exemplo 1: permitir que um usuário execute operações do Systems Manager em uma única região](#identity-based-policies-example-1) 
+  [Exemplo 2: permitir que um usuário liste documentos de uma única região](#identity-based-policies-example-2) 

### Exemplo 1: permitir que um usuário execute operações do Systems Manager em uma única região
<a name="identity-based-policies-example-1"></a>

O exemplo a seguir concede permissões para executar operações do Systems Managersomente na região Leste dos EUA (Ohio) (us-east-2).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:*"
            ],
            "Resource": [
                "arn:aws:ssm:us-east-1:111122223333:*"
            ]
        }
    ]
}
```

------

### Exemplo 2: permitir que um usuário liste documentos de uma única região
<a name="identity-based-policies-example-2"></a>

O exemplo a seguir concede permissões para listar todos os nomes de documentos que começam com **Update** na região Leste dos EUA (Ohio) (us-east-2).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:ListDocuments"
            ],
            "Resource": [
                "arn:aws:ssm:us-east-1:111122223333:document/Update*"
            ]
        }
    ]
}
```

------

### Exemplo 3: Permitir que um usuário utilize um documento específico do SSM para executar comandos em nós específicos
<a name="identity-based-policies-example-3"></a>

O exemplo de política do IAM permite a seguir que um usuário faça o seguinte na região Leste dos EUA (Ohio) (us-east-2):
+ ListaSystems ManagerDocumentos (documentos SSM) e versões de documentos.
+ Visualize detalhes sobre documentos.
+ Envie um comando usando o documento especificado na política. O nome do documento é determinado pela entrada a seguir.

  ```
  arn:aws:ssm:us-east-2:aws-account-ID:document/Systems-Manager-document-name
  ```
+ Envie um comando para três nós. Os nós são determinados pelas entradas a seguir na segunda seção `Resource`.

  ```
  "arn:aws:ec2:us-east-2:aws-account-ID:instance/i-02573cafcfEXAMPLE",
  "arn:aws:ec2:us-east-2:aws-account-ID:instance/i-0471e04240EXAMPLE",
  "arn:aws:ec2:us-east-2:aws-account-ID:instance/i-07782c72faEXAMPLE"
  ```
+ Visualize detalhes sobre um comando depois que ele tiver sido enviado.
+ Inicie e interrompa fluxos de trabalho no Automation, uma ferramenta do AWS Systems Manager.
+ Obtenha informações sobre fluxos de trabalho de automação.

Se você deseja conceder permissões a um usuário para o uso deste documento para envio de comandos em qualquer nó ao qual o usuário tenha acesso, especifique uma entrada semelhante à seguinte na seção `Resource` e remova as outras entradas do nó. O exemplo a seguir usa a região Leste dos EUA (Ohio) (us-east-2).

```
"arn:aws:ec2:us-east-2:*:instance/*"
```

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "ssm:ListDocuments",
                "ssm:ListDocumentVersions",
                "ssm:DescribeDocument",
                "ssm:GetDocument",
                "ssm:DescribeInstanceInformation",
                "ssm:DescribeDocumentParameters",
                "ssm:DescribeInstanceProperties"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "ssm:SendCommand",
            "Effect": "Allow",
            "Resource": [
                "arn:aws:ec2:us-east-1:111122223333:instance/i-02573cafcfEXAMPLE",
                "arn:aws:ec2:us-east-1:111122223333:instance/i-0471e04240EXAMPLE",
                "arn:aws:ec2:us-east-1:111122223333:instance/i-07782c72faEXAMPLE",
                
                "arn:aws:ssm:us-east-1:111122223333:document/Systems-Manager-document-name"
            ]
        },
        {
            "Action": [
                "ssm:CancelCommand",
                "ssm:ListCommands",
                "ssm:ListCommandInvocations"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "ec2:DescribeInstanceStatus",
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "ssm:StartAutomationExecution",
            "Effect": "Allow",
            "Resource": [
                "arn:aws:ssm:us-east-1:111122223333:document/*",
                "arn:aws:ssm:us-east-1:111122223333:automation-execution/*"
            ]
        },
        {
            "Action": "ssm:DescribeAutomationExecutions",
            "Effect": "Allow",
            "Resource": [
                "*"
            ]
        },
        {
            "Action": [
                "ssm:StopAutomationExecution",
                "ssm:GetAutomationExecution"
            ],
            "Effect": "Allow",
            "Resource": [
                "*"
            ]
        }
    ]
}
```

------

## Visualizar documentos do Systems Manager com base em tags
<a name="security_iam_id-based-policy-examples-view-documents-tags"></a>

É possível utilizar condições na política baseada em identidade para controlar o acesso aos recursos do Systems Manager com base em tags. Este exemplo mostra como é possível criar uma política que permite visualizar um documento do SSM. No entanto, a permissão será concedida somente se a tag do documento `Owner` tiver o valor do nome desse usuário. Essa política também concede as permissões necessárias concluir essa ação no console.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListDocumentsInConsole",
            "Effect": "Allow",
            "Action": "ssm:ListDocuments",
            "Resource": "*"
        },
        {
            "Sid": "ViewDocumentIfOwner",
            "Effect": "Allow",
            "Action": "ssm:GetDocument",
            "Resource": "arn:aws:ssm:*:*:document/*",
            "Condition": {
                "StringEquals": {"ssm:ResourceTag/Owner": "${aws:username}"}
            }
        }
    ]
}
```

------

Você pode anexar essa política aos usuários na sua conta. Se um usuário chamado `richard-roe` tentar visualizar um documento do Systems Manager, o documento deverá ser marcado `Owner=richard-roe` ou `owner=richard-roe`. Caso contrário, o acesso será negado. A chave da tag de condição `Owner` corresponde a `Owner` e a `owner` porque os nomes de chaves de condição não fazem distinção entre maiúsculas e minúsculas. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.

# Políticas gerenciadas pela AWS para o AWS Systems Manager
<a name="security-iam-awsmanpol"></a>





Uma política gerenciada pela AWS é uma política independente criada e administrada pela AWS. As políticas gerenciadas pela AWS são criadas para fornecer permissões a vários casos de uso comuns a fim de que você possa começar a atribuir permissões a usuários, grupos e perfis.

Lembre-se de que as políticas gerenciadas pela AWS podem não conceder permissões de privilégio mínimo para casos de uso específicos, por estarem disponíveis para uso por todos os clientes da AWS. Recomendamos que você reduza ainda mais as permissões definindo as [ políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que são específicas para seus casos de uso.

Não é possível alterar as permissões definidas em políticas gerenciadas pela AWS. Se a AWS atualiza as permissões definidas em um política gerenciada por AWS, a atualização afeta todas as identidades de entidades principais (usuários, grupos e perfis) às quais a política estiver vinculada. É provável que a AWS atualize uma política gerenciada por AWS quando um novo AWS service (Serviço da AWS) for lançado, ou novas operações de API forem disponibilizadas para os serviços existentes.

Para saber mais, consulte [AWSPolíticas gerenciadas pela ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.









**Topics**
+ [AWSPolítica gerenciada da : AmazonSSMServiceRolePolicy](#security-iam-awsmanpol-AmazonSSMServiceRolePolicy)
+ [Política gerenciada da AWS: AmazonSSMAutomationRole](#security-iam-awsmanpol-AmazonSSMAutomationRole)
+ [Política gerenciada pela AWS: AmazonSSMReadOnlyAccess](#security-iam-awsmanpol-AmazonSSMReadOnlyAccess)
+ [Política gerenciada pela AWS: AWSSystemsManagerOpsDataSyncServiceRolePolicy](#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy)
+ [Política gerenciada pela AWS: AmazonSSMManagedEC2InstanceDefaultPolicy](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy)
+ [Política gerenciada da AWS: SSMQuickSetupRolePolicy](#security-iam-awsmanpol-SSMQuickSetupRolePolicy)
+ [Política gerenciada da AWS: AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy)
+ [Política gerenciada da AWS: AWSQuickSetupPatchPolicyDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyDeploymentRolePolicy)
+ [Política gerenciada da AWS: AWSQuickSetupPatchPolicyBaselineAccess](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyBaselineAccess)
+ [AWS Política gerenciada pela: `AWSSystemsManagerEnableExplorerExecutionPolicy`](#security-iam-awsmanpol-AWSSystemsManagerEnableExplorerExecutionPolicy)
+ [AWS Política gerenciada pela: `AWSSystemsManagerEnableConfigRecordingExecutionPolicy`](#security-iam-awsmanpol-AWSSystemsManagerEnableConfigRecordingExecutionPolicy)
+ [Política gerenciada da AWS: AWSQuickSetupDevOpsGuruPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDevOpsGuruPermissionsBoundary)
+ [Política gerenciada da AWS: AWSQuickSetupDistributorPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDistributorPermissionsBoundary)
+ [Política gerenciada da AWS: AWSQuickSetupSSMHostMgmtPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSSMHostMgmtPermissionsBoundary)
+ [Política gerenciada da AWS: AWSQuickSetupPatchPolicyPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyPermissionsBoundary)
+ [Política gerenciada da AWS: AWSQuickSetupSchedulerPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSchedulerPermissionsBoundary)
+ [Política gerenciada da AWS: AWSQuickSetupCFGCPacksPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupCFGCPacksPermissionsBoundary)
+ [Política gerenciada de AWS: AWS QuickSetupStartStopInstancesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy)
+ [AWS política gerenciada: AWSQuickSetupStartSSMAssociationsExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy)
+ [Política gerenciada pela AWS: AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy)
+ [Política gerenciada pela AWS: AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy)
+ [Política gerenciada pela AWS: AWS-SSM-RemediationAutomation-AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy)
+ [Política gerenciada pela AWS: AWS-SSM-RemediationAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy)
+ [Política gerenciada pela AWS: AWSQuickSetupSSMManageResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupSSMManageResourcesExecutionPolicy)
+ [Política gerenciada pela AWS: AWSQuickSetupSSMLifecycleManagementExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupSSMLifecycleManagementExecutionPolicy)
+ [Política gerenciada pela AWS: AWSQuickSetupSSMDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy)
+ [Política gerenciada pela AWS: AWSQuickSetupSSMDeploymentS3BucketRolePolicy](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentS3BucketRolePolicy)
+ [AWS Política gerenciada pela: AWSQuickSetupEnableDHMCExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupEnableDHMCExecutionPolicy)
+ [AWS Política gerenciada pela: AWSQuickSetupEnableAREXExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupEnableAREXExecutionPolicy)
+ [Política gerenciada pela AWS: AWSQuickSetupManagedInstanceProfileExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManagedInstanceProfileExecutionPolicy)
+ [Política gerenciada pela AWS: AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy)
+ [Política gerenciada pela AWS: AWSQuickSetupJITNADeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy)
+ [Política gerenciada pela AWS: AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy)
+ [Política gerenciada pela AWS: AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy)
+ [Política gerenciada pela AWS: AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy)
+ [Política gerenciada pela AWS: AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy)
+ [Política gerenciada pela AWS: AWSSystemsManagerNotificationsServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy)
+ [Política gerenciada pela AWS: AWS-SSM-Automation-DiagnosisBucketPolicy](#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy)
+ [Política gerenciada pela AWS: AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy)
+ [Política gerenciada pela AWS: AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy)
+ [Atualizações do Systems Manager para políticas gerenciadas pela AWS](#security-iam-awsmanpol-updates)
+ [Políticas gerenciadas adicionais para o Systems Manager](#policies-list)

## AWSPolítica gerenciada da : AmazonSSMServiceRolePolicy
<a name="security-iam-awsmanpol-AmazonSSMServiceRolePolicy"></a>

Esta política fornece acesso a vários recursos da AWS que são gerenciados pelo AWS Systems Manager ou usados nas operações do Systems Manager.

Não é possível anexar `AmazonSSMServiceRolePolicy` às entidades do AWS Identity and Access Management (IAM). Essa política é anexada a uma função vinculada ao serviço que permite que o AWS Systems Manager realize ações em seu nome. Para obter mais informações, consulte [Usar perfis para coletar inventário e visualizar OpsData](using-service-linked-roles-service-action-1.md).

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `ssm`: permite que as entidades principais iniciem e avancem as execuções tanto do Run Command quanto do Automation, recuperem informações sobre as operações de Run Command e do Automation, recuperem informações sobre calendários Change Calendar de parâmetros do Parameter Store, atualizem e recuperem informações sobre as configurações do serviço Systems Manager para recursos OpsCenter e leiam informações sobre tags que foram aplicadas aos recursos.
+ `cloudformation`: permite que as entidades principais recuperem informações sobre operações e instâncias de conjuntos de pilhas e excluam conjuntos de pilhas no recurso `arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*`. Permite que as entidades principais excluam instâncias de pilha associadas aos seguintes recursos:

  ```
  arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-SSM*:*
  arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-SSM*:*
  arn:aws:cloudformation:*:*:type/resource/*
  ```
+ `cloudwatch`: permite que as entidades principais recuperem informações sobre alarmes do Amazon CloudWatch.
+ `compute-optimizer`: permite que as entidades principais recuperem o status de inscrição (opt-in) de uma conta no serviço AWS Compute Optimizer e recuperem recomendações para instâncias do Amazon EC2 que atendam a um conjunto específico de requisitos declarados.
+ `config`: permite que as entidades principais recuperem as configurações de correção de informações e os gravadores de configuração no AWS Config e determinem se as regras do AWS Config e os recursos da AWS especificados estão em conformidade.
+ `events`: que as entidades principais recuperem informações sobre as regras do EventBridge, criem regras e destinos do EventBridge exclusivamente para o serviço Systems Manager (`ssm.amazonaws.com`) e excluam regras e destinos para o recurso `arn:aws:events:*:*:rule/SSMExplorerManagedRule`.
+ `ec2`: permite que as entidades principais recuperem informações sobre instâncias do Amazon EC2.
+ `iam`: permite que as entidades principais transmitam permissões de perfis para o serviço Systems Manager (`ssm.amazonaws.com`).
+ `lambda`: permite que as entidades principais invoquem funções do Lambda que são configuradas especificamente para uso pelo Systems Manager.
+ `resource-explorer-2`: permite que as entidades principais recuperem dados sobre instâncias do EC2 para determinar se cada instância é gerenciada ou não pelo Systems Manager no momento.

  A ação `resource-explorer-2:CreateManagedView` é permitida para o recurso `arn:aws:resource-explorer-2:*:*:managed-view/AWSManagedViewForSSM*`.
+ `resource-groups`: permite que as entidades principais recuperem grupos de recursos de lista e seus membros do AWS Resource Groups para recursos que pertencem a um grupo de recursos.
+ `securityhub`: permite que as entidades principais recuperem informações sobre os recursos do hub do AWS Security Hub CSPM na conta atual.
+ `states`: permite que as entidades principais iniciem e recuperem informações para o AWS Step Functions que estão configuradas especificamente para uso pelo Systems Manager.
+ `support`: permite que as entidades principais recuperem informações sobre verificações e casos no AWS Trusted Advisor.
+ `tag`: permite que as entidades principais recuperem informações sobre todos os recursos marcados ou anteriormente marcados com tags que estão localizados em uma Região da AWS especificada para uma conta.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte [AmazonSSMServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMServiceRolePolicy.html) no *AWS Managed Policy Reference Guide*.

## Política gerenciada da AWS: AmazonSSMAutomationRole
<a name="security-iam-awsmanpol-AmazonSSMAutomationRole"></a>

É possível anexar a política `AmazonSSMAutomationRole` às suas identidades do IAM. Esta política fornece permissões para o serviço Automation AWS Systems Manager para executar atividades definidas nos runbooks de automação.

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `lambda`: permite que as entidades principais invoquem funções do Lambda com nomes que começam com “Automation”. Isso é necessário para que os runbooks de automação executem funções do Lambda como parte de seu fluxo de trabalho.
+ `ec2`: permite que as entidades principais realizem várias operações do Amazon EC2, incluindo criar, copiar e cancelar o registro de imagens; gerenciar snapshots; iniciar, executar, interromper e encerrar instâncias; gerenciar o status da instância; e criar, excluir e descrever tags. Essas permissões permitem que os runbooks de automação gerenciem os recursos do Amazon EC2 durante a execução.
+ `cloudformation`: permite que as entidades principais criem, descrevam, atualizem e excluam pilhas do CloudFormation. Isso permite que os runbooks de automação gerenciem a infraestrutura como código por meio do CloudFormation.
+ `ssm`: permite que as entidades principais usem todas as ações do Systems Manager. Esse acesso abrangente é necessário para que os runbooks de automação interajam com todos os recursos do Systems Manager.
+ `sns`: permite que as entidades principais publiquem mensagens nos tópicos do Amazon SNS com nomes que começam com “Automation”. Isso permite que os runbooks de automação enviem notificações durante a execução.
+ `ssmmessages` – Permite que as entidades principais abram canais de dados para sessões do Systems Manager. Isso permite que os runbooks de automação estabeleçam canais de comunicação para operações baseadas em sessões.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte [AmazonSSMAutomationRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMAutomationRole.html) no *Guia de referência de políticas gerenciadas pela AWS*.

## Política gerenciada pela AWS: AmazonSSMReadOnlyAccess
<a name="security-iam-awsmanpol-AmazonSSMReadOnlyAccess"></a>

É possível anexar a política `AmazonSSMReadOnlyAccess` às suas identidades do IAM. Essa política concede acesso somente para leitura às operações de API do AWS Systems Manager, como `Describe*`, `Get*` e `List*`. 

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte [AmazonSSMReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html) no *AWS Managed Policy Reference Guide*.

## Política gerenciada pela AWS: AWSSystemsManagerOpsDataSyncServiceRolePolicy
<a name="security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy"></a>

Não é possível anexar a `AWSSystemsManagerOpsDataSyncServiceRolePolicy` às entidades do IAM. Essa política é anexada a uma função vinculada ao serviço que permite que o Systems Manager realize ações em seu nome. Para obter mais informações, consulte [Usar perfis para criar OpsData e OpsItems para o Explorer](using-service-linked-roles-service-action-3.md).

 O `AWSSystemsManagerOpsDataSyncServiceRolePolicy` permite que a função vinculada ao serviço do `AWSServiceRoleForSystemsManagerOpsDataSync` crie e atualize OpsItems e OpsData a partir das descobertas do AWS Security Hub CSPM. 

A política permite que o Systems Manager conclua as seguintes ações em todos os recursos relacionados (`"Resource": "*"`), exceto quando indicado:
+ `ssm:GetOpsItem` [1]
+ `ssm:UpdateOpsItem` [1]
+ `ssm:CreateOpsItem`
+ `ssm:AddTagsToResource` [2]
+ `ssm:UpdateServiceSetting` [3]
+ `ssm:GetServiceSetting` [3]
+ `securityhub:GetFindings`
+ `securityhub:GetFindings`
+ `securityhub:BatchUpdateFindings` [4]

[1] As ações `ssm:GetOpsItem` e `ssm:UpdateOpsItem` têm permissões pela seguinte condição apenas para o serviço do Systems Manager:

```
"Condition": {
    "StringEquals": {
        "aws:ResourceTag/ExplorerSecurityHubOpsItem": "true"
    }
}
```

[2] A ação `ssm:AddTagsToResource` tem permissões apenas para o seguinte recurso:

```
arn:aws:ssm:*:*:opsitem/*
```

[3] As ações `ssm:UpdateServiceSetting` e `ssm:GetServiceSetting` têm permissões apenas nos seguintes recursos:

```
arn:aws:ssm:*:*:servicesetting/ssm/opsitem/*
arn:aws:ssm:*:*:servicesetting/ssm/opsdata/*
```

[4] A ação `securityhub:BatchUpdateFindings` tem permissões pela seguinte condição apenas para o serviço do Systems Manager:

```
{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Confidence": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Criticality": false
				}
			}
		},		
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Note.Text": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Note.UpdatedBy": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/RelatedFindings": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/Types": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/UserDefinedFields.key": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/UserDefinedFields.value": false
				}
			}
		},
		{
			"Effect": "Deny",
			"Action": "securityhub:BatchUpdateFindings",
			"Resource": "*",
			"Condition": {
				"Null": {
					"securityhub:ASFFSyntaxPath/VerificationState": false
				}
			}
```

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte [AWSSystemsManagerOpsDataSyncServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerOpsDataSyncServiceRolePolicy.html) no *AWS Managed Policy Reference Guide*.

## Política gerenciada pela AWS: AmazonSSMManagedEC2InstanceDefaultPolicy
<a name="security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy"></a>

Somente associe `AmazonSSMManagedEC2InstanceDefaultPolicy` a perfis do IAM para instâncias do Amazon EC2 que você deseja que tenham permissão para usar a funcionalidade Systems Manager. Você não deve vincular esse perfil a outras entidades do IAM, como usuários e grupos do IAM, ou a perfis do IAM que servem outros propósitos. Para obter mais informações, consulte [Gerenciar instâncias do EC2 automaticamente com a Configuração de gerenciamento de hosts padrão](fleet-manager-default-host-management-configuration.md).

Esta política concede permissões que permitem que o SSM Agent em sua instância do Amazon EC2 se comunique com o serviço Systems Manager na nuvem para realizar uma variedade de tarefas. Ela também concede permissões para os dois serviços que fornecem tokens de autorização para garantir que as operações sejam executadas na instância correta.

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `ssm` — Permite que entidades principais recuperem documentos, executem comandos usando Run Command, estabeleçam sessões usando o Session Manager, coletem um inventário da instância e verificar se há patches e conformidade de patches usando o Patch Manager.
+ `ssmmessages` — Permite que entidades principais acessem, para cada instância, um token de autorização personalizado criado pelo *[Amazon Message Gateway Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagegatewayservice.html)*. O Systems Manager valida o token personalizado de autorização em relação ao nome do recurso da Amazon (ARN)da instância que foi fornecido na operação de API. Esse acesso é necessário para garantir que o SSM Agent execute as operações de API na instância correta. 
+ `ec2messages` — Permite que entidades principais acessem, para cada instância, um token de autorização personalizado criado pelo *[Amazon Message Delivery Service](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmessagegatewayservice.html)*. O Systems Manager valida o token personalizado de autorização em relação ao nome do recurso da Amazon (ARN)da instância que foi fornecido na operação de API. Esse acesso é necessário para garantir que o SSM Agent execute as operações de API na instância correta.

Para obter informações relacionadas sobre os endpoints `ssmmessages` e `ec2messages`, incluindo as diferenças entre os dois, consulte [Operações de API relacionadas a atendentes (endpoints `ssmmessages` e `ec2messages`)](systems-manager-setting-up-messageAPIs.md#message-services).

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte [AmazonSSMManagedEC2InstanceDefaultPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedEC2InstanceDefaultPolicy.html) no *AWS Managed Policy Reference Guide*.

## Política gerenciada da AWS: SSMQuickSetupRolePolicy
<a name="security-iam-awsmanpol-SSMQuickSetupRolePolicy"></a>

Não é possível anexar SSMQuickSetupRolePolicy às entidades do IAM. Essa política é anexada a uma função vinculada ao serviço que permite que o Systems Manager realize ações em seu nome. Para obter mais informações, consulte [Usar funções para manter a integridade e a uniformidade dos recursos provisionados da Quick Setup](using-service-linked-roles-service-action-5.md).

Essa política concede permissões somente de leitura que permitem que o Systems Manager verifique a integridade da configuração, garanta o uso consistente dos parâmetros e dos recursos provisionados e corrija os recursos quando um desvio é detectado. Também concede permissões administrativas para criar um perfil vinculado ao serviço. 

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `ssm`: permite que as entidades principais leiam informações de sincronizações de dados de recursos e documentos do SSM no Systems Manager, incluindo contas de administrador delegado. Isso é necessário para que a Quick Setup possa determinar o estado em que os recursos configurados devem estar. 
+ `organizations`: permite que as entidades principais leiam informações sobre as contas-membros que pertencem a uma organização, conforme configurado em AWS Organizations. Isso é necessário para que a Quick Setup possa identificar todas as contas em uma organização em que as verificações de integridade dos recursos devem ser realizadas. 
+ `cloudformation`: permite que as entidades principais leiam as informações de CloudFormation. Isso é necessário para que a Quick Setup possa coletar dados sobre as pilhas do CloudFormation usadas para gerenciar o estado dos recursos e as operações do conjunto de pilhas do CloudFormation. 

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte [SSMQuickSetupRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SSMQuickSetupRolePolicy.html) no *Guia de referência de políticas gerenciadas da AWS*.

## Política gerenciada da AWS: AWSQuickSetupDeploymentRolePolicy
<a name="security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy"></a>

A política gerenciada `AWSQuickSetupDeploymentRolePolicy` oferece suporte a vários tipos de configuração Quick Setup. Esses tipos de configuração criam perfis e automações do IAM que configuram os serviços e os atributos da Amazon Web Services frequentemente usados com práticas recomendadas.

É possível anexar `AWSQuickSetupDeploymentRolePolicy` às entidades do IAM.

Essa política concede as permissões administrativas necessárias para criar recursos associados às seguintes configurações da Quick Setup:
+ [Configurar o gerenciamento de host do Amazon EC2 usando a Quick Setup](quick-setup-host-management.md)
+ [Criar um gravador de configuração do AWS Config usando o Quick Setup](quick-setup-config.md)
+ [Implantar um pacote de conformidade do AWS Config usando o Quick Setup](quick-setup-cpack.md)
+ [Configurar o DevOps Guru usando a Quick Setup](quick-setup-devops.md)
+ [Implantar pacotes do Distributor usando o Quick Setup](quick-setup-distributor.md)
+ [Parar e iniciar instâncias do EC2 automaticamente de acordo com uma programação usando a Quick Setup](quick-setup-scheduler.md)

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `ssm`: permite que entidades principais leiam, criem, atualizem e excluam documentos do SSM com nomes que começam com “AWSQuickSetup-” ou “AWSOperationsPack-” quando chamados via CloudFormation; para ler documentos específicos de propriedade da AWS, incluindo “AWSQuickSetupType-ManageInstanceProfile”, “AWSQuickSetupType-ConfigureDevOpsGuru” e “AWSQuickSetupType-DeployConformancePack”; para criar, atualizar e excluir associações para documentos de Quick Setup e documentos de propriedade da AWS quando chamado via CloudFormation; e para limpar recursos legados marcados com `QuickSetupID`. Isso permite que Quick Setup implante e gerencie fluxos de trabalho e associações de automação.
+ `cloudformation`: permite que as entidades principais leiam informações sobre pilhas e conjuntos de pilhas de CloudFormation; e criem, atualizem e excluam pilhas e conjuntos de alterações de CloudFormation para recursos com nomes que começam com “StackSet-AWS-QuickSetup-”. Isso permite que Quick Setup gerencie implantações de infraestrutura em contas e regiões.
+ `config`: permite que as entidades principais leiam informações sobre pilhas de conformidade de AWS Config e seu status; e criem e excluam pilhas de conformidade com nomes que começam com “AWS-QuickSetup-” quando chamados via CloudFormation. Isso permite que Quick Setup implante configurações de monitoramento de conformidade.
+ `events`: permite que as entidades principais gerenciem as regras e metas do EventBridge para recursos com nomes contendo “QuickSetup-”. Isso permite que Quick Setup crie fluxos de trabalho de automação programados.
+ `iam`: permite que as entidades principais criem funções vinculadas a serviços para AWS Config e Systems Manager; que criem, gerenciem e excluam funções do IAM com nomes começando com “AWS-QuickSetup-” ou “AWSOperationsPack-” quando chamados via CloudFormation; que passem essas funções para os serviços do Systems Manager e EventBridge; que anexem políticas gerenciadas específicas de AWS a essas funções; e que definam limites de permissões usando políticas gerenciadas específicas de Quick Setup. Isso permite que Quick Setup crie as funções de serviço necessárias para suas operações.
+ `resource-groups`: permite que as entidades principais recuperem consultas de grupos de recursos. Isso permite que Quick Setup direcione conjuntos específicos de recursos para o gerenciamento de configurações.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte [AWSQuickSetupDeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupDeploymentRolePolicy.html) no *Guia de referência de políticas gerenciadas pela AWS*.

## Política gerenciada da AWS: AWSQuickSetupPatchPolicyDeploymentRolePolicy
<a name="security-iam-awsmanpol-AWSQuickSetupPatchPolicyDeploymentRolePolicy"></a>

A política gerenciada `AWSQuickSetupPatchPolicyDeploymentRolePolicy` oferece suporte ao tipo [Configurar a aplicação de patches para instâncias em uma organização usando uma política de patch do Quick Setup](quick-setup-patch-manager.md) da Quick Setup. Esse tipo de configuração ajuda a automatizar a aplicação de patches em aplicações e nós em uma única conta ou em toda a organização. 

Você pode anexar `AWSQuickSetupPatchPolicyDeploymentRolePolicy` às suas entidades do IAM. O Systems Manager também anexa essa política a um perfil de serviço que permite que o Systems Manager realize ações em seu nome. 

Essa política concede permissões administrativas que permitem que o Quick Setup crie recursos associados a uma configuração de política de patch.

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `iam`: permite que as entidades principais gerenciem e excluam os perfis do IAM necessários para tarefas de configuração de automação e gerenciem as políticas de perfis de automação.
+ `cloudformation`: permite que as entidades principais leiam as informações da pilha do CloudFormation e controlem as pilhas do CloudFormation que foram criadas pela Quick Setup usando os conjuntos de pilhas do CloudFormation.
+ `ssm`: permite que as entidades principais criem, atualizem, leiam e excluam os runbooks de automação necessários para tarefas de configuração e para criar, atualizar e excluir associações do State Manager.
+ `resource-groups`: permite que as entidade principais recuperem consultas de recursos associadas a grupos de recursos segmentados pelas configurações da Quick Setup.
+ `s3`: permite que as entidades principais listem os buckets do Amazon S3 e gerenciem os buckets para armazenar os logs de acesso à política de patches.
+ `lambda`: permite que as entidades principais gerenciem as funções de remediação do AWS Lambda que mantêm as configurações no estado correto.
+ `logs`: permite que as entidades principais descrevam e gerenciem grupos de log para recursos de configuração do Lambda.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte [AWSQuickSetupPatchPolicyDeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupPatchPolicyDeploymentRolePolicy.html) no *Guia de referência de políticas gerenciadas da AWS*.

## Política gerenciada da AWS: AWSQuickSetupPatchPolicyBaselineAccess
<a name="security-iam-awsmanpol-AWSQuickSetupPatchPolicyBaselineAccess"></a>

A política gerenciada `AWSQuickSetupPatchPolicyBaselineAccess` oferece suporte ao tipo [Configurar a aplicação de patches para instâncias em uma organização usando uma política de patch do Quick Setup](quick-setup-patch-manager.md) da Quick Setup. Esse tipo de configuração ajuda a automatizar a aplicação de patches em aplicações e nós em uma única conta ou em toda a organização. 

Você pode anexar `AWSQuickSetupPatchPolicyBaselineAccess` às suas entidades do IAM. O Systems Manager também anexa essa política a um perfil de serviço que permite que o Systems Manager realize ações em seu nome. 

Esta política fornece permissões somente de leitura para acessar listas de referência de patches que foram configuradas por um administrador na Conta da AWS atual ou na organização usando a Quick Setup. As listas de referência de patches são armazenadas em um bucket do Amazon S3 e podem ser usadas para aplicar patches em instâncias em uma única conta ou em toda a organização.

**Detalhes relacionados às permissões**

Esta política inclui a seguinte permissão.
+ `s3`: permite que as entidades principais leiam substituições da lista de referência de patches armazenadas nos buckets do Amazon S3.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte [AWSQuickSetupPatchPolicyBaselineAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupPatchPolicyBaselineAccess.html) no *Guia de referência de políticas gerenciadas da AWS*.

## AWS Política gerenciada pela: `AWSSystemsManagerEnableExplorerExecutionPolicy`
<a name="security-iam-awsmanpol-AWSSystemsManagerEnableExplorerExecutionPolicy"></a>

A política gerenciada `AWSSystemsManagerEnableExplorerExecutionPolicy` oferece suporte à habilitação do Explorer, uma ferramenta do AWS Systems Manager.

Você pode anexar `AWSSystemsManagerEnableExplorerExecutionPolicy` às suas entidades do IAM. O Systems Manager também anexa essa política a um perfil de serviço que permite que o Systems Manager realize ações em seu nome. 

Esta política concede permissões administrativas para habilitar o Explorer. Isso inclui permissões para atualizar as configurações de serviços relacionados do Systems Manager e criar uma função vinculada a serviços para o Systems Manager.

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `config`: permite que as entidades principais ajudem na habilitação do Explorer, fornecendo acesso somente de leitura aos detalhes do gravador de configuração.
+ `iam`: permite que as entidades principais ajudem a habilitar o Explorer.
+ `ssm`: permite que as entidades principais iniciem um fluxo de trabalho de automação que habilite o Explorer.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte [AWSSystemsManagerEnableExplorerExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerEnableExplorerExecutionPolicy.html) no *Guia de referência de políticas gerenciadas da AWS*.

## AWS Política gerenciada pela: `AWSSystemsManagerEnableConfigRecordingExecutionPolicy`
<a name="security-iam-awsmanpol-AWSSystemsManagerEnableConfigRecordingExecutionPolicy"></a>

A política gerenciada `AWSSystemsManagerEnableConfigRecordingExecutionPolicy` oferece suporte ao tipo de configuração [Criar um gravador de configuração do AWS Config usando o Quick Setup](quick-setup-config.md) do Quick Setup. Esse tipo de configuração habilita s Quick Setup para rastrear e registrar alterações nos tipos de recursos da AWS que você escolher para o AWS Config. Ele também permite que a Quick Setup configure as opções de entrega e notificações para os dados gravados. 

Você pode anexar `AWSSystemsManagerEnableConfigRecordingExecutionPolicy` às suas entidades do IAM. O Systems Manager também anexa essa política a um perfil de serviço que permite que o Systems Manager realize ações em seu nome. 

Esta política concede permissões administrativas que permitem que a Quick Setup habilite e configure o registro de configuração do AWS Config.

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `s3`: permite que as entidades principais criem e configurem buckets do Amazon S3 para entrega de gravações de configuração.
+ `sns`: permite que as entidades principais listem e criem tópicos do Amazon SNS.
+ `config`: permite que as entidades principais configurem e iniciem o gravador de configuração; e ajudem a habilitar o Explorer.
+ `iam`: permite que as entidades principais criem, obtenham e transmitam uma função vinculada a serviços para o AWS Config e criem uma função vinculada a serviços para o Systems Manager; e ajudem a habilitar o Explorer.
+ `ssm`: permite que as entidades principais iniciem um fluxo de trabalho de automação que habilite o Explorer.
+ `compute-optimizer`: permite que as entidades principais ajudem a habilitar o Explorer, fornecendo acesso somente leitura para determinar se um recurso está inscrito no AWS Compute Optimizer.
+ `support`: permite que as entidades principais ajudem a habilitar o Explorer, fornecendo acesso somente leitura para determinar se um recurso está inscrito no AWS Compute Optimizer.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte [AWSSystemsManagerEnableConfigRecordingExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerEnableConfigRecordingExecutionPolicy.html) no *Guia de referência de políticas gerenciadas da AWS*.

## Política gerenciada da AWS: AWSQuickSetupDevOpsGuruPermissionsBoundary
<a name="security-iam-awsmanpol-AWSQuickSetupDevOpsGuruPermissionsBoundary"></a>

**nota**  
Esta política é um *limite de permissões*. Um limite de permissões define o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Você não deve usar e anexar políticas de limite de permissões da Quick Setup por conta própria. As políticas de limite de permissões da Quick Setup só devem ser anexadas a perfis gerenciados da Quick Setup. Para obter mais informações sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.

A política gerenciada `AWSQuickSetupDevOpsGuruPermissionsBoundary` oferece suporte ao tipo [Configurar o DevOps Guru usando a Quick Setup](quick-setup-devops.md). O tipo de configuração habilita o Amazon DevOps Guru baseado em machine learning. O serviço DevOps Guru pode ajudar a melhorar o desempenho operacional e a disponibilidade de uma aplicação. 

Quando você cria uma configuração `AWSQuickSetupDevOpsGuruPermissionsBoundary` usando a Quick Setup, o sistema aplica esse limite de permissões aos perfis do IAM que são criados quando a configuração é implantada. O limite de permissões limita o escopo dos perfis que a Quick Setup cria.

Esta política concede permissões administrativas que permitem que a Quick Setup habilite e configure o Amazon DevOps Guru.

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `iam`: permite que as entidades principais criem funções vinculadas a serviços para o DevOps Guru e o Systems Manager; e listem funções que ajudam a habilitar o Explorer.
+ `cloudformation`: permite que as entidades principais listem e descrevam as pilhas do CloudFormation.
+ `sns`: permite que as entidades principais listem e criem tópicos do Amazon SNS.
+ `devops-guru`: permite que as entidades principais configurem o DevOps Guru e adicionem um canal de notificação.
+ `config`: permite que as entidades principais ajudem na habilitação do Explorer, fornecendo acesso somente de leitura aos detalhes do gravador de configuração.
+ `ssm`: permite que as entidades principais iniciem um fluxo de trabalho de automação que habilita o Explorer; e leiam e atualizem as configurações de serviço do Explorer. 
+ `compute-optimizer`: permite que as entidades principais ajudem a habilitar o Explorer, fornecendo acesso somente leitura para determinar se um recurso está inscrito no AWS Compute Optimizer.
+ `support`: permite que as entidades principais ajudem a habilitar o Explorer, fornecendo acesso somente leitura para determinar se um recurso está inscrito no AWS Compute Optimizer.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte [AWSQuickSetupDevOpsGuruPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupDevOpsGuruPermissionsBoundary.html) no *Guia de referência de políticas gerenciadas da AWS*.

## Política gerenciada da AWS: AWSQuickSetupDistributorPermissionsBoundary
<a name="security-iam-awsmanpol-AWSQuickSetupDistributorPermissionsBoundary"></a>

**nota**  
Esta política é um *limite de permissões*. Um limite de permissões define o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Você não deve usar e anexar políticas de limite de permissões da Quick Setup por conta própria. As políticas de limite de permissões da Quick Setup só devem ser anexadas a perfis gerenciados da Quick Setup. Para obter mais informações sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.

A política gerenciada `AWSQuickSetupDistributorPermissionsBoundary` oferece suporte ao tipo de configuração [Implantar pacotes do Distributor usando o Quick Setup](quick-setup-distributor.md) do Quick Setup. O tipo de configuração ajuda a permitir a distribuição de pacotes de software, como atendentes, para instâncias do Amazon Elastic Compute Cloud (Amazon EC2), usando o Distributor, uma ferramenta do AWS Systems Manager. 

Quando você cria uma configuração `AWSQuickSetupDistributorPermissionsBoundary` usando a Quick Setup, o sistema aplica esse limite de permissões aos perfis do IAM que são criados quando a configuração é implantada. O limite de permissões limita o escopo dos perfis que a Quick Setup cria.

Esta política concede permissões administrativas para que a Quick Setup possa distribuir pacotes de software, como atendentes, para suas instâncias do Amazon EC2 usando o Distributor.

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `iam`: permite que as entidades principais obtenham e transmitam a função de automação do Distributor; criem, leiam, atualizem e excluam a função de instância padrão; passem a função de instância padrão para o Amazon EC2 e Systems Manager; anexem políticas de gerenciamento de instâncias às funções de instância; criem uma função vinculada a serviços para o Systems Manager; adicionem a função de instância padrão aos perfis de instância; leiam informações sobre perfis do IAM e perfis de instância; e criem o perfil de instância padrão.
+ `ec2`: permite que as entidades principais associem o perfil de instância padrão às instâncias do EC2 e ajudem a habilitar o Explorer.
+ `ssm`: permite que as entidades principais iniciem fluxos de trabalho de automação que configurem instâncias e instalem pacotes; e ajudem a iniciar o fluxo de trabalho de automação que habilita o Explorer; e leiam e atualizem as configurações de serviço do Explorer.
+ `config`: permite que as entidades principais ajudem na habilitação do Explorer, fornecendo acesso somente de leitura aos detalhes do gravador de configuração.
+ `compute-optimizer`: permite que as entidades principais ajudem a habilitar o Explorer, fornecendo acesso somente leitura para determinar se um recurso está inscrito no AWS Compute Optimizer.
+ `support`: permite que as entidades principais ajudem a habilitar o Explorer, fornecendo acesso somente leitura para determinar se um recurso está inscrito no AWS Compute Optimizer.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte [AWSQuickSetupDistributorPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupDistributorPermissionsBoundary.html) no *Guia de referência de políticas gerenciadas da AWS*.

## Política gerenciada da AWS: AWSQuickSetupSSMHostMgmtPermissionsBoundary
<a name="security-iam-awsmanpol-AWSQuickSetupSSMHostMgmtPermissionsBoundary"></a>

**nota**  
Esta política é um *limite de permissões*. Um limite de permissões define o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Você não deve usar e anexar políticas de limite de permissões da Quick Setup por conta própria. As políticas de limite de permissões da Quick Setup só devem ser anexadas a perfis gerenciados da Quick Setup. Para obter mais informações sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.

A política gerenciada `AWSQuickSetupSSMHostMgmtPermissionsBoundary` oferece suporte ao tipo de configuração [Configurar o gerenciamento de host do Amazon EC2 usando a Quick Setup](quick-setup-host-management.md) do Quick Setup. Esse tipo de configuração configura os perfis do IAM e habilita ferramentas comumente usadas do Systems Manager para gerenciar com segurança suas instâncias do Amazon EC2.

Quando você cria uma configuração `AWSQuickSetupSSMHostMgmtPermissionsBoundary` usando a Quick Setup, o sistema aplica esse limite de permissões aos perfis do IAM que são criados quando a configuração é implantada. O limite de permissões limita o escopo dos perfis que a Quick Setup cria.

Esta política concede permissões administrativas para que a Quick Setup possa configurar as ferramentas do Systems Manager necessárias para gerenciar com segurança as instâncias do EC2.

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `iam`: permite que as entidades principais obtenham e passem o perfil de serviço para a automação. Permite que as entidades principais criem, leiam, atualizem e excluam a função de instância padrão; passem a função de instância padrão para o Amazon EC2 e Systems Manager; anexem políticas de gerenciamento de instâncias às funções de instância; criem uma função vinculada a serviços para o Systems Manager; adicionem a função de instância padrão aos perfis de instância; leiam informações sobre perfis do IAM e perfis de instância; e criem o perfil de instância padrão.
+ `ec2`: permite que as entidades principais associem e desassociem o perfil de instância padrão das instâncias do EC2.
+ `ssm`: permite que as entidades principais iniciem fluxos de trabalho de automação que habilitam o Explorer; leiam e atualizem as configurações de serviço do Explorer; configurem instâncias; e habilitem as ferramentas do Systems Manager nas instâncias.
+ `compute-optimizer`: permite que as entidades principais ajudem a habilitar o Explorer, fornecendo acesso somente leitura para determinar se um recurso está inscrito no AWS Compute Optimizer.
+ `support`: permite que as entidades principais ajudem a habilitar o Explorer, fornecendo acesso somente leitura para determinar se um recurso está inscrito no AWS Compute Optimizer.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte [AWSQuickSetupSSMHostMgmtPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMHostMgmtPermissionsBoundary.html) no *Guia de referência de políticas gerenciadas da AWS*.

## Política gerenciada da AWS: AWSQuickSetupPatchPolicyPermissionsBoundary
<a name="security-iam-awsmanpol-AWSQuickSetupPatchPolicyPermissionsBoundary"></a>

**nota**  
Esta política é um *limite de permissões*. Um limite de permissões define o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Você não deve usar e anexar políticas de limite de permissões da Quick Setup por conta própria. As políticas de limite de permissões da Quick Setup só devem ser anexadas a perfis gerenciados da Quick Setup. Para obter mais informações sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.

A política gerenciada `AWSQuickSetupPatchPolicyPermissionsBoundary` oferece suporte ao tipo [Configurar a aplicação de patches para instâncias em uma organização usando uma política de patch do Quick Setup](quick-setup-patch-manager.md) da Quick Setup. Esse tipo de configuração ajuda a automatizar a aplicação de patches em aplicações e nós em uma única conta ou em toda a organização. 

Quando você cria uma configuração `AWSQuickSetupPatchPolicyPermissionsBoundary` usando a Quick Setup, o sistema aplica esse limite de permissões aos perfis do IAM que são criados quando a configuração é implantada. O limite de permissões limita o escopo dos perfis que a Quick Setup cria.

Esta política concede permissões administrativas para que a Quick Setup possa habilitar e configurar políticas de patch no Patch Manager, uma ferramenta do AWS Systems Manager.

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `iam`: permite que as entidades principais obtenham a função de automação do Patch Manager; passem funções de automação para operações de correção do Patch Manager; criem o perfil de instância padrão`AmazonSSMRoleForInstancesQuickSetup`; passem a função de instância padrão para o Amazon EC2 e o Systems Manager; anexem políticas gerenciadas da AWS selecionadas à função de instância; criem uma função vinculada a serviços para o Systems Manager; adicionem a função de instância padrão aos perfis e funções de instância; criem um perfil de instância padrão; e marquem funções que tenham permissões de leitura substituições da lista de referência de patches.
+ `ssm`: permite que as entidades principais atualizem a função da instância que é gerenciada pelo Systems Manager; gerenciem associações criadas pelas políticas de patch do Patch Manager criadas no Quick Setup; marquem instâncias segmentadas por uma configuração de política de patch; leiam informações sobre instâncias e status de patches; iniciem fluxos de trabalho de automação que configuram, habilitam e corrijam a correção de instâncias; iniciem fluxos de trabalho de automação que habilitam o Explorer; ajudem a habilitar o Explorer; e leiam e atualizem as configurações do serviço do Explorer.
+ `ec2`: permite que as entidades principais associem e desassociem o perfil de instância padrão das instâncias do EC2; marquem instâncias segmentadas por uma configuração de política de patch; marquem instâncias segmentadas por uma configuração de política de patch; e ajudem a habilitar o Explorer.
+ `s3`: permite que as entidades principais criem e configurem buckets do S3 para armazenar substituições da lista de referência de patches.
+ `lambda`: permite que as entidades principais invoquem funções do AWS Lambda que configuram a aplicação de patches e realizem operações de limpeza após a exclusão de uma configuração de política de patch da Quick Setup.
+ `logs`: permite que as entidades principais configurem o registro em log para funções Patch Manager Quick Setup AWS Lambda.
+ `config`: permite que as entidades principais ajudem na habilitação do Explorer, fornecendo acesso somente de leitura aos detalhes do gravador de configuração.
+ `compute-optimizer`: permite que as entidades principais ajudem a habilitar o Explorer, fornecendo acesso somente leitura para determinar se um recurso está inscrito no AWS Compute Optimizer.
+ `support`: permite que as entidades principais ajudem a habilitar o Explorer, fornecendo acesso somente leitura para determinar se um recurso está inscrito no AWS Compute Optimizer.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte [AWSQuickSetupPatchPolicyPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupPatchPolicyPermissionsBoundary.html) no *Guia de referência de políticas gerenciadas da AWS*.

## Política gerenciada da AWS: AWSQuickSetupSchedulerPermissionsBoundary
<a name="security-iam-awsmanpol-AWSQuickSetupSchedulerPermissionsBoundary"></a>

**nota**  
Esta política é um *limite de permissões*. Um limite de permissões define o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Você não deve usar e anexar políticas de limite de permissões da Quick Setup por conta própria. As políticas de limite de permissões da Quick Setup só devem ser anexadas a perfis gerenciados da Quick Setup. Para obter mais informações sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.

A política gerenciada `AWSQuickSetupSchedulerPermissionsBoundary` oferece suporte ao tipo de configuração [Parar e iniciar instâncias do EC2 automaticamente de acordo com uma programação usando a Quick Setup](quick-setup-scheduler.md) do Quick Setup. Este tipo de configuração permite que você interrompa e inicie suas instâncias do EC2 e outros recursos nos horários que você especificar. 

Quando você cria uma configuração `AWSQuickSetupSchedulerPermissionsBoundary` usando a Quick Setup, o sistema aplica esse limite de permissões aos perfis do IAM que são criados quando a configuração é implantada. O limite de permissões limita o escopo dos perfis que a Quick Setup cria.

Esta política concede permissões administrativas que permitem que a Quick Setup habilite e configurar operações agendadas nas instâncias do EC2 e em outros recursos.

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `iam`: permite que as entidades principais recuperem e passem perfis para ações de automação de gerenciamento de instâncias; gerenciem, passem e anexem perfis de instância padrão para o gerenciamento de instâncias do EC2; criem perfis de instância padrão; adicionem perfis de instância padrão para perfis de instância; criem um perfil vinculado ao serviço para o Systems Manager; leiam informações sobre perfis do IAM e perfis de instância; associem um perfil de instância padrão às instâncias do EC2; e iniciem fluxos de trabalho de automação para configurar instâncias e habilitar ferramentas do Systems Manager nelas.
+ `ssm`: permite que as entidades principais iniciem fluxos de trabalho de automação que habilitam o Explorer; e leiam e atualizem as configurações de serviço do Explorer.
+ ec2 : permite que as entidades principais localizem instâncias segmentadas e as iniciem e interrompam de acordo com um cronograma.
+ `config`: permite que as entidades principais ajudem na habilitação do Explorer, fornecendo acesso somente de leitura aos detalhes do gravador de configuração.
+ `compute-optimizer`: permite que as entidades principais ajudem a habilitar o Explorer, fornecendo acesso somente leitura para determinar se um recurso está inscrito no AWS Compute Optimizer.
+ `support`: permite que as entidades principais ajudem a habilitar o Explorer, fornecendo acesso somente de leitura às verificações do AWS Trusted Advisor de uma conta.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte [AWSQuickSetupSchedulerPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSchedulerPermissionsBoundary.html) no *Guia de referência de políticas gerenciadas da AWS*.

## Política gerenciada da AWS: AWSQuickSetupCFGCPacksPermissionsBoundary
<a name="security-iam-awsmanpol-AWSQuickSetupCFGCPacksPermissionsBoundary"></a>

**nota**  
Esta política é um *limite de permissões*. Um limite de permissões define o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Você não deve usar e anexar políticas de limite de permissões da Quick Setup por conta própria. As políticas de limite de permissões da Quick Setup só devem ser anexadas a perfis gerenciados da Quick Setup. Para obter mais informações sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.

A política gerenciada `AWSQuickSetupCFGCPacksPermissionsBoundary` oferece suporte ao tipo de configuração [Implantar um pacote de conformidade do AWS Config usando o Quick Setup](quick-setup-cpack.md) do Quick Setup. Este tipo de configuração implanta pacotes de conformidade do AWS Config. Os pacotes de conformidade são uma coleção de regras e ações de remediação do AWS Config que possam ser implantadas como uma única entidade.

Quando você cria uma configuração `AWSQuickSetupCFGCPacksPermissionsBoundary` usando a Quick Setup, o sistema aplica esse limite de permissões aos perfis do IAM que são criados quando a configuração é implantada. O limite de permissões limita o escopo dos perfis que a Quick Setup cria.

Esta política concede permissões administrativas que permitem ao Quick Setup implantar pacotes de conformidade do AWS Config.

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `iam`: permite que as entidades principais criem, obtenham e passem uma função vinculada a serviço para o AWS Config. 
+ `sns`: permite que as entidades principais listem aplicações da plataforma no Amazon SNS. 
+ `config`: permite que as entidades principais implantem pacotes de conformidade do AWS Config; obtenham o status dos pacotes de conformidade; e obtenham informações sobre gravadores de configuração.
+ `ssm`: permite que as entidades principais obtenham informações sobre documentos SSM e fluxos de trabalho de automação; obtenham informações sobre tags de recursos; e obtenham informações e atualizem as configurações do serviço.
+ `compute-optimizer`: permite que as entidades principais obtenham o status de aceitação de uma conta.
+ `support`: permite que as entidades principais obtenham informações sobre verificações do AWS Trusted Advisor.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte [AWSQuickSetupCFGCPacksPermissionsBoundary](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupCFGCPacksConfigurationPolicy.html) no *Guia de referência de políticas gerenciadas da AWS*.

## Política gerenciada de AWS: AWS QuickSetupStartStopInstancesExecutionPolicy
<a name="security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy"></a>

É possível anexar `AWSQuickSetupStartStopInstancesExecutionPolicy` às entidades do IAM. Essa política fornece permissões para Quick Setup para gerenciar a inicialização e a interrupção das instâncias do Amazon EC2 usando a automação do Systems Manager.

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `ec2` – Permite que as entidades principais descrevam as instâncias do Amazon EC2, seu status, regiões e tags. Também permite iniciar e interromper instâncias específicas do Amazon EC2.
+ `ssm` – Permite que as entidades principais obtenham o estado do calendário a partir dos calendários de alterações do Quick Setup, iniciem associações e executem documentos de automação para agendamento de instâncias.
+ `iam` – Permite que as entidades principais passem perfis do IAM do Quick Setup para o Systems Manager para execução de automação, com condições que restringem o serviço ao ssm.amazonaws.com e ARNs de recursos específicos.

Para visualizar mais detalhes sobre a política, incluindo a versão mais recente do documento de política JSON, consulte [AWSQuickSetupStartStopInstancesExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupStartStopInstancesExecutionPolicy.html) no *Guia de referência de políticas gerenciadas pela AWS*.

## AWS política gerenciada: AWSQuickSetupStartSSMAssociationsExecutionPolicy
<a name="security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy"></a>

Essa política concede permissões que permitem à Quick Setup executar o runbook do Automation `AWSQuickSetupType-Scheduler-ChangeCalendarState`. Esse runbook é usado para gerenciar os estados do calendário de alterações para operações agendadas nas configurações do Quick Setup.

Você pode anexar `AWSQuickSetupStartSSMAssociationsExecutionPolicy` às suas entidades do IAM. O Systems Manager também anexa essa política a um perfil de serviço que permite que o Systems Manager realize ações em seu nome.

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `ssm`: permite que as entidades principais iniciem execuções de automação especificamente para o documento `AWSQuickSetupType-Scheduler-ChangeCalendarState`. Isso é necessário para que o Quick Setup gerencie os estados do calendário de alterações das operações agendadas.
+ `iam`: permite que as entidades principais transmitam perfis com nomes que comecem com “AWS-QuickSetup-” para o serviço Systems Manager. Essa permissão é restrita para uso com documentos SSM específicos relacionados ao gerenciamento do calendário de alterações. Isso é necessário para que Quick Setup passe a função de execução apropriada para o processo de automação.

Para visualizar mais detalhes sobre a política, incluindo a versão mais recente do documento de política JSON, consulte [AWSQuickSetupStartSSMAssociationsExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupStartSSMAssociationsExecutionPolicy.html) no *Guia de referência de políticas gerenciadas pela AWS*.

## Política gerenciada pela AWS: AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy
<a name="security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy"></a>

A política `AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy` concede permissões para diagnosticar problemas com nós que interagem com os serviços do Systems Manager iniciando fluxos de trabalho do Automation em contas e regiões nas quais os nós são gerenciados.

Você pode anexar `AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy` às suas entidades do IAM. O Systems Manager também anexa essa política a um perfil de serviço que permite que o Systems Manager realize ações de diagnóstico em seu nome.

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `ssm`: permite que as entidades principais executem runbooks de automação que diagnosticam problemas nos nós e acessem o status de execução de fluxos de trabalho e recuperem os detalhes de execução de automação. A política concede permissões para descrever execuções de automação, descrever execuções de etapas de automação, obter detalhes da execução de automação e iniciar execuções de automação para documentos relacionados ao diagnóstico.
+ `kms`: permite que as entidades principais usem chaves do AWS Key Management Service especificadas pelo cliente para decodificação e geração de chaves de dados ao acessar objetos criptografados em buckets do Amazon S3 usados para operações de diagnóstico. Essas permissões são restritas às chaves marcadas com `SystemsManagerManaged` e são usadas por meio do serviço do Amazon S3 com requisitos específicos de contexto de criptografia.
+ `sts`: permite que as entidades principais assumam perfis de execução de diagnóstico para executar runbooks do Automation na mesma conta. Essa permissão é restrita aos perfis com o padrão de nomenclatura `AWS-SSM-DiagnosisExecutionRole` e inclui uma condição para garantir que a conta do recurso corresponda à conta principal.
+ `iam`: permite que as entidades principais passem o perfil de administração de diagnóstico para o Systems Manager a fim de executar runbooks de automação. Essa permissão é restrita a perfis com o padrão de nomenclatura `AWS-SSM-DiagnosisAdminRole` e só pode ser passada para o serviço do Systems Manager.
+ `s3`: permite que as entidades principais acessem, leiam, gravem e excluam objetos nos buckets do Amazon S3 usados para operações de diagnóstico. Essas permissões são restritas a buckets com o padrão de nomenclatura `do-not-delete-ssm-diagnosis-` e incluem condições para garantir que as operações sejam realizadas na mesma conta.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte [AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy.html) no *Guia de referência de políticas gerenciadas pela AWS*.

## Política gerenciada pela AWS: AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy
<a name="security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy"></a>

A política gerenciada `AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy` fornece permissão administrativa para executar runbooks do Automation em uma região e Conta da AWS de destino a fim de diagnosticar problemas com nós gerenciados que interagem com os serviços do Systems Manager.

Você pode anexar `AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy` às suas entidades do IAM. O Systems Manager também anexa essa política a um perfil de serviço que permite que o Systems Manager realize ações em seu nome. 

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `ec2`: permite que as entidades principais descrevam os recursos do Amazon EC2 e da Amazon VPC e suas configurações para diagnosticar problemas com os serviços do Systems Manager. Isso inclui permissões para descrever VPCs, atributos de VPC, endpoints de VPC, sub-redes, grupos de segurança, instâncias, status de instância, ACLs de rede e gateways de internet.
+ `ssm`: permite que as entidades principais executem runbooks do Automation específicos para diagnósticos e acessem o status do fluxo de trabalho de automação e os metadados de execução. Isso inclui permissões para descrever execuções de etapas de automação, descrever informações de instância do EC2, descrever execuções de automação, descrever ativações, obter detalhes de execução de automação, obter configurações de serviço e iniciar execuções de automação para documentos de diagnóstico EC2 não gerenciados específicos da AWS.
+ `kms`: permite que as entidades principais usem chaves do AWS Key Management Service especificadas pelo cliente para decodificação e geração de chaves de dados ao acessar objetos criptografados em buckets do Amazon S3 usados para operações de diagnóstico. Essas permissões são restritas às chaves marcadas com `SystemsManagerManaged` e usadas por meio do serviço do Amazon S3 com requisitos específicos de contexto de criptografia para buckets de diagnóstico.
+ `iam`: permite que as entidades principais passem o perfil de execução de diagnóstico para o Systems Manager a fim de executar documentos de automação. Essa permissão é restrita a perfis com o padrão de nomenclatura `AWS-SSM-DiagnosisExecutionRole` e só pode ser passada para o serviço do Systems Manager.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte [AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy.html) no *Guia de referência de políticas gerenciadas pela AWS*.

## Política gerenciada pela AWS: AWS-SSM-RemediationAutomation-AdministrationRolePolicy
<a name="security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy"></a>

A política `AWS-SSM-RemediationAutomation-AdministrationRolePolicy` fornece permissões para corrigir problemas com os serviços do Systems Manager executando atividades definidas nos documentos de automação, usados principalmente para executar os documentos de automação. Essa política permite iniciar fluxos de trabalho de automação em contas e regiões em que os nós são gerenciados para resolver problemas de conectividade e configuração.

Você pode anexar `AWS-SSM-RemediationAutomation-AdministrationRolePolicy` às suas entidades do IAM. O Systems Manager também anexa essa política a um perfil de serviço que permite que o Systems Manager realize ações de correção em seu nome.

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `ssm`: permite que as entidades principais executem runbooks de automação que remediam problemas nos nós e acessem o status de execução de fluxos de trabalho e recuperem os detalhes de execução de automação. A política concede permissões para descrever execuções de automação e execuções de etapas de automação, obter detalhes da execução de automação e iniciar execuções de automação para documentos relacionados ao diagnóstico.
+ `kms`: permite que as entidades principais usem chaves do AWS Key Management Service especificadas pelo cliente para descriptografia e geração de chaves de dados ao acessar objetos criptografados em buckets do Amazon S3 usados para operações de correção. Essas permissões são restritas às chaves marcadas com `SystemsManagerManaged` e são usadas por meio do serviço do Amazon S3 com requisitos específicos de contexto de criptografia.
+ `sts`: permite que as entidades principais assumam perfis de execução de correção para executar runbooks de automação na mesma conta. Essa permissão é restrita aos perfis com o padrão de nomenclatura `AWS-SSM-RemediationExecutionRole` e inclui uma condição para garantir que a conta do recurso corresponda à conta principal.
+ `iam`: permite que as entidades principais passem o perfil de administração de correção para o Systems Manager a fim de executar runbooks de automação. Essa permissão é restrita a perfis com o padrão de nomenclatura `AWS-SSM-RemediationAdminRole` e só pode ser passada para o serviço do Systems Manager.
+ `s3`: permite que as entidades principais acessem, leiam, gravem e excluam objetos nos buckets do Amazon S3 usados para operações de correção. Essas permissões são restritas a buckets com o padrão de nomenclatura `do-not-delete-ssm-diagnosis-` e incluem condições para garantir que as operações sejam realizadas na mesma conta.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte [AWS-SSM-RemediationAutomation-AdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-RemediationAutomation-AdministrationRolePolicy.html) no *Guia de referência de políticas gerenciadas pela AWS*.

## Política gerenciada pela AWS: AWS-SSM-RemediationAutomation-ExecutionRolePolicy
<a name="security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy"></a>

A política gerenciada `AWS-SSM-RemediationAutomation-ExecutionRolePolicy` fornece permissões administrativas para executar runbooks de automação em uma região e conta de destino a fim de corrigir problemas de conectividade e rede com nós gerenciados que interagem com os serviços do Systems Manager. Essa política permite atividades de correção definidas nos documentos de automação, usadas principalmente para executar os documentos de automação para resolver problemas de conectividade e configuração.

É possível anexar a política às suas entidades do IAM. O Systems Manager também anexa essa política a um perfil de serviço que permite que o Systems Manager execute ações de correção em seu nome. 

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `ssm`: permite que as entidades principais recuperem informações sobre as execuções de automação e suas etapas de execução e iniciem runbooks específicos de automação de correção, incluindo documentos de `AWS-OrchestrateUnmanagedEC2Actions` e`AWS-RemediateSSMAgent`. A política concede permissões para descrever execuções de automação e execuções de etapas de automação, obter detalhes da execução de automação e iniciar execuções de automação para documentos relacionados ao diagnóstico.
+ `ec2`: permite que as entidades principais descrevam e modifiquem recursos de rede da Amazon VPC para corrigir problemas de conectividade. Isso inclui:
  + Descrição de atributos, sub-redes e endpoints da Amazon VPC e grupos de segurança.
  + Criação de endpoints da Amazon VPC para serviços do Systems Manager (`ssm`, `ssmmessages` e `ec2messages`) com as tags necessárias.
  + Modificação dos atributos da Amazon VPC para habilitar o suporte ao DNS e nomes de host.
  + Criação e gerenciamento de grupos de segurança com tags específicas para acesso ao endpoint da Amazon VPC.
  + Autorização e revogação de regras de grupos de segurança para acesso HTTPS com as tags apropriadas.
  + Criação de tags em grupos de segurança, regras de grupos de segurança e endpoints da Amazon VPC durante a criação de recursos.
+ `kms`: permite que as entidades principais usem chaves do AWS Key Management Service especificadas pelo cliente para descriptografia e geração de chaves de dados ao acessar objetos criptografados em buckets do Amazon S3 usados para operações de correção. Essas permissões são restritas às chaves marcadas com `SystemsManagerManaged` e são usadas por meio do serviço do Amazon S3 com requisitos específicos de contexto de criptografia.
+ `iam`: permite que as entidades principais passem o perfil de execução de correção para o Systems Manager a fim de executar runbooks de automação. Essa permissão é restrita a perfis com o padrão de nomenclatura `AWS-SSM-RemediationExecutionRole` e só pode ser passada para o serviço do Systems Manager.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte [AWS-SSM-RemediationAutomation-ExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-RemediationAutomation-ExecutionRolePolicy.html) no *Guia de referência de políticas gerenciadas pela AWS*.

## Política gerenciada pela AWS: AWSQuickSetupSSMManageResourcesExecutionPolicy
<a name="security-iam-awsmanpol-AWSQuickSetupSSMManageResourcesExecutionPolicy"></a>

Essa política concede permissões que permitem à Quick Setup executar o runbook do Automation `AWSQuickSetupType-SSM-SetupResources`. Esse runbook cria perfis do IAM para associações da Quick Setup que, por sua vez, são criadas por uma implantação do `AWSQuickSetupType-SSM`. Ele também concede permissões para limpar um bucket do Amazon S3 associado durante uma operação de exclusão da Quick Setup.

Você pode anexar a política Systems Manager às suas entidades do IAM. O também anexa essa política a um perfil de serviço que permite que o Systems Manager execute ações em seu nome. 

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `iam`: permite que as entidades principais listem e gerenciem perfis do IAM para uso com as operações do Quick Setup Systems Manager Explorer e visualizem, anexem e desanexem políticas do IAM para uso com a Quick Setup e o Systems Manager Explorer. Essas permissões são necessárias para que a Quick Setup possa criar os perfis necessários para algumas de suas operações de configuração.
+ `s3`: permite que as entidades principais recuperem informações sobre objetos e excluam objetos dos buckets do Amazon S3, na conta da entidade principal, que são usados especificamente em operações de configuração da Quick Setup. Isso é necessário para que os objetos do S3 que não são mais exigidos após a configuração possam ser removidos.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte [AWSQuickSetupSSMManageResourcesExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMManageResourcesExecutionPolicy.html) no *Guia de referência de políticas gerenciadas pela AWS*.

## Política gerenciada pela AWS: AWSQuickSetupSSMLifecycleManagementExecutionPolicy
<a name="security-iam-awsmanpol-AWSQuickSetupSSMLifecycleManagementExecutionPolicy"></a>

A política `AWSQuickSetupSSMLifecycleManagementExecutionPolicy` concede permissões administrativas que permitem à Quick Setup executar um recurso personalizado do CloudFormation em eventos de ciclo de vida durante a implantação da Quick Setup no Systems Manager.

Essa política pode ser anexada a suas identidades do IAM. O Systems Manager também anexa essa política a um perfil de serviço que permite que o Systems Manager realize ações em seu nome. 

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `ssm`: permite que as entidades principais obtenham informações sobre execuções do Automation e iniciem execuções de automação para configurar determinadas operações da Quick Setup.
+ `iam`: permite que as entidades principais passem perfis do IAM para configurar determinados recursos da Quick Setup.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte [AWSQuickSetupSSMLifecycleManagementExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMLifecycleManagementExecutionPolicy.html) no *Guia de referência de políticas gerenciadas pela AWS*.

## Política gerenciada pela AWS: AWSQuickSetupSSMDeploymentRolePolicy
<a name="security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy"></a>

A política gerenciada `AWSQuickSetupSSMDeploymentRolePolicy` concede permissões administrativas que permitem à Quick Setup criar recursos que são usados durante o processo de integração do Systems Manager. 

Embora seja possível anexar essa política a suas entidades do IAM, fazer isso não é recomendado. A Quick Setup cria entidades que anexam essa política a um perfil de serviço que permite ao Systems Manager realizar ações em seu nome.

Essa política não está relacionada à [política `SSMQuickSetupRolePolicy`](using-service-linked-roles-service-action-5.md) que é usada para fornecer permissões para o perfil vinculado ao serviço `AWSServiceRoleForSSMQuickSetup`.

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `ssm`: permite que as entidades principais gerenciem associações para determinados recursos que são criados usando modelos do AWS CloudFormation e um conjunto específico de documentos do SSM, gerenciem perfis e políticas de perfis usados para diagnosticar e corrigir nós gerenciados por meio de modelos do CloudFormation e anexem e excluam políticas para eventos de ciclo de vida da Quick Setup
+ `iam`: permite que as entidades principais marquem perfis e passem permissões de perfis para o serviço do Systems Manager e do Lambda, e passem permissões de perfis para as operações de diagnóstico.
+ `lambda`: permite que as entidades principais marquem e gerenciem funções do ciclo de vida do Quick Setup na conta da entidade principal usando modelos do CloudFormation.
+ `cloudformation`: permite que as entidades principais leiam as informações de CloudFormation. Isso é necessário para que a Quick Setup possa coletar dados sobre as pilhas do CloudFormation usadas para gerenciar o estado dos recursos e as operações do conjunto de pilhas do CloudFormation. 

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte [AWSQuickSetupSSMDeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMDeploymentRolePolicy.html) no *Guia de referência de políticas gerenciadas pela AWS*.

## Política gerenciada pela AWS: AWSQuickSetupSSMDeploymentS3BucketRolePolicy
<a name="security-iam-awsmanpol-AWSQuickSetupSSMDeploymentS3BucketRolePolicy"></a>

A política `AWSQuickSetupSSMDeploymentS3BucketRolePolicy` concede permissões para listar todos os buckets do S3 em uma conta e para gerenciar e recuperar informações sobre buckets específicos na conta da entidade principal que são gerenciados via modelos do CloudFormation.

Você pode anexar `AWSQuickSetupSSMDeploymentS3BucketRolePolicy` às suas entidades do IAM. O Systems Manager também anexa essa política a um perfil de serviço que permite que o Systems Manager realize ações em seu nome. 

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `s3`: permite que as entidades principais listem todos os buckets do S3 em uma conta e gerenciem e recuperem informações sobre buckets específicos na conta da entidade principal que são gerenciados via modelos do CloudFormation.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte [AWSQuickSetupSSMDeploymentS3BucketRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupSSMDeploymentS3BucketRolePolicy.html) no *Guia de referência de políticas gerenciadas pela AWS*.

## AWS Política gerenciada pela: AWSQuickSetupEnableDHMCExecutionPolicy
<a name="security-iam-awsmanpol-AWSQuickSetupEnableDHMCExecutionPolicy"></a>

Essa política concede permissões administrativas que permitem que as entidades principais executem o runbook do Automation `AWSQuickSetupType-EnableDHMC` que habilita a configuração de gerenciamento de host padrão. A opção Configuração de gerenciamento de hosts padrão permite que o Systems Manager gerencie automaticamente as instâncias do Amazon EC2 na forma de *instâncias gerenciadas*. Uma instância gerenciada é uma instância do EC2 que foi configurada para uso com o Systems Manager. Essa política também concede permissões para criar perfis do IAM que são especificados nas configurações do serviço Systems Manager como os perfis padrão para SSM Agent.

Você pode anexar `AWSQuickSetupEnableDHMCExecutionPolicy` às suas entidades do IAM. O Systems Manager também anexa essa política a um perfil de serviço que permite que o Systems Manager realize ações em seu nome. 

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `ssm`: permite que as entidades principais atualizem e obtenham informações sobre as configurações do serviço Systems Manager.
+ `iam`: permite que as entidades principais criem e recuperem informações sobre os perfis do IAM para operações da Quick Setup.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableDHMCExecutionPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableDHMCExecutionPolicy.html) no *AWS Managed Policy Reference Guide*.

## AWS Política gerenciada pela: AWSQuickSetupEnableAREXExecutionPolicy
<a name="security-iam-awsmanpol-AWSQuickSetupEnableAREXExecutionPolicy"></a>

Essa política concede permissões administrativas que permitem que o Systems Manager execute o runbook do Automation `AWSQuickSetupType-EnableAREX`, o qual permite o uso do Explorador de recursos da AWS com o Systems Manager. O Explorador de Recursos possibilita a visualização de recursos em sua conta com uma experiência de pesquisa semelhante a um mecanismo de pesquisa da Internet. A política também concede permissões para gerenciar índices e visualizações do Explorador de Recursos.

Você pode anexar `AWSQuickSetupEnableAREXExecutionPolicy` às suas entidades do IAM. O Systems Manager também anexa essa política a um perfil de serviço que permite que o Systems Manager realize ações em seu nome. 

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `iam`: permite que as entidades principais criem um perfil vinculado ao serviço no serviço AWS Identity and Access Management (IAM).
+ `resource-explorer-2`: permite que as entidades principais recuperem informações sobre visualizações e índices do Explorador de Recursos, criem visualizações e índices do Explorador de recursos e alterem o tipo de índice dos índices exibidos na Quick Setup.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableAREXExecutionPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupEnableAREXExecutionPolicy.html) no *AWS Managed Policy Reference Guide*.

## Política gerenciada pela AWS: AWSQuickSetupManagedInstanceProfileExecutionPolicy
<a name="security-iam-awsmanpol-AWSQuickSetupManagedInstanceProfileExecutionPolicy"></a>

Essa política concede permissões administrativas que permitem ao Systems Manager criar um perfil de instância do IAM padrão para a ferramenta Quick Setup e anexá-lo a instâncias do Amazon EC2 que ainda não têm um perfil de instância anexado. A política também concede ao Systems Manager a capacidade de anexar permissões aos perfis de instância existentes. Isso é feito para garantir que as permissões necessárias para o Systems Manager se comunicar com o SSM Agent em instâncias do EC2 estejam em vigor.

Você pode anexar `AWSQuickSetupManagedInstanceProfileExecutionPolicy` às suas entidades do IAM. O Systems Manager também anexa essa política a um perfil de serviço que permite que o Systems Manager realize ações em seu nome. 

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `ssm`: permite que as entidades principais iniciem fluxos de trabalho de automação associados aos processos da Quick Setup.
+ `ec2`: permite que as entidades principais anexem perfis de instância do IAM às instâncias do EC2 que são gerenciadas pela Quick Setup.
+ `iam`: permite que as entidades principais criem, atualizem e recuperem informações sobre perfis do IAM que são usadas em processos da Quick Setup, criem perfis de instância do IA e anexem a política gerenciada `AmazonSSMManagedInstanceCore` aos perfis de instância do IAM.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte [AWSQuickSetupManagedInstanceProfileExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupManagedInstanceProfileExecutionPolicy.html) no *Guia de referência de políticas gerenciadas pela AWS*.

## Política gerenciada pela AWS: AWSQuickSetupManageJITNAResourcesExecutionPolicy
<a name="security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy"></a>

A política gerenciada `AWSQuickSetupManageJITNAResourcesExecutionPolicy` permite que o Quick Setup, uma ferramenta no Systems Manager, configure o acesso a nós just-in-time.

Você pode anexar `AWSQuickSetupManageJITNAResourcesExecutionPolicy` às suas entidades do IAM. O Systems Manager também anexa essa política a um perfil de serviço que permite que o Systems Manager realize ações em seu nome. 

Esta política concede permissões administrativas que possibilitam que o Systems Manager crie recursos associados ao acesso a nós just-in-time.

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `ssm`: permite que as entidades principais obtenham e atualizem a configuração do serviço que especifica o provedor de identidade para acesso a nós just-in-time.
+ `iam`: permite que as entidades principais criem, marquem e obtenham perfis, anexem políticas de perfil para políticas gerenciadas de acesso a nós just-in-time e criem funções vinculadas ao serviço para notificações e acesso a nós just-in-time.

Para visualizar mais detalhes sobre a política, incluindo a versão mais recente do documento de política JSON, consulte [AWSQuickSetupManageJITNAResourcesExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupManageJITNAResourcesExecutionPolicy.html) no *Guia de referência de políticas gerenciadas pela AWS*.

## Política gerenciada pela AWS: AWSQuickSetupJITNADeploymentRolePolicy
<a name="security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy"></a>

A política gerenciada `AWSQuickSetupJITNADeploymentRolePolicy` permite que o Quick Setup implante o tipo de configuração necessário para configurar o acesso a nós just-in-time.

Você pode anexar `AWSQuickSetupJITNADeploymentRolePolicy` às suas entidades do IAM. O Systems Manager também anexa essa política a um perfil de serviço que permite que o Systems Manager realize ações em seu nome. 

Esta política concede permissões administrativas que possibilitam que o Systems Manager crie recursos associados ao acesso a nós just-in-time.

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `cloudformation`: permite que as entidades principais criem, atualizem, excluam e leiam pilhas do CloudFormation.
+ `ssm`: permite que as entidades principais criem, excluam, atualizem e leiam associações do State Manager que são chamadas pelo CloudFormation.
+ `iam`: permite que as entidades principais criem, excluam, leiam e marquem perfis do IAM que são chamados pelo CloudFormation.

Para visualizar mais detalhes sobre a política, incluindo a versão mais recente do documento de política JSON, consulte [AWSQuickSetupJITNADeploymentRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSQuickSetupJITNADeploymentRolePolicy.html) no *Guia de referência de políticas gerenciadas pela AWS*.

## Política gerenciada pela AWS: AWSSystemsManagerJustInTimeAccessServicePolicy
<a name="security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy"></a>

A política gerenciada `AWSSystemsManagerJustInTimeAccessServicePolicy` fornece acesso aos recursos gerenciados de AWS ou usados pela estrutura de acesso just-in-time de AWS Systems Manager. Essa atualização de política adiciona permissões de marcação de execução de automação para permitir que os clientes reduzam as permissões do operador a tags específicas.

Não é possível anexar a `AWSSystemsManagerJustInTimeAccessServicePolicy` às entidades do IAM. Essa política é anexada a uma função vinculada ao serviço que permite que o Systems Manager realize ações em seu nome. Para obter mais informações, consulte [Uso de perfis para habilitar o acesso a nós just-in-time](using-service-linked-roles-service-action-8.md).

Esta política concede permissões administrativas que permitem o acesso aos recursos associados ao acesso a nós just-in-time.

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `ssm`: permite que as entidades principais criem e gerenciem OpsItems, adicionem tags a OpsItems e automatizem execuções, obtenham e atualizem OpsItems, recuperem e descrevam documentos, descrevam OpsItems e sessões, listem documentos e tags para instâncias gerenciadas.
+ `ssm-guiconnect`: permite que as entidades principais listem conexões.
+ `identitystore`: permite que as entidades principais obtenham IDs de usuários e grupos, descrevam usuários e listem associações de grupos.
+ `sso-directory`: permite que as entidades principais descrevam usuários e determinem se um usuário é membro de um grupo.
+ `sso`: permite que as entidades principais descrevam as regiões registradas e listem instâncias e associações de diretórios.
+ `cloudwatch`: permite que as entidades principais coloquem dados de métricas do namespace `AWS/SSM/JustInTimeAccess`.
+ `ec2`: permite que as entidades principais descrevam as tags.

Para visualizar mais detalhes sobre a política, incluindo a versão mais recente do documento de política JSON, consulte [AWSSystemsManagerJustInTimeAccessServicePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeAccessServicePolicy.html) no *Guia de referência de políticas gerenciadas pela AWS*.

## Política gerenciada pela AWS: AWSSystemsManagerJustInTimeAccessTokenPolicy
<a name="security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy"></a>

A política gerenciada `AWSSystemsManagerJustInTimeAccessTokenPolicy` fornece permissões para que os usuários estabeleçam conexões seguras com instâncias do Amazon EC2 e instâncias gerenciadas por meio do Session Manager e de conexões RDP do Systems Manager GUI Connect como parte dos fluxos de trabalho de acesso a nós just-in-time.

É possível anexar `AWSSystemsManagerJustInTimeAccessTokenPolicy` às entidades do IAM.

Esta política concede permissões a colaboradores que possibilitam que os usuários iniciem e gerenciem sessões seguras, estabeleçam conexões RDP e realizem as operações criptográficas necessárias para acesso a nós just-in-time.

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `ssm` – Permite que as entidades principais iniciem as sessões do Session Manager em instâncias do Amazon EC2 e instâncias gerenciadas usando o documento SSM-SessionManagerRunShell. Também permite encerrar e retomar sessões, recuperar detalhes da invocação do comando e enviar comandos às instâncias para configuração do usuário SSO quando chamado por meio do Systems Manager GUI Connect. Além disso, permite iniciar sessões de encaminhamento de portas para conexões RDP quando chamadas por meio do Systems Manager GUI Connect.
+ `ssmmessages` – Permite que as entidades principais abram canais de dados para comunicação segura durante as sessões do Session Manager.
+ `ssm-guiconnect` – Permite que as entidades principais iniciem, obtenham detalhes e encerrem conexões RDP entre o Systems Manager GUI Connect e as instâncias.
+ `kms` – Permite que as entidades principais gerem chaves de dados para a criptografia do Session Manager e criem concessões para conexões RDP. Essas permissões são restritas às chaves AWS KMS marcadas com `SystemsManagerJustInTimeNodeAccessManaged=true`. A criação de concessões é ainda mais restrita para ser usada somente por meio do serviço Systems Manager GUI Connect.
+ `sso` – Permite que as entidades principais listem associações de diretórios quando chamadas por meio do Systems Manager GUI Connect. Isso é necessário para a configuração do usuário do RDP SSO.
+ `identitystore` – Permite que as entidades principais descrevam os usuários no repositório de identidades quando chamadas por meio do Systems Manager GUI Connect. Isso é necessário para a configuração do usuário do RDP SSO.

Para visualizar mais detalhes sobre a política, incluindo a versão mais recente do documento de política JSON, consulte [AWSSystemsManagerJustInTimeAccessTokenPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeAccessTokenPolicy.html) no *Guia de referência de políticas gerenciadas pela AWS*.

## Política gerenciada pela AWS: AWSSystemsManagerJustInTimeAccessTokenSessionPolicy
<a name="security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy"></a>

A política gerenciada `AWSSystemsManagerJustInTimeAccessTokenSessionPolicy` possibilita que o Systems Manager aplique permissões com escopo reduzido a um token de acesso a nós just-in-time. 

É possível anexar `AWSSystemsManagerJustInTimeAccessTokenSessionPolicy` às entidades do IAM.

Esta política concede permissões administrativas que possibilitam que o Systems Manager reduza o escopo das permissões para tokens de acesso a nós just-in-time.

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `ssm`: permite que as entidades principais iniciem sessões do Session Manager usando o documento `SSM-SessionManagerRunShell`. Além disso, quando chamadas primeiro via `ssm-guiconnect`, iniciam sessões usando o documento `AWS-StartPortForwardingSession`, listam invocações de comandos e enviam comandos usando o documento `AWSSSO-CreateSSOUser`.
+ `ssm-guiconnect`: permite que as entidades principais cancelem, obtenham e iniciem conexões em todos os recursos.
+ `kms`: permite que as entidades principais criem concessões e gerem chaves de dados para chaves marcadas com `SystemsManagerJustInTimeNodeAccessManaged` quando chamadas via `ssm-guiconnect` por meio de um serviço da AWS.
+ `sso`: permite que as entidades principais listem associações de diretórios quando chamadas via `ssm-guiconnect`.
+ `identitystore`: permite que as entidades principais descrevam um usuário quando chamadas via `ssm-guiconnect`.

Para visualizar mais detalhes sobre a política, incluindo a versão mais recente do documento de política JSON, consulte [AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeAccessTokenSessionPolicy.html) no *Guia de referência de políticas gerenciadas pela AWS*.

## Política gerenciada pela AWS: AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy
<a name="security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy"></a>

A política gerenciada `AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy` permite que o Systems Manager compartilhe políticas de negação de acesso da conta de administrador delegado para contas de membros e replique-as em várias Regiões da AWS.

É possível anexar `AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy` às entidades do IAM.

Essa política fornece as permissões administrativas necessárias para o Systems Manager compartilhar e criar políticas de negação de acesso. Isso garante que as políticas de negação de acesso sejam aplicadas a todas as contas em uma organização do AWS Organizations e regiões configuradas para acesso a nós just-in-time.

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `ssm`: permite que as entidades principais gerenciem documentos do SSM e políticas de recursos.
+ `ssm-quicksetup`: permite que as entidades principais leiam os gerenciadores de configurações do Quick Setup.
+ `organizations`: permite que as entidades principais listem os detalhes sobre uma organização do AWS Organizations e administradores delegados.
+ `ram`: permite que as entidades principais criem, marquem e descrevam compartilhamentos de recursos.
+ `iam`: permite que as entidades principais descrevam um perfil de serviço.

Para visualizar mais detalhes sobre a política, incluindo a versão mais recente do documento de política JSON, consulte [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy.html) no *Guia de referência de políticas gerenciadas pela AWS*.

## Política gerenciada pela AWS: AWSSystemsManagerNotificationsServicePolicy
<a name="security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy"></a>

A política gerenciada `AWSSystemsManagerNotificationsServicePolicy` permite que o Systems Manager envie notificações por e-mail de solicitações de acesso a nós just-in-time para aprovadores de solicitações de acesso.

Não é possível anexar a `AWSSystemsManagerJustInTimeAccessServicePolicy` às entidades do IAM. Essa política é anexada a uma função vinculada ao serviço que permite que o Systems Manager realize ações em seu nome. Para obter mais informações, consulte [Uso de perfis para enviar notificações de solicitação de acesso a nós just-in-time](using-service-linked-roles-service-action-9.md).

Essa política concede permissões administrativas que possibilitam que o Systems Manager envie notificações por e-mail de solicitações de acesso a nós just-in-time para aprovadores de solicitações de acesso.

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `identitystore`: permite que as entidades principais listem e descrevam usuários e associações de grupos.
+ `sso`: permite que as entidades principais listem instâncias, diretórios e descrevam regiões registradas.
+ `sso-directory`: permite que as entidades principais descrevam usuários e listem membros em um grupo.
+ `iam`: permite que as entidades principais obtenham informações sobre perfis.

Para visualizar mais detalhes sobre a política, incluindo a versão mais recente do documento de política JSON, consulte [AWSSystemsManagerNotificationsServicePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerNotificationsServicePolicy.html) no *Guia de referência de políticas gerenciadas pela AWS*.

## Política gerenciada pela AWS: AWS-SSM-Automation-DiagnosisBucketPolicy
<a name="security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy"></a>

A política gerenciada `AWS-SSM-Automation-DiagnosisBucketPolicy` fornece permissões para diagnosticar problemas com nós que interagem com os serviços do AWS Systems Manager, permitindo o acesso aos buckets do S3 que são usados para diagnóstico e correção de problemas.

É possível anexar a política `AWS-SSM-Automation-DiagnosisBucketPolicy` às suas identidades do IAM. O Systems Manager também anexa essa política a um perfil do IAM que permite que o Systems Manager execute ações de diagnóstico em seu nome.

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `s3`: concede às entidades principais acesso de leitura e gravação a objetos em um bucket do Amazon S3

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte [AWS-SSM-Automation-DiagnosisBucketPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-Automation-DiagnosisBucketPolicy.html) no *Guia de referência de políticas gerenciadas pela AWS*.

## Política gerenciada pela AWS: AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy
<a name="security-iam-awsmanpol-AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy"></a>

A política gerenciada `AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy` fornece permissões para que uma conta operacional diagnostique problemas com os nós fornecendo para isso permissões específicas da organização.

É possível anexar a `AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy` a suas identidades do IAM. O Systems Manager também anexa essa política a um perfil do IAM que permite que o Systems Manager execute ações de diagnóstico em seu nome.

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `organizations`: permite que as entidades principais listem uma raiz da organização e obtenham contas-membro para determinar as contas de destino.
+ `sts`: permite que as entidades principais assumam perfis de execução de correção para executar documentos do SSM Automation em contas e regiões diversas na mesma organização.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte [AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy.html) no *Guia de referência de políticas gerenciadas pela AWS*.

## Política gerenciada pela AWS: AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy
<a name="security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy"></a>

A política gerenciada `AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy` fornece permissões para que uma conta operacional diagnostique problemas com os nós fornecendo para isso permissões específicas da organização.

É possível anexar a política `AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy` às suas identidades do IAM. O Systems Manager também anexa essa política a um perfil do IAM que permite que o Systems Manager execute ações de diagnóstico em seu nome.

**Detalhes das permissões**

Esta política inclui as seguintes permissões.
+ `organizations`: permite que as entidades principais listem uma raiz da organização e obtenham contas-membro para determinar as contas de destino.
+ `sts`: permite que as entidades principais assumam perfis de execução de diagnóstico para executar documentos do SSM Automation em contas e regiões diversas na mesma organização.

Para visualizar mais detalhes sobre a política, inclusive a versão mais recente do documento de política JSON, consulte [AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy.html) no *Guia de referência de políticas gerenciadas pela AWS*.





## Atualizações do Systems Manager para políticas gerenciadas pela AWS
<a name="security-iam-awsmanpol-updates"></a>



Na tabela a seguir, veja detalhes sobre atualizações em políticas gerenciadas pela AWS para o Systems Manager desde que esse serviço começou a rastrear essas alterações em 12 de março de 2021. Para obter informações sobre outras políticas gerenciadas para o serviço Systems Manager, consulte [Políticas gerenciadas adicionais para o Systems Manager](#policies-list) mais adiante neste tópico. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página [Histórico do documento](systems-manager-release-history.md) do Systems Manager.




| Alteração | Descrição | Data | 
| --- | --- | --- | 
|  [AmazonSSMAutomationRole](#security-iam-awsmanpol-AmazonSSMAutomationRole) – Atualização de uma política existente  |  O Systems Manager adicionou as permissões `cloudformation:TagResource` e `cloudformation:UntagResource`. Essas permissões permitem que os runbooks de automação que criam pilhas do CloudFormation adicionem e removam etiquetas dos recursos.  | 20 de março de 2026 | 
|  [AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy): Política gerenciada atualizada  |  O Systems Manager atualizou a política gerenciada para adicionar permissões adicionais do EC2 e do SSM para melhorar os recursos de diagnóstico. A política agora inclui permissões para descrever o status da instância do EC2 e ACLs de rede, bem como ativações SSM e configurações de serviço, fornecendo informações de diagnóstico mais abrangentes para solucionar problemas de nós gerenciados.  | 19 de dezembro de 2025 | 
|  [AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy): Política gerenciada atualizada  |  O Systems Manager atualizou a política gerenciada `AWSQuickSetupDeploymentRolePolicy` para adicionar suporte a dois documentos do SSM adicionais: `AWSQuickSetupType-ConfigureDevOpsGuru` e `AWSQuickSetupType-DeployConformancePack`. Essas adições permitem ao Quick Setup implantar configurações e pacotes de conformidade do DevOps Guru por meio da política.  | 15 de dezembro de 2025 | 
|  [AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy) – Atualização de uma política existente  |  O Systems Manager atualizou a política gerenciada `AWSSystemsManagerJustInTimeAccessTokenPolicy`. A instrução (`SID`) `TerminateAndResumeSession` foi renomeada para `TerminateAndResumeSessionAndOpenDataChannel` e agora inclui a ação `ssmmessages:OpenDataChannel`, combinando gerenciamento de sessão e permissões de canal de dados em uma única instrução.  | 25 de setembro de 2025 | 
| Políticas gerenciadas atualizadas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/systems-manager/latest/userguide/security-iam-awsmanpol.html) | O Systems Manager atualizou três políticas gerenciadas para adicionar suporte para iniciar execuções de automação em recursos adicionais do Systems Manager, incluindo runbooks de automação específicos e documentos de comando SSM. | 12 de setembro de 2025 | 
|  [AWSQuickSetupStartStopInstancesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy) – Política gerenciada atualizada  |  O Systems Manager atualizou a política gerenciada para refinar as permissões para a configuração do programador do Quick Setup. A política fornece agora permissões mais específicas para iniciar e interromper as instâncias do Amazon EC2, acessar calendários de alterações e executar documentos de automação com condições de segurança aprimoradas.  | 12 de setembro de 2025 | 
|  [AWSQuickSetupStartSSMAssociationsExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy) – Política gerenciada atualizada  |  O Systems Manager atualizou a política gerenciada para alterar o documento de automação de `AWSQuickSetupType-StartSSMAssociations` para `AWSQuickSetupType-Scheduler-ChangeCalendarState`. Essa atualização altera a finalidade da política de iniciar associações de SSM para gerenciar os estados do calendário de alterações das operações agendadas.  | 12 de setembro de 2025 | 
|  [AmazonSSMAutomationRole](#security-iam-awsmanpol-AmazonSSMAutomationRole) – Atualização de uma política existente  |  O Systems Manager adicionou novas permissões para permitir que os runbooks de automação estabeleçam canais de comunicação para operações baseadas em sessões. Foi adicionada a permissão `ssmmessages:OpenDataChannel` para o recurso `arn:*:ssm:*:*:session/*`.  | 11 de setembro de 2025 | 
|  [AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy) – Política gerenciada atualizada  |  Systems Manager atualizou a política gerenciada para adicionar permissões de marcação de execução de automação. O serviço precisa marcar as execuções de automação com a tag `SystemsManagerJustInTimeNodeAccessManaged=true` para permitir que os clientes reduzam as permissões do operador para tags específicas.  | 25 de agosto de 2025 | 
|  [AWSQuickSetupStartSSMAssociationsExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartSSMAssociationsExecutionPolicy) – Nova política  |  Systems Manager adicionou uma nova política para permitir que Quick Setup execute o runbook de automação `AWSQuickSetupType-StartSSMAssociations`. Esse runbook é usado para iniciar associações State Manager que são criadas por configurações Quick Setup.  | 12 de agosto de 2025 | 
|  [AWSQuickSetupStartStopInstancesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupStartStopInstancesExecutionPolicy) – Nova política  |  Systems Manager adicionou uma nova política para permitir que Quick Setup inicie e interrompa as instâncias do Amazon EC2 de acordo com um agendamento. Essa política fornece as permissões necessárias para o tipo de configuração do agendador Quick Setupgerenciar o estado da instância com base em agendamentos definidos.  | 12 de agosto de 2025 | 
|  [AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy) – Atualização da documentação  |  O Systems Manager atualizou a política gerenciada de `AWSQuickSetupDeploymentRolePolicy` para conceder permissões para recursos adicionais. Além disso, a documentação para `AWSQuickSetupDeploymentRolePolicy` foi atualizada com descrições mais detalhadas das permissões concedidas por essa política para operações de gerenciamento da configuração de Quick Setup.  | 12 de agosto de 2025 | 
|  [AWS-SSM-RemediationAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy): atualização de uma política existente  |  O Systems Manager atualizou a política gerenciada para melhorar a postura de segurança da API ssm:StartAutomationExecution exigindo permissões para os tipos de recursos de “document” e “automation-execution”. A política atualizada fornece permissões mais abrangentes e detalhadas para a execução da automação de correção incluindo descrições aprimoradas dos recursos de correção de rede, permissões mais específicas de criação de endpoints da Amazon VPC, permissões detalhadas de gerenciamento de grupos de segurança e controles aprimorados de marcação de recursos para operações de correção.  | 16 de julho de 2025 | 
|  [AWS-SSM-RemediationAutomation-AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy): atualização de uma política existente  |  O Systems Manager atualizou a política gerenciada para oferecer suporte a melhorias na autorização da API para operações de automação de correção. A política atualizada aprimora as permissões para a execução de atividades definidas nos documentos de automação, com controles de segurança aprimorados e padrões de acesso a recursos para fluxos de trabalho de correção.  | 16 de julho de 2025 | 
|  [AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy): atualização de uma política existente  |  O Systems Manager atualizou a política gerenciada para fornecer permissões mais detalhadas e precisas para a execução da automação de diagnósticos. A política atualizada inclui descrições aprimoradas para acesso aos recursos do Amazon EC2 e da Amazon VPC, permissões de automação do SSM mais específicas e descrições aprimoradas das permissões do AWS KMS e do IAM com restrições de recursos adequadas.  | 16 de julho de 2025 | 
|  [AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy): atualização de uma política existente  |  O Systems Manager atualizou a política gerenciada para fornecer permissões e condições de segurança mais específicas para operações de automação de diagnóstico. A política atualizada fornece controles de segurança aprimorados para uso de chaves do AWS KMS, acesso ao bucket do Amazon S3 e suposições de perfis, com condições mais rígidas baseadas em recursos e restrições em nível de conta.  | 16 de julho de 2025 | 
|  [AWSQuickSetupDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupDeploymentRolePolicy): atualização em uma política  |  O Systems Manager adicionou permissões à política gerenciada `AWSQuickSetupDeploymentRolePolicy` para acesso ao runbook [AWSQuickSetupType-ManageInstanceProfile](https://console.aws.amazon.com/systems-manager/documents/AWSQuickSetupType-ManageInstanceProfile/content) de propriedade da Amazon. Essa permissão permite que a Quick Setup crie associações utilizando a política gerenciada em vez de políticas em linha.  | 14 de julho de 2025 | 
|  [AmazonSSMAutomationRole](#security-iam-awsmanpol-AmazonSSMAutomationRole): atualização da documentação  |  O Systems Manager adicionou uma documentação abrangente para a política `AmazonSSMAutomationRole` existente, que fornece permissões para o serviço do Systems Manager Automation executar atividades definidas nos runbooks de automação.  | 15 de julho de 2025 | 
|  [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy): atualização de uma política  |  O Systems Manager adicionou permissões para permitir que o Systems Manager marque um recurso compartilhado pelo AWS Resource Access Manager para acesso a nós just-in-time.  | 30 de abril de 2025 | 
|  [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy): atualização em uma política  |  O Systems Manager adicionou permissões que possibilitam que o Systems Manager marque perfis do IAM criados para acesso a nós just-in-time.  | 30 de abril de 2025 | 
|  [AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy): nova política  |  O Systems Manager adicionou uma nova política para possibilitar que o Systems Manager aplique permissões com escopo reduzido a um token de acesso a nós just-in-time.  | 30 de abril de 2025 | 
|  [AWSSystemsManagerNotificationsServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy): nova política  |  O Systems Manager adicionou uma nova política que possibilita que o Systems Manager envie notificações por e-mail de solicitações de acesso a nós just-in-time para aprovadores de solicitações de acesso.  | 30 de abril de 2025 | 
|  [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy): nova política  |  O Systems Manager adicionou uma nova política que possibilita que o Systems Manager replique políticas de aprovação em diferentes regiões.  | 30 de abril de 2025 | 
|  [AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy): nova política  |  O Systems Manager adicionou uma nova política que possibilita que o Systems Manager gere tokens de acesso usados para acesso a nós just-in-time.  | 30 de abril de 2025 | 
|  [AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy): nova política  |  O Systems Manager adicionou uma nova política para fornecer permissões aos recursos gerenciados pela AWS ou usados pelo recurso de acesso a nós just-in-time do Systems Manager.  | 30 de abril de 2025 | 
|  [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy): nova política  |  O Systems Manager adicionou uma nova política que possibilita que o Quick Setup, uma ferramenta no Systems Manager, crie os perfis do IAM necessários para o acesso a nós just-in-time.  | 30 de abril de 2025 | 
|  [AWSQuickSetupJITNADeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy): nova política  |  O Systems Manager adicionou uma nova política que fornece permissões que possibilitam que o Quick Setup implante o tipo de configuração necessário para configurar o acesso a nós just-in-time.  | 30 de abril de 2025 | 
|  [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy): atualização de uma política  |  O Systems Manager adicionou permissões para permitir que o Systems Manager marque um recurso compartilhado pelo AWS Resource Access Manager para acesso a nós just-in-time.  | 30 de abril de 2025 | 
|  [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy): atualização de uma política  |  O Systems Manager adicionou permissões que possibilitam que o Systems Manager marque perfis do IAM criados para acesso a nós just-in-time.  | 30 de abril de 2025 | 
|  [AWSSystemsManagerJustInTimeAccessTokenSessionPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenSessionPolicy): nova política  |  O Systems Manager adicionou uma nova política para possibilitar que o Systems Manager aplique permissões com escopo reduzido a um token de acesso a nós just-in-time.  | 30 de abril de 2025 | 
|  [AWSSystemsManagerNotificationsServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy): nova política  |  O Systems Manager adicionou uma nova política que possibilita que o Systems Manager envie notificações por e-mail de solicitações de acesso a nós just-in-time para aprovadores de solicitações de acesso.  | 30 de abril de 2025 | 
|  [AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeNodeAccessRolePropagationPolicy): nova política  |  O Systems Manager adicionou uma nova política que possibilita que o Systems Manager replique políticas de aprovação em diferentes regiões.  | 30 de abril de 2025 | 
|  [AWSSystemsManagerJustInTimeAccessTokenPolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessTokenPolicy): nova política  |  O Systems Manager adicionou uma nova política que possibilita que o Systems Manager gere tokens de acesso usados para acesso a nós just-in-time.  | 30 de abril de 2025 | 
|  [AWSSystemsManagerJustInTimeAccessServicePolicy](#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy): nova política  |  O Systems Manager adicionou uma nova política para fornecer permissões aos recursos gerenciados pela AWS ou usados pelo recurso de acesso a nós just-in-time do Systems Manager.  | 30 de abril de 2025 | 
|  [AWSQuickSetupManageJITNAResourcesExecutionPolicy](#security-iam-awsmanpol-AWSQuickSetupManageJITNAResourcesExecutionPolicy): nova política  |  O Systems Manager adicionou uma nova política que possibilita que o Quick Setup, uma ferramenta no Systems Manager, crie os perfis do IAM necessários para o acesso a nós just-in-time.  | 30 de abril de 2025 | 
|  [AWSQuickSetupJITNADeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupJITNADeploymentRolePolicy): nova política  |  O Systems Manager adicionou uma nova política que fornece permissões que possibilitam que o Quick Setup implante o tipo de configuração necessário para configurar o acesso a nós just-in-time.  | 30 de abril de 2025 | 
|  [`AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy`](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-OperationalAccountAdministrationRolePolicy) – nova política  |  O Systems Manager adicionou uma nova política que fornece permissões para que uma conta operacional diagnostique problemas com os nós fornecendo para isso permissões específicas da organização.  | 21 de novembro de 2024 | 
|  [`AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy`](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-OperationalAccountAdministrationRolePolicy) – nova política  |  O Systems Manager adicionou uma nova política que fornece permissões para que uma conta operacional diagnostique problemas com os nós fornecendo para isso permissões específicas da organização.  | 21 de novembro de 2024 | 
|  [`AWS-SSM-Automation-DiagnosisBucketPolicy`](#security-iam-awsmanpol-AWS-SSM-Automation-DiagnosisBucketPolicy) – nova política  |  O Systems Manager adicionou uma nova política para oferecer suporte ao início de fluxos de trabalho do Automation que diagnosticam problemas com nós gerenciados em contas e regiões específicas.  | 21 de novembro de 2024 | 
|  [`AmazonSSMServiceRolePolicy`](#security-iam-awsmanpol-AmazonSSMServiceRolePolicy) – atualização para uma política existente  |  O Systems Manager adicionou novas permissões para permitir ao Explorador de recursos da AWS coletar detalhes sobre as instâncias do Amazon EC2 e a exibição dos resultados em widgets no novo painel do Systems Manager.  | 21 de novembro de 2024 | 
| [`SSMQuickSetupRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy) – atualização para uma política existente | O Systems Manager atualizou a política gerenciada SSMQuickSetupRolePolicy. Essas atualizações permitem que o perfil vinculado ao serviço associado gerencie as AWSServiceRoleForSSMQuickSetup sincronizações de dados de recursos.  | 21 de novembro de 2024 | 
| [`AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy `](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-AdministrationRolePolicy) – nova política | O Systems Manager adicionou uma nova política para oferecer suporte ao início de fluxos de trabalho do Automation que diagnosticam problemas com nós gerenciados em uma conta específica e regiões. | 21 de novembro de 2024 | 
| [`AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy`](#security-iam-awsmanpol-AWS-SSM-DiagnosisAutomation-ExecutionRolePolicy) – nova política | O Systems Manager adicionou uma nova política para oferecer suporte ao início de fluxos de trabalho do Automation que diagnosticam problemas com nós gerenciados em uma conta e uma região específica. | 21 de novembro de 2024 | 
| [`AWS-SSM-RemediationAutomation-AdministrationRolePolicy`](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-AdministrationRolePolicy) – nova política | O Systems Manager adicionou uma nova política para oferecer suporte ao início de fluxos de trabalho do Automation que corrigem problemas com nós gerenciados em contas e regiões específicas. | 21 de novembro de 2024 | 
| [`AWS-SSM-RemediationAutomation-ExecutionRolePolicy`](#security-iam-awsmanpol-AWS-SSM-RemediationAutomation-ExecutionRolePolicy) – nova política | O Systems Manager adicionou uma nova política para oferecer suporte ao início de fluxos de trabalho do Automation que corrigem problemas com nós gerenciados em uma conta e uma região específicas. | 21 de novembro de 2024 | 
|  [AWSQuickSetupSSMDeploymentRolePolicy](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy): atualização de uma política  |  O Systems Manager adicionou permissões para possibilitar que o Systems Manager marque perfis do IAM e do Lambda criados para o console unificado.  | 7 de maio de 2025 | 
| [`AWSQuickSetupSSMManageResourcesExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMManageResourcesExecutionPolicy) – nova política | O Systems Manager adicionou uma nova política para oferecer suporte à execução de uma operação na Quick Setup que cria perfis do IAM para associações da Quick Setup, que por sua vez são criadas por uma implantação da AWSQuickSetupType-SSM. | 21 de novembro de 2024 | 
| [`AWSQuickSetupSSMLifecycleManagementExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMLifecycleManagementExecutionPolicy) – nova política | O Systems Manager adicionou uma nova política para oferecer suporte à execução pela Quick Setup de um recurso do CloudFormation personalizado em eventos de ciclo de vida durante uma implantação da Quick Setup. | 21 de novembro de 2024 | 
| [`AWSQuickSetupSSMDeploymentRolePolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentRolePolicy) – nova política | O Systems Manager adicionou uma nova política para oferecer suporte à concessão de permissões administrativas que permitem à Quick Setup criar recursos que são usados durante o processo de integração do Systems Manager.  | 21 de novembro de 2024 | 
| [`AWSQuickSetupSSMDeploymentS3BucketRolePolicy`](#security-iam-awsmanpol-AWSQuickSetupSSMDeploymentS3BucketRolePolicy) – nova política | O Systems Manager adicionou uma nova política para oferecer suporte ao gerenciamento e à recuperação de informações sobre buckets específicos na conta da entidade principal que são gerenciados via modelos do CloudFormation | 21 de novembro de 2024 | 
| [`AWSQuickSetupEnableDHMCExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupEnableDHMCExecutionPolicy) – nova política | O Systems Manager está introduzindo uma nova política para permitir que a Quick Setup crie um perfil do IAM que, por sua vez, usa a [`AmazonSSMManagedEC2InstanceDefaultPolicy`](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy) existente. Essa política contém todas as permissões necessárias para o SSM Agent se comunicar com o serviço Systems Manager. A nova política também permite modificações nas configurações do serviço Systems Manager. | 21 de novembro de 2024 | 
| [`AWSQuickSetupEnableAREXExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupEnableAREXExecutionPolicy) – nova política | O Systems Manager adicionou uma nova política Quick Setup para permitir a criação de um perfil vinculado ao serviço para o Explorador de recursos da AWS a fim de permitir o acesso a visualizações do Explorador de Recursos e a índices agregadores. | 21 de novembro de 2024 | 
| [`AWSQuickSetupManagedInstanceProfileExecutionPolicy`](#security-iam-awsmanpol-AWSQuickSetupManagedInstanceProfileExecutionPolicy) – nova política |  O Systems Manager adicionou uma nova política para permitir que a Quick Setup crie um perfil de instância da Quick Setup padrão e anexe-o a qualquer instância do Amazon EC2 que não tenha um perfil de instância associado. Essa nova política também permite à Quick Setup anexar permissões aos perfis existentes para garantir que todas as permissões necessárias do Systems Manager tenham sido concedidas.  | 21 de novembro de 2024 | 
|  [`SSMQuickSetupRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy) – atualização para uma política existente  |  O Systems Manager adicionou novas permissões para permitir que Quick Setup verifique a integridade de conjuntos de pilhas adicionais do AWS CloudFormation que ele criou.  | 13 de agosto de 2024 | 
| [`AmazonSSMManagedEC2InstanceDefaultPolicy`](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy) – atualização para uma política existente | Systems Manager adicionou IDs de declaração (Sids) à política JSON para AmazonSSMManagedEC2InstanceDefaultPolicy. Esses Sids fornecem descrições em linha do propósito de cada declaração de política.  | 18 de julho de 2024 | 
| [`SSMQuickSetupRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy) – nova política | O Systems Manager adicionou uma nova política para que o Quick Setup possa verificar a integridade dos recursos implantados e corrigir instâncias que se afastaram da configuração original.  | 3 de julho de 2024 | 
| [`AWSQuickSetupDeploymentRolePolicy`](#security-iam-awsmanpol-SSMQuickSetupRolePolicy) – nova política | O Systems Manager adicionou uma nova política para oferecer suporte a vários tipos de configuração da Configuração Rápida que criam perfis e automações do IAM, que, por sua vez, configuram serviços e recursos da Amazon Web Services usados com frequência com as melhores práticas recomendadas. | 3 de julho de 2024 | 
|  [`AWSQuickSetupPatchPolicyDeploymentRolePolicy`](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyDeploymentRolePolicy)  : nova política  |  O Systems Manager adicionou uma nova política para que a Quick Setup possa criar recursos associados às configurações da Patch Manager da política de patch do Quick Setup.   | 3 de julho de 2024 | 
|  [AWSQuickSetupPatchPolicyBaselineAccess](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyBaselineAccess): nova política  |  O Systems Manager adicionou uma nova política para permitir que a Quick Setup acesse as listas de referência de patches no Patch Manager com permissões somente de leitura.   | 3 de julho de 2024 | 
| [AWSSystemsManagerEnableExplorerExecutionPolicy](#security-iam-awsmanpol-AWSSystemsManagerEnableExplorerExecutionPolicy): nova política | O Systems Manager adicionou uma nova política para permitir que a Quick Setup conceda permissões administrativas para habilitar o Explorer. | 3 de julho de 2024 | 
| [AWSSystemsManagerEnableConfigRecordingExecutionPolicy](#security-iam-awsmanpol-AWSSystemsManagerEnableConfigRecordingExecutionPolicy): nova política | O Systems Manager adicionou uma nova política para permitir que a Quick Setup habilite e configure a gravação de configuração do AWS Config. | 3 de julho de 2024 | 
|  [AWSQuickSetupDevOpsGuruPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDevOpsGuruPermissionsBoundary): nova política  |  O Systems Manager adicionou uma nova política para permitir que a Quick Setup habilite e configure o Amazon DevOps Guru.  | 3 de julho de 2024 | 
|  [AWSQuickSetupDistributorPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupDistributorPermissionsBoundary): nova política  |  O Systems Manager adicionou uma nova política para permitir que a Quick Setup habilite e configure o Distributor, uma ferramenta do AWS Systems Manager.   | 3 de julho de 2024 | 
|  [AWSQuickSetupSSMHostMgmtPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSSMHostMgmtPermissionsBoundary): nova política  |  O Systems Manager adicionou uma nova política para permitir que a Quick Setup habilite e configure as ferramentas do Systems Manager para gerenciar com segurança as instâncias do Amazon EC2.  | 3 de julho de 2024 | 
|  [AWSQuickSetupPatchPolicyPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupPatchPolicyPermissionsBoundary): nova política  |  O Systems Manager adicionou uma nova política para permitir que a Quick Setup habilite e configure políticas de patch no Patch Manager, uma ferramenta do AWS Systems Manager.   | 3 de julho de 2024 | 
|  [AWSQuickSetupSchedulerPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupSchedulerPermissionsBoundary): nova política  |  O Systems Manager adicionou uma nova política para permitir que a Quick Setup habilite e configure operações programadas em instâncias do Amazon EC2 e outros recursos.   | 3 de julho de 2024 | 
|  [AWSQuickSetupCFGCPacksPermissionsBoundary](#security-iam-awsmanpol-AWSQuickSetupCFGCPacksPermissionsBoundary): nova política  |  O Systems Manager adicionou uma nova política para permitir que a Quick Setup implemente pacotes de conformidade do AWS Config.   | 3 de julho de 2024 | 
|  [`AWSSystemsManagerOpsDataSyncServiceRolePolicy`](#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy) – atualização para uma política existente  | O OpsCenter atualizou a política para melhorar a segurança do código de serviço dentro do perfil vinculado a serviço para o Explorer gerenciar operações relacionadas a OpsData. | 3 de julho de 2023 | 
|  [`AmazonSSMManagedEC2InstanceDefaultPolicy`](#security-iam-awsmanpol-AmazonSSMManagedEC2InstanceDefaultPolicy) – nova política  |  O Systems Manager adicionou uma nova política para permitir a funcionalidade do Systems Manager em instâncias do Amazon EC2 sem o uso de um perfil de instância do IAM.  | 18 de agosto de 2022 | 
|  [AmazonSSMServiceRolePolicy](#security-iam-awsmanpol-AmazonSSMServiceRolePolicy): atualização para uma política existente  |  O Systems Manager adicionou novas permissões para permitir que o Explorer crie uma regra gerenciada quando você ativar o Security Hub CSPM no Explorer ou no OpsCenter. Novas permissões foram adicionadas para verificar se a configuração e o Compute Optimizer atendem aos requisitos necessários antes de permitir o OpsData.  | 27 de abril de 2021 | 
|  [`AWSSystemsManagerOpsDataSyncServiceRolePolicy`](#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy) – nova política  |  O Systems Manager adicionou uma nova política para criar e atualizar o OpsItems e as descobertas do OpsData do Security Hub CSPM no Explorer e no OpsCenter.  | 27 de abril de 2021 | 
|  `AmazonSSMServiceRolePolicy` – atualização para uma política existente  |  O Systems Manager adicionou novas permissões para permitir a visualização agregada de detalhes do OpsData e OpsItems em várias contas e em Regiões da AWS e no Explorer.  | 24 de março de 2021 | 
|  Systems ManagerO iniciou o rastreamento das alterações  |  O Systems Manager começou a monitorar as alterações para as políticas gerenciadas da AWS.  | 12 de março de 2021 | 

## Políticas gerenciadas adicionais para o Systems Manager
<a name="policies-list"></a>

Além das políticas gerenciadas descritas anteriormente neste tópico, o Systems Manager também oferece suporte às políticas gerenciadas a seguir.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMAutomationApproverAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMAutomationApproverAccess.html) – AWS política gerenciada pela que permite visualizar execuções de automação e enviar decisões de aprovação para automação que está aguardando aprovação.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMDirectoryServiceAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMDirectoryServiceAccess.html): política gerenciada pela AWS que permite ao SSM Agent acessar o Directory Service em nome do usuário para solicitações de ingresso no domínio pelo nó gerenciado.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMFullAccess.html): política gerenciada pela AWS que concede acesso total à API e a documentos do Systems Manager.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMMaintenanceWindowRole.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMMaintenanceWindowRole.html) – AWS política gerenciada pela que fornece janelas de manutenção com permissões para a API do Systems Manager.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html) – AWS Política gerenciada do Systems Manager que permite que uma instância use a funcionalidade básica do serviço do .
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMPatchAssociation.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMPatchAssociation.html) – AWS política gerenciada pela que fornece acesso a instâncias filhas para operações de associação de patches.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMReadOnlyAccess.html): política gerenciada pela AWS que concede acesso a operações de API somente leitura do Systems Manager, como `Get*` e `List*`.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSMOpsInsightsServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSSMOpsInsightsServiceRolePolicy.html): política gerenciada pela AWS que fornece permissões para criar e atualizar *OPSitems* de insights operacionais no Systems Manager. Usada para fornecer permissões por meio do perfil vinculado ao serviço [`AWSServiceRoleForAmazonSSM_OpsInsights`](using-service-linked-roles-service-action-4.md).
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerAccountDiscoveryServicePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSystemsManagerAccountDiscoveryServicePolicy.html): política gerenciada pela AWS que concede ao Systems Manager permissões para descobrir informações da Conta da AWS.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2RoleforSSM.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2RoleforSSM.html) – política obsoleta, não deve mais ser usada. Em seu lugar, use a política `AmazonSSMManagedInstanceCore` para permitir a funcionalidade principal do serviço Systems Manager em instâncias do EC2. Para obter informações, consulte [Configurar permissões de instância obrigatórias para o Systems Manager](setup-instance-permissions.md). 

# Solução de problemas de identidade e acesso do AWS Systems Manager
<a name="security_iam_troubleshoot"></a>

Use as seguintes informações para ajudar a diagnosticar e corrigir problemas comuns que podem ser encontrados ao trabalhar com o AWS Systems Manager e o AWS Identity and Access Management (IAM).

**Topics**
+ [Não tenho autorização para executar uma ação no Systems Manager](#security_iam_troubleshoot-no-permissions)
+ [Não estou autorizado a executar iam:PassRole](#security_iam_troubleshoot-passrole)
+ [Quero permitir que as pessoas fora da minha Conta da AWS acessem meus recursos do Systems Manager](#security_iam_troubleshoot-cross-account-access)

## Não tenho autorização para executar uma ação no Systems Manager
<a name="security_iam_troubleshoot-no-permissions"></a>

Se o Console de gerenciamento da AWS informar que você não está autorizado a executar uma ação, será necessário entrar em contato com o administrador para obter assistência. Seu administrador é a pessoa que forneceu a você suas credenciais de início de sessão.

O erro exemplificado a seguir ocorre quando o usuário `mateojackson` tenta usar o console para visualizar detalhes sobre um documento, mas não tem permissões `ssm:GetDocument`.

```
User: arn:aws:ssm::123456789012:user/mateojackson isn't authorized to perform: ssm:GetDocument on resource: MyExampleDocument
```

Neste caso, Mateo pede ao administrador para atualizar suas políticas para permitir a ele o acesso ao recurso `MyExampleDocument` usando a ação `ssm:GetDocument`.

## Não estou autorizado a executar iam:PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Se você receber uma mensagem de erro informando que não tem autorização para executar a ação `iam:PassRole`, as suas políticas deverão ser atualizadas para permitir que você passe um perfil para o Systems Manager.

Alguns Serviços da AWS permitem que você passe uma função existente para o serviço, em vez de criar uma nova função de serviço ou função vinculada ao serviço. Para fazê-lo, você deve ter permissões para passar o perfil para o serviço.

O exemplo de erro a seguir ocorre quando uma usuária do IAM chamada `marymajor` tenta utilizar o console para executar uma ação no Systems Manager. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.

Se você precisar de ajuda, entre em contato com seu administrador AWS. Seu administrador é a pessoa que forneceu suas credenciais de login.

## Quero permitir que as pessoas fora da minha Conta da AWS acessem meus recursos do Systems Manager
<a name="security_iam_troubleshoot-cross-account-access"></a>

Você pode criar uma função que os usuários de outras contas ou pessoas fora da sua organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem compatibilidade com políticas baseadas em recursos ou listas de controle de acesso (ACLs), é possível usar essas políticas para conceder às pessoas acesso aos seus recursos.

Saiba mais consultando o seguinte:
+ Para saber se o Systems Manager é compatível com esses atributos, consulte [Como o AWS Systems Manager funciona com o IAM](security_iam_service-with-iam.md).
+ Saiba como conceder acesso a seus recursos em todos os Contas da AWS pertencentes a você, consulte [Fornecendo Acesso a um Usuário do IAM em Outro Conta da AWS Pertencente a Você](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia de Usuário do IAM*.
+ Para saber como conceder acesso a seus recursos para Contas da AWS de terceiros, consulte [Fornecimento de acesso a Contas da AWS pertencentes a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para conhecer a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.

# Usar perfis vinculados a serviço do Systems Manager
<a name="using-service-linked-roles"></a>

O AWS Systems Manager utiliza [perfis vinculados a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) do AWS Identity and Access Management (IAM). O perfil vinculado a serviço é um tipo exclusivo de perfil do IAM vinculado diretamente ao Systems Manager. As funções vinculadas a serviços são predefinidas pelo Systems Manager e incluem todas as permissões que o serviço requer para chamar outros Serviços da AWS em seu nome.

**nota**  
Uma função de *perfil de serviço* é diferente de uma função vinculada a serviço. Umm perfil de serviço é um tipo de perfil do AWS Identity and Access Management (IAM) que concede permissões para um AWS service (Serviço da AWS), para que o serviço possa acessar recursos da AWS. Apenas alguns cenários do Systems Manager exigem uma função de serviço. Ao criar uma função de serviço para o Systems Manager, você pode escolher as permissões a serem concedidas, a fim de que elas possam acessar ou interagir com outros recursos da AWS.

Um perfil vinculado a serviço facilita a configuração do Systems Manager porque você não precisa adicionar as permissões necessárias manualmente. O Systems Manager define as permissões de seus perfis vinculados a serviço e, a menos que definido em contrário, somente o Systems Manager pode assumir seus perfis. As permissões definidas incluem a política de confiança e a política de permissões, e essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.

Um perfil vinculado a serviço poderá ser excluído somente após a exclusão dos recursos relacionados. Isso protege seus recursos do Systems Manager, pois você não pode remover por engano as permissões de acesso aos recursos.

**nota**  
Para nós que não são do EC2 em um ambiente [híbrido e multinuvem](operating-systems-and-machine-types.md#supported-machine-types), você precisa de uma perfil do IAM adicional que permita que as máquinas se comuniquem com o serviço do Systems Manager. Trata-se da função de serviço do IAM para o Systems Manager. Essa função concede a confiança *AssumeRole* do AWS Security Token Service (AWS STS) ao serviço Systems Manager. A ação `AssumeRole` retorna um conjunto de credenciais de segurança temporárias (que consistem em um ID de chave de segurança, uma chave de acesso secreta e um token de segurança). Você pode usar essas credenciais temporárias para acessar recursos da AWS aos quais talvez não tenha acesso normalmente. Para obter mais informações, consulte [Criar o perfil de serviço do IAM obrigatório para o Systems Manager em ambientes híbridos e multinuvem](hybrid-multicloud-service-role.md) e [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) na *[Referência de API do AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/)*. 

Para obter informações sobre outros produtos que são compatíveis com funções vinculadas a serviços, consulte [Serviços da AWS compatíveis com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que contêm **Sim** na coluna **Perfil vinculado ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.

**Topics**
+ [Usar perfis para coletar inventário e visualizar OpsData](using-service-linked-roles-service-action-1.md)
+ [Usar perfis para coletar informações da Conta da AWS para o OpsCenter e o Explorer](using-service-linked-roles-service-action-2.md)
+ [Usar perfis para criar OpsData e OpsItems para o Explorer](using-service-linked-roles-service-action-3.md)
+ [Usar perfis para criar insights operacionais de OpsItems no OpsCenter do Systems Manager](using-service-linked-roles-service-action-4.md)
+ [Usar funções para manter a integridade e a uniformidade dos recursos provisionados da Quick Setup](using-service-linked-roles-service-action-5.md)
+ [Usar perfis para exportar Explorer OpsData](using-service-linked-roles-service-action-6.md)
+ [Uso de perfis para habilitar o acesso a nós just-in-time](using-service-linked-roles-service-action-8.md)
+ [Uso de perfis para enviar notificações de solicitação de acesso a nós just-in-time](using-service-linked-roles-service-action-9.md)

# Usar perfis para coletar inventário e visualizar OpsData
<a name="using-service-linked-roles-service-action-1"></a>

O Systems Manager usa o perfil vinculado ao serviço chamado **`AWSServiceRoleForAmazonSSM`**. O AWS Systems Manager usa esse perfil de serviço do IAM para gerenciar os recursos AWS em seu nome.

## Permissões do perfil vinculado ao serviço para inventário, OpsData e OpsItems
<a name="service-linked-role-permissions-service-action-1"></a>

A função vinculada a serviço `AWSServiceRoleForAmazonSSM` confia somente em `ssm.amazonaws.com` para assumir essa função. 

O perfil vinculado ao serviço `AWSServiceRoleForAmazonSSM` do Systems Manager pode ser usado para o seguinte:
+ A ferramenta Inventory do Systems Manager usa o perfil vinculado ao serviço `AWSServiceRoleForAmazonSSM` para coletar metadados de inventário de tags e grupos de recursos.
+ A ferramenta Explorer usa o perfil vinculado ao serviço `AWSServiceRoleForAmazonSSM` para habilitar a visualização de OpsData e OpsItems de várias contas. Esse perfil vinculado a serviço do também permite que o Explorer crie uma regra gerenciada quando você habilita o Security Hub CSPM como uma fonte de dados a partir do Explorer ou do OpsCenter.

**Importante**  
Anteriormente, o console do Systems Manager permitia a você escolher o perfil `AWSServiceRoleForAmazonSSM` vinculado ao serviço do IAM gerenciado pela AWS para usar como perfil de manutenção para suas tarefas. O uso desse perfil e sua política associada, `AmazonSSMServiceRolePolicy`, para tarefas de janela de manutenção não é mais recomendado. Se estiver usando esse perfil para tarefas de janela de manutenção agora, recomendamos parar de usá-lo. Em vez disso, crie seu próprio perfil do IAM para permitir a comunicação entre o Systems Manager e outros Serviços da AWS quando as tarefas da janela de manutenção são executadas.  
Para obter mais informações, consulte [Configurar o Maintenance Windows](setting-up-maintenance-windows.md).

A política gerida que é utilizada para fornecer permissões para o`AWSServiceRoleForAmazonSSM`função é`AmazonSSMServiceRolePolicy`. Para obter detalhes sobre as permissões necessárias, consulte [AWSPolítica gerenciada da : AmazonSSMServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSSMServiceRolePolicy).

## Criar uma função vinculada ao serviço `AWSServiceRoleForAmazonSSM` para o Systems Manager
<a name="create-service-linked-role-service-action-1"></a>

Você pode usar o console do IAM para criar uma função vinculada ao serviço com o caso de uso do **EC2**. Usando comandos para o IAM noAWS Command Line Interface(AWS CLI) ou usando a API do IAM, crie uma função vinculada ao serviço com o`ssm.amazonaws.com`O nome do serviço. Para saber mais, consulte [Criar um perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) no *Guia do usuário do IAM*.

Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. 

## Editar uma função vinculada ao serviço `AWSServiceRoleForAmazonSSM` para o Systems Manager
<a name="edit-service-linked-role-service-action-1"></a>

O Systems Manager não permite que você edite a função vinculada a serviço `AWSServiceRoleForAmazonSSM`. Depois de criar uma função vinculada a serviço, você não poderá alterar o nome da função, já que várias entidades poderão fazer referência à função. No entanto, você poderá editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.

## Excluir uma função vinculada ao serviço `AWSServiceRoleForAmazonSSM` para o Systems Manager
<a name="delete-service-linked-role-service-action-1"></a>

Se você não precisar mais usar um recurso ou serviço que exija uma função vinculada ao serviço, é recomendável exclui-la. Dessa forma, você não terá uma entidade não utilizada que não seja monitorada ativamente ou mantida. Também é possível usar o console do IAM, a AWS CLI ou a API do IAM para excluir manualmente a função vinculada ao serviço. Para isso, primeiro você deve limpar manualmente os recursos de sua função vinculada ao serviço e, em seguida, excluí-la manualmente.

Como o perfil vinculado ao serviço `AWSServiceRoleForAmazonSSM` pode ser usado por várias ferramentas, verifique se nenhum deles está usando o perfil antes de tentar excluí-lo.
+ **Inventory:** se você excluir o perfil vinculado ao serviço usado pela ferramenta Inventory, os dados do Inventory referentes a tags e grupos de recursos não serão mais sincronizados. Você deve limpar os recursos de sua função vinculada ao serviço antes de exclui-la manualmente.
+ **Explorer:** se você excluir o perfil vinculado ao serviço usado pela ferramenta Explorer, o OpsData entre contas e entre regiões e os OpsItems não serão mais visíveis. 

**nota**  
Se o serviço Systems Manager estiver usando o perfil quando você tentar excluir etiquetas ou grupos de recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

**Para excluir recursos do Systems Manager usados por `AWSServiceRoleForAmazonSSM`**

1. Para excluir etiquetas, consulte [Adicionar e excluir etiquetas em um recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. Para excluir grupos de recursos, consulte [Excluir grupos do AWS Resource Groups](https://docs.aws.amazon.com/ARG/latest/userguide/deleting-resource-groups.html).

**Para excluir manualmente a função vinculada ao serviço `AWSServiceRoleForAmazonSSM` usando o IAM**

Use o console do IAM, a AWS CLI ou a API do IAM para excluir a função vinculada ao serviço `AWSServiceRoleForAmazonSSM`. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.

## Regiões compatíveis com o perfil vinculado ao serviço `AWSServiceRoleForAmazonSSM` do Systems Manager
<a name="slr-regions-service-action-1"></a>

O Systems Manager é compatível com a função vinculadas ao serviço `AWSServiceRoleForAmazonSSM` em todas as Regiões da AWS em que o serviço está disponível. Para obter mais informações, consulte [Endpoints e cotas do AWS Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html).

# Usar perfis para coletar informações da Conta da AWS para o OpsCenter e o Explorer
<a name="using-service-linked-roles-service-action-2"></a>

O Systems Manager usa a função vinculada ao serviço chamada **`AWSServiceRoleForAmazonSSM_AccountDiscovery`**. O AWS Systems Manager usa esse perfil de serviço do IAM para chamar outros Serviços da AWS para descobrir informações sobre a Conta da AWS.

## Permissões de função vinculada ao serviço para detecção de conta do Systems Manager
<a name="service-linked-role-permissions-service-action-2"></a>

O perfil vinculado ao serviço `AWSServiceRoleForAmazonSSM_AccountDiscovery` confia nos seguintes serviços para aceitar o perfil:
+ `accountdiscovery.ssm.amazonaws.com`

A política de permissões da função permite que o Systems Manager conclua as seguintes ações nos recursos especificados:
+ `organizations:DescribeAccount`
+ `organizations:DescribeOrganizationalUnit`
+ `organizations:DescribeOrganization`
+ `organizations:ListAccounts`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:ListDelegatedServicesForAccount` 
+ `organizations:ListDelegatedAdministrators`
+ `organizations:ListRoots`

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte [Permissões de perfil vinculado a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.

## Criar uma função vinculada ao serviço `AWSServiceRoleForAmazonSSM_AccountDiscovery` para o Systems Manager
<a name="create-service-linked-role-service-action-2"></a>

Você deverá criar um perfil vinculado ao serviço se quiser usar o Explorer e o OpsCenter, ambos ferramentas do Systems Manager, entre várias Contas da AWS. Para o OpsCenter, você deve criar a função vinculada ao serviço. Para obter mais informações, consulte [(Opcional) Configuração do OpsCenter para gerenciar OpsItems de forma centralizada entre contas](OpsCenter-getting-started-multiple-accounts.md).

Para o Explorer, se você criar uma sincronização de dados de recurso usando o Systems Manager no Console de gerenciamento da AWS, é possível criar a função vinculada ao serviço escolhendo o botão **Create role** (Criar função). Se você deseja criar uma sincronização de dados de recursos programaticamente, você deve criar a função antes de criar a sincronização de dados de recurso. Você pode criar a função usando a operação da API [CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html).

## Editar uma função vinculada ao serviço `AWSServiceRoleForAmazonSSM_AccountDiscovery` para o Systems Manager
<a name="edit-service-linked-role-service-action-2"></a>

O Systems Manager não permite que você edite a função vinculada a serviço `AWSServiceRoleForAmazonSSM_AccountDiscovery`. Depois de criar uma função vinculada a serviço, você não poderá alterar o nome da função, já que várias entidades poderão fazer referência à função. No entanto, você poderá editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.

## Excluir uma função vinculada ao serviço `AWSServiceRoleForAmazonSSM_AccountDiscovery` para o Systems Manager
<a name="delete-service-linked-role-service-action-2"></a>

Se você não precisar mais usar um atributo ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-la. Dessa forma, você não terá uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar suo perfil vinculado ao serviço para excluí-la manualmente.

### Limpar a função vinculada ao serviço `AWSServiceRoleForAmazonSSM_AccountDiscovery`
<a name="service-linked-role-review-before-delete-service-action-2"></a>

Antes de usar o IAM para excluir a função vinculada ao serviço `AWSServiceRoleForAmazonSSM_AccountDiscovery`, você primeiro deve excluir todas as sincronizações de dados de recursos do Explorer. 

**nota**  
Se o serviço Systems Manager estiver usando a função quando você tenta excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

### Excluir manualmente a função vinculada ao serviço `AWSServiceRoleForAmazonSSM_AccountDiscovery`
<a name="slr-manual-delete-service-action-2"></a>

Use o console do IAM, a AWS CLI ou a API da AWS para excluir o perfil vinculado ao serviço `AWSServiceRoleForAmazonSSM_AccountDiscovery`. Para obter mais informações, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.

## Regiões compatíveis com o perfil vinculado ao serviço `AWSServiceRoleForAmazonSSM_AccountDiscovery` do Systems Manager
<a name="slr-regions-service-action-2"></a>

Systems ManagerO oferece suporte a funções vinculadas a serviços em todas as regiões em que o serviço está disponível. Para saber mais, consulte [Endpoints e cotas do AWS Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html).

## Atualiza para a perfil vinculado ao serviço AWSServiceRoleForAmazonSSM\$1AccountDiscovery
<a name="service-action-2-updates"></a>

Visualize detalhes sobre as atualizações do perfil vinculado ao serviço AWSServiceRoleForAmazonSSM\$1AccountDiscovery service-linked desde que esse serviço começou a monitorar essas alterações. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página [Histórico do documento](systems-manager-release-history.md) do Systems Manager.


| Alteração | Descrição | Data | 
| --- | --- | --- | 
|  Novas permissões adicionadas  |  Esta função vinculada ao serviço agora inclui as permissões `organizations:DescribeOrganizationalUnit` e `organizations:ListRoots`. Essas permissões permitem que uma conta de gerenciamento do AWS Organizations ou uma conta de administrador delegado do Systems Manager trabalhem com OpsItems entre contas. Para obter mais informações, consulte [(Opcional) Configuração do OpsCenter para gerenciar OpsItems de forma centralizada entre contas](OpsCenter-getting-started-multiple-accounts.md).  | 17 de outubro de 2022 | 

# Usar perfis para criar OpsData e OpsItems para o Explorer
<a name="using-service-linked-roles-service-action-3"></a>

O Systems Manager usa o perfil vinculado ao serviço chamado **`AWSServiceRoleForSystemsManagerOpsDataSync`**. O AWS Systems Manager usa esse perfil de serviço do IAM para o Explorer, visando criar o OpsData e OpsItems.

## Permissões de função vinculada ao serviço para sincronização de OpsData do Systems Manager
<a name="slr-permissions-service-action-3"></a>

O perfil vinculado ao serviço `AWSServiceRoleForSystemsManagerOpsDataSync` confia nos seguintes serviços para aceitar o perfil:
+ `opsdatasync.ssm.amazonaws.com`

A política de permissões da função permite que o Systems Manager conclua as seguintes ações nos recursos especificados:
+ O Systems Manager Explorer exige que uma função vinculada ao serviço conceda permissão para atualizar uma descoberta de segurança quando um OpsItem é atualizado, criar e atualizar um OpsItem, e desativar a origem dos dados do Security Hub CSPM quando uma regra gerenciada do SSM é excluída pelos clientes.

A política gerida que é utilizada para fornecer permissões para o`AWSServiceRoleForSystemsManagerOpsDataSync`função é`AWSSystemsManagerOpsDataSyncServiceRolePolicy`. Para obter detalhes sobre as permissões necessárias, consulte [Política gerenciada pela AWS: AWSSystemsManagerOpsDataSyncServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy). 

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte [Permissões de perfil vinculado a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.

## Criar uma função vinculada ao serviço `AWSServiceRoleForSystemsManagerOpsDataSync` para o Systems Manager
<a name="create-slr-service-action-3"></a>

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você habilita o Explorer no Console de gerenciamento da AWS, o Systems Manager cria a função vinculada ao serviço para você. 

**Importante**  
Essa função vinculada ao serviço pode ser exibida em sua conta se você concluiu uma ação em outro serviço que usa os recursos compatíveis com essa função. Além disso, se você estava usando o serviço Systems Manager antes de 1º de janeiro de 2017, quando começou a oferecer suporte às funções vinculadas a serviços, o Systems Manager criou a função `AWSServiceRoleForSystemsManagerOpsDataSync` em sua conta. Para saber mais, consulte [Uma nova função apareceu na minha conta do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).

Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você pode usar esse mesmo processo para recriar a função na sua conta. Quando você habilita o Explorer no Console de gerenciamento da AWS, o Systems Manager cria a função vinculada ao serviço novamente. 

Você também pode usar o console do IAM para criar um perfil vinculado ao serviço com o caso de uso do **perfil de serviço da AWS que permite que o Explorer crie OpsData e OpsItems**. Na AWS CLI ou na API do AWS, crie um perfil vinculado a serviço com o nome de serviço `opsdatasync.ssm.amazonaws.com`. Para obter mais informações, consulte [Criar uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) no *Manual do usuário do IAM*. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.

## Editar uma função vinculada ao serviço `AWSServiceRoleForSystemsManagerOpsDataSync` para o Systems Manager
<a name="edit-slr-service-action-3"></a>

O Systems Manager não permite que você edite a função vinculada a serviço `AWSServiceRoleForSystemsManagerOpsDataSync`. Depois de criar uma função vinculada a serviço, você não poderá alterar o nome da função, já que várias entidades poderão fazer referência à função. No entanto, você poderá editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.

## Excluir uma função vinculada ao serviço `AWSServiceRoleForSystemsManagerOpsDataSync` para o Systems Manager
<a name="delete-slr-service-action-3"></a>

Se você não precisar mais usar um atributo ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-la. Dessa forma, você não terá uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de sua função vinculada ao serviço antes de excluí-la manualmente.

**nota**  
Se o serviço Systems Manager estiver usando a função quando você tenta excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

O procedimento para excluir recursos do Systems Manager usados pelo perfil `AWSServiceRoleForSystemsManagerOpsDataSync` depende se você configurou o Explorer ou o OpsCenter para se integrar com o Security Hub CSPM.

**Para excluir recursos do Systems Manager usados pela função `AWSServiceRoleForSystemsManagerOpsDataSync`**
+ Para impedir que o Explorer crie novos OpsItems para descobertas do Security Hub CSPM, consulte [Como parar de receber descobertas](explorer-securityhub-integration.md#explorer-securityhub-integration-disable-receive).
+ Para impedir que o OpsCenter crie novos OpsItems para descobertas do Security Hub CSPM, consulte 

**Para excluir manualmente a função vinculada ao serviço `AWSServiceRoleForSystemsManagerOpsDataSync` usando o IAM**

Use o console do IAM, a AWS CLI ou a API da AWS para excluir a função vinculada ao serviço `AWSServiceRoleForSystemsManagerOpsDataSync`. Para obter mais informações, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.

## Regiões compatíveis com o perfil vinculado ao serviço `AWSServiceRoleForSystemsManagerOpsDataSync` do Systems Manager
<a name="slr-regions-service-action-3"></a>

Systems ManagerO oferece suporte a perfis vinculados a serviços em todas as regiões nas quais o serviço estiver disponível. Para saber mais, consulte [Endpoints e cotas do AWS Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html).

Systems ManagerO não oferece suporte ao uso de funções vinculadas a serviços em todas as regiões em que o serviço está disponível. Você pode usar a função `AWSServiceRoleForSystemsManagerOpsDataSync` nas seguintes regiões.


****  

| Nome da Região da AWS | Identidade da região | Suporte no Systems Manager | 
| --- | --- | --- | 
| Leste dos EUA (Norte da Virgínia) | us-east-1 | Sim | 
| Leste dos EUA (Ohio) | us-east-2 | Sim | 
| Oeste dos EUA (N. da Califórnia) | us-west-1 | Sim | 
| Oeste dos EUA (Oregon) | us-west-2 | Sim | 
| Ásia-Pacífico (Mumbai) | ap-south-1 | Sim | 
| Ásia Pacifico (Osaka) | ap-northeast-3 | Sim | 
| Ásia-Pacífico (Seul) | ap-northeast-2 | Sim | 
| Ásia-Pacífico (Singapura) | ap-southeast-1 | Sim | 
| Ásia-Pacífico (Sydney) | ap-southeast-2 | Sim | 
| Ásia-Pacífico (Tóquio) | ap-northeast-1 | Sim | 
| Canadá (Central) | ca-central-1 | Sim | 
| Europa (Frankfurt) | eu-central-1 | Sim | 
| Europa (Irlanda) | eu-west-1 | Sim | 
| Europa (Londres) | eu-west-2 | Sim | 
| Europa (Paris) | eu-west-3 | Sim | 
| Europa (Estocolmo) | eu-north-1 | Sim | 
| América do Sul (São Paulo) | sa-east-1 | Sim | 
| AWS GovCloud (US) | us-gov-west-1 | Não | 

# Usar perfis para criar insights operacionais de OpsItems no OpsCenter do Systems Manager
<a name="using-service-linked-roles-service-action-4"></a>

O Systems Manager usa a função vinculada ao serviço chamada **`AWSServiceRoleForAmazonSSM_OpsInsights`**. O AWS Systems Manager usa esse perfil de serviço do IAM para criar e atualizar insights operacionais OpsItems no Systems ManagerOpsCenter.

## Permissões de perfil vinculado ao serviço `AWSServiceRoleForAmazonSSM_OpsInsights` para OpsItems de insight operacional do Systems Manager
<a name="service-linked-role-permissions-service-action-4"></a>

O perfil vinculado ao serviço `AWSServiceRoleForAmazonSSM_OpsInsights` confia nos seguintes serviços para aceitar o perfil:
+ `opsinsights.ssm.amazonaws.com`

A política de permissões da função permite que o Systems Manager conclua as seguintes ações nos recursos especificados:

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "AllowCreateOpsItem",
			"Effect": "Allow",
			"Action": [
				"ssm:CreateOpsItem",
				"ssm:AddTagsToResource"
			],
			"Resource": "*"
		},
		{
			"Sid": "AllowAccessOpsItem",
			"Effect": "Allow",
			"Action": [
				"ssm:UpdateOpsItem",
				"ssm:GetOpsItem"
			],
			"Resource": "*",
			"Condition": {
				"StringEquals": {
					"aws:ResourceTag/SsmOperationalInsight": "true"
				}
			}
		}
	]
}
```

------

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte [Permissões de perfil vinculado a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.

## Criar uma função vinculada ao serviço `AWSServiceRoleForAmazonSSM_OpsInsights` para o Systems Manager
<a name="create-service-linked-role-service-action-4"></a>

Crie uma função vinculada ao serviço. Se você habilitar insights operacionais usandoSystems ManagernoConsole de gerenciamento da AWS, é possível criar a função vinculada ao serviço escolhendo a opção**Habilitar o**.

## Editar uma função vinculada ao serviço `AWSServiceRoleForAmazonSSM_OpsInsights` para o Systems Manager
<a name="edit-service-linked-role-service-action-4"></a>

O Systems Manager não permite que você edite a função vinculada ao serviço `AWSServiceRoleForAmazonSSM_OpsInsights`. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.

## Excluir uma função vinculada ao serviço `AWSServiceRoleForAmazonSSM_OpsInsights` para o Systems Manager
<a name="delete-service-linked-role-service-action-4"></a>

Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar suo perfil vinculado ao serviço para excluí-la manualmente.

### Limpar a função vinculada ao serviço `AWSServiceRoleForAmazonSSM_OpsInsights`
<a name="service-linked-role-review-before-delete-service-action-4"></a>

Antes de usar o IAM para excluir um perfil vinculado ao serviço `AWSServiceRoleForAmazonSSM_OpsInsights`, primeiro é necessário desativar os insights operacionais no OpsCenter do Systems Manager. Para obter mais informações, consulte [Analisar insights operacionais para reduzir OpsItems](OpsCenter-working-operational-insights.md).

### Excluir manualmente a função vinculada ao serviço `AWSServiceRoleForAmazonSSM_OpsInsights`
<a name="slr-manual-delete-service-action-4"></a>

Use o console do IAM, a AWS CLI ou a API da AWS para excluir o perfil vinculado ao serviço `AWSServiceRoleForAmazonSSM_OpsInsights`. Para obter mais informações, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.

## Regiões compatíveis com o perfil vinculado ao serviço `AWSServiceRoleForAmazonSSM_OpsInsights` do Systems Manager
<a name="slr-regions-service-action-4"></a>

Systems ManagerO não oferece suporte ao uso de funções vinculadas a serviços em todas as regiões em que o serviço está disponível. Você pode usar a função WSServiceRoleForAmazonSSM\$1OpsInsights nas regiões a seguir.


****  

| Nome da região | Identidade da região | Suporte no Systems Manager | 
| --- | --- | --- | 
| Leste dos EUA (Norte da Virgínia) | us-east-1 | Sim | 
| Leste dos EUA (Ohio) | us-east-2 | Sim | 
| Oeste dos EUA (N. da Califórnia) | us-west-1 | Sim | 
| Oeste dos EUA (Oregon) | us-west-2 | Sim | 
| Ásia-Pacífico (Mumbai) | ap-south-1 | Sim | 
| Ásia-Pacífico (Tóquio) | ap-northeast-1 | Sim | 
| Ásia-Pacífico (Seul) | ap-northeast-2 | Sim | 
| Ásia-Pacífico (Singapura) | ap-southeast-1 | Sim | 
| Ásia-Pacífico (Sydney) | ap-southeast-2 | Sim | 
| Ásia-Pacífico (Hong Kong) | ap-east-1 | Sim | 
| Canadá (Central) | ca-central-1 | Sim | 
| Europa (Frankfurt) | eu-central-1 | Sim | 
| Europa (Irlanda) | eu-west-1 | Sim | 
| Europa (Londres) | eu-west-2 | Sim | 
| Europa (Paris) | eu-west-3 | Sim | 
| Europa (Estocolmo) | eu-north-1 | Sim | 
| Europa (Milão) | eu-south-1 | Sim | 
| América do Sul (São Paulo) | sa-east-1 | Sim | 
| Oriente Médio (Barém) | me-south-1 | Sim | 
| África (Cidade do Cabo) | af-south-1 | Sim | 
| AWS GovCloud (US) | us-gov-west-1 | Sim | 
| AWS GovCloud (US) | us-gov-east-1 | Sim | 

# Usar funções para manter a integridade e a uniformidade dos recursos provisionados da Quick Setup
<a name="using-service-linked-roles-service-action-5"></a>

Systems Manager O usa a função vinculada ao serviço chamada **`AWSServiceRoleForSSMQuickSetup`**. 

## Permissões de função vinculada a serviços do `AWSServiceRoleForSSMQuickSetup` para o Systems Manager
<a name="service-linked-role-permissions-service-action-5"></a>

O perfil vinculado ao serviço `AWSServiceRoleForSSMQuickSetup` confia nos seguintes serviços para aceitar o perfil:
+ `ssm-quicksetup.amazonaws.com`

O AWS Systems Manager usa esse perfil de serviço do IAM para verificar a integridade da configuração, garantir o uso uniforme dos parâmetros e dos recursos provisionados e [corrigir os recursos quando o desvio é detectado.

A política de permissões da função permite que o Systems Manager conclua as seguintes ações nos recursos especificados:
+ `ssm` (Systems Manager): lê informações sobre o estado em que os recursos configurados devem estar, inclusive nas contas de administrador delegado. 
+ `iam` (AWS Identity and Access Management): isso é necessário para que as sincronizações de dados de recursos sejam acessíveis em organizações inteiras no AWS Organizations.
+ `organizations` (AWS Organizations) lê informações sobre as contas-membros que pertencem a uma organização, conforme configurado em Organizations. 
+ `cloudformation` (CloudFormation): lê informações sobre as pilhas do CloudFormation usadas para gerenciar o estado dos recursos e as operações do conjunto de pilhas do CloudFormation.

A política gerida que é utilizada para fornecer permissões para o`AWSServiceRoleForSSMQuickSetup`função é`SSMQuickSetupRolePolicy`. Para obter detalhes sobre as permissões necessárias, consulte [Política gerenciada da AWS: SSMQuickSetupRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SSMQuickSetupRolePolicy).

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte [Permissões de perfil vinculado a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.

## Criar uma função vinculada ao serviço `AWSServiceRoleForSSMQuickSetup` para o Systems Manager
<a name="create-service-linked-role-service-action-5"></a>

Você não precisa criar manualmente o perfil vinculado a serviços AWSServiceRoleForSSMQuickSetup. Quando você cria uma configuração do Quick Setup no Console de gerenciamento da AWS, o Systems Manager cria a função vinculada a serviços para você. 

## Editar uma função vinculada ao serviço `AWSServiceRoleForSSMQuickSetup` para o Systems Manager
<a name="edit-service-linked-role-service-action-5"></a>

O Systems Manager não permite que você edite a função vinculada ao serviço `AWSServiceRoleForSSMQuickSetup`. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.

## Excluir uma função vinculada ao serviço `AWSServiceRoleForSSMQuickSetup` para o Systems Manager
<a name="delete-service-linked-role-service-action-5"></a>

Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar suo perfil vinculado ao serviço para excluí-la manualmente.

### Limpar a função vinculada ao serviço `AWSServiceRoleForSSMQuickSetup`
<a name="service-linked-role-review-before-delete-service-action-5"></a>

Antes de poder usar o IAM para excluir uma função vinculada a serviços do `AWSServiceRoleForSSMQuickSetup`, você deve primeiro excluir as configurações do Quick Setup que estão usando a função. Para obter mais informações, consulte [Editar e excluir a configuração](quick-setup-using.md#quick-setup-edit-delete).

### Excluir manualmente a função vinculada ao serviço `AWSServiceRoleForSSMQuickSetup`
<a name="slr-manual-delete-service-action-5"></a>

Use o console do IAM, a AWS CLI ou a API da AWS para excluir o perfil vinculado ao serviço `AWSServiceRoleForSSMQuickSetup`. Para saber mais, consulte os seguintes tópicos:
+ [Exclusão de uma função vinculada a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*
+ [https://docs.aws.amazon.com/cli/latest/reference/ssm-quicksetup/delete-configuration-manager.html](https://docs.aws.amazon.com/cli/latest/reference/ssm-quicksetup/delete-configuration-manager.html) na seção da Quick Setup da *Referência da AWS CLI*
+ [https://docs.aws.amazon.com/quick-setup/latest/APIReference/API_DeleteConfigurationManager.html](https://docs.aws.amazon.com/quick-setup/latest/APIReference/API_DeleteConfigurationManager.html) na *Referência de API do Quick Setup*

## Regiões compatíveis com o perfil vinculado ao serviço `AWSServiceRoleForSSMQuickSetup` do Systems Manager
<a name="slr-regions-service-action-5"></a>

Systems ManagerO não oferece suporte ao uso de funções vinculadas a serviços em todas as regiões em que o serviço está disponível. Você pode usar o perfil AWSServiceRoleForSSMQuickSetup nas regiões a seguir.
+ Leste dos EUA (Ohio)
+ Leste dos EUA (Norte da Virgínia)
+ Oeste dos EUA (N. da Califórnia)
+ Oeste dos EUA (Oregon)
+ Ásia-Pacífico (Mumbai)
+ Ásia-Pacífico (Seul)
+ Ásia-Pacífico (Singapura)
+ Ásia-Pacífico (Sydney)
+ Ásia-Pacífico (Tóquio)
+ Canadá (Central)
+ Europa (Frankfurt)
+ Europa (Estocolmo)
+ Europa (Irlanda)
+ Europa (Londres)
+ Europa (Paris)
+ América do Sul (São Paulo)

# Usar perfis para exportar Explorer OpsData
<a name="using-service-linked-roles-service-action-6"></a>

O AWS Systems Manager Explorer usa o perfil de serviço **AmazonSSMExplorerExportRole** para exportar dados de operações (OpsData) usando o runbook de automação `AWS-ExportOpsDataToS3`.

## Permissões de perfil vinculado ao serviço do Explorer
<a name="service-linked-role-permissions-service-action-6"></a>

A função vinculada a serviço `AmazonSSMExplorerExportRole` confia somente em `ssm.amazonaws.com` para assumir essa função. 

Você pode usar a o perfil vinculado ao serviço `AmazonSSMExplorerExportRole` para exportar dados de operações (OpsData) usando o runbook de automação `AWS-ExportOpsDataToS3`. É possível exportar cinco mil relatórios de OpsData do Explorer, como um arquivo de valores separados por vírgula (.csv), para um bucket do Amazon Simple Storage Service (Amazon S3).

A política de permissões da função permite que o Systems Manager conclua as seguintes ações nos recursos especificados:
+ `s3:PutObject`
+ `s3:GetBucketAcl`
+ `s3:GetBucketLocation`
+ `sns:Publish`
+ `logs:DescribeLogGroups`
+ `logs:DescribeLogStreams`
+ `logs:CreateLogGroup`
+ `logs:PutLogEvents` 
+ `logs:CreateLogStream`
+ `ssm:GetOpsSummary`

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte [Permissões de perfil vinculado a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.

## Criar uma função vinculada ao serviço `AmazonSSMExplorerExportRole` para o Systems Manager
<a name="create-service-linked-role-service-action-6"></a>

O Systems Manager cria o perfil vinculado ao serviço `AmazonSSMExplorerExportRole` quando você exporta o OpsData usando Explorer no console do Systems Manager. Para obter mais informações, consulte [Exportar OpsData do Systems Manager Explorer](Explorer-exporting-OpsData.md).

Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. 

## Editar uma função vinculada ao serviço `AmazonSSMExplorerExportRole` para o Systems Manager
<a name="edit-service-linked-role-service-action-6"></a>

O Systems Manager não permite que você edite a função vinculada a serviço `AmazonSSMExplorerExportRole`. Depois de criar uma função vinculada a serviço, você não poderá alterar o nome da função, já que várias entidades poderão fazer referência à função. No entanto, você poderá editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.

## Excluir uma função vinculada ao serviço `AmazonSSMExplorerExportRole` para o Systems Manager
<a name="delete-service-linked-role-service-action-6"></a>

Se você não precisar mais usar um recurso ou serviço que exija uma função vinculada ao serviço, é recomendável exclui-la. Dessa forma, você não terá uma entidade não utilizada que não seja monitorada ativamente ou mantida. Também é possível usar o console do IAM, a AWS CLI ou a API do IAM para excluir manualmente a função vinculada ao serviço. Para isso, primeiro você deve limpar manualmente os recursos de sua função vinculada ao serviço e, em seguida, excluí-la manualmente.

**nota**  
Se o serviço Systems Manager estiver usando o perfil quando você tentar excluir etiquetas ou grupos de recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

**Para excluir recursos do Systems Manager usados por `AmazonSSMExplorerExportRole`**

1. Para excluir etiquetas, consulte [Adicionar e excluir etiquetas em um recurso individual](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags).

1. Para excluir grupos de recursos, consulte [Excluir grupos do AWS Resource Groups](https://docs.aws.amazon.com/ARG/latest/userguide/deleting-resource-groups.html).

**Para excluir manualmente a função vinculada ao serviço `AmazonSSMExplorerExportRole` usando o IAM**

Use o console do IAM, a AWS CLI ou a API do IAM para excluir a função vinculada ao serviço `AmazonSSMExplorerExportRole`. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.

## Regiões compatíveis com o perfil vinculado ao serviço `AmazonSSMExplorerExportRole` do Systems Manager
<a name="slr-regions-service-action-6"></a>

O Systems Manager é compatível com a função vinculadas ao serviço `AmazonSSMExplorerExportRole` em todas as Regiões da AWS em que o serviço está disponível. Para obter mais informações, consulte [Endpoints e cotas do AWS Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html).

# Uso de perfis para habilitar o acesso a nós just-in-time
<a name="using-service-linked-roles-service-action-8"></a>

O Systems Manager usa o perfil vinculado ao serviço denominado **`AWSServiceRoleForSystemsManagerJustInTimeAccess`**. O AWS Systems Manager usa esse perfil de serviço do IAM para permitir o acesso a nós just-in-time.

## Permissões de perfil vinculado ao serviço para acesso a nós just-in-time do Systems Manager
<a name="slr-permissions-service-action-8"></a>

O perfil vinculado ao serviço `AWSServiceRoleForSystemsManagerJustInTimeAccess` confia nos seguintes serviços para aceitar o perfil:
+ `ssm.amazonaws.com`

A política de permissões da função permite que o Systems Manager conclua as seguintes ações nos recursos especificados:
+ `ssm:CreateOpsItem`
+ `ssm:GetOpsItem`
+ `ssm:UpdateOpsItem`
+ `ssm:DescribeOpsItems`
+ `ssm:DescribeSessions`
+ `ssm:ListTagsForResource`
+ `ssm-guiconnect:ListConnections`
+ `identitystore:ListGroupMembershipsForMember` 
+ `identitystore:DescribeUser`
+ `identitystore:GetGroupId`
+ `identitystore:GetUserId`
+ `sso-directory:DescribeUsers`
+ `sso-directory:IsMemberInGroup`
+ `sso:ListInstances`
+ `sso:DescribeRegisteredRegions`
+ `sso:ListDirectoryAssociations`
+ `ec2:DescribeTags`

A política gerida que é utilizada para fornecer permissões para o`AWSServiceRoleForSystemsManagerJustInTimeAccess`função é`AWSSystemsManagerEnableJustInTimeAccessPolicy`. Para obter detalhes sobre as permissões necessárias, consulte [Política gerenciada pela AWS: AWSSystemsManagerJustInTimeAccessServicePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy). 

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte [Permissões de perfil vinculado a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.

## Criar uma função vinculada ao serviço `AWSServiceRoleForSystemsManagerJustInTimeAccess` para o Systems Manager
<a name="create-slr-service-action-8"></a>

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você habilita o acesso a nós just-in-time no Console de gerenciamento da AWS, o Systems Manager cria o perfil vinculado ao serviço para você. 

**Importante**  
Essa função vinculada ao serviço pode ser exibida em sua conta se você concluiu uma ação em outro serviço que usa os recursos compatíveis com essa função. Além disso, se você estava usando o serviço do Systems Manager antes de 19 de novembro de 2024, quando começou a compatibilidade com os perfis vinculados ao serviço, então o Systems Manager criou o perfil `AWSServiceRoleForSystemsManagerJustInTimeAccess` em sua conta. Para saber mais, consulte [Uma nova função apareceu na minha conta do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).

Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você pode usar esse mesmo processo para recriar a função na sua conta. Quando você habilita o acesso a nós just-in-time no Console de gerenciamento da AWS, o Systems Manager cria o perfil vinculado ao serviço para você novamente. 

Você também pode usar o console do IAM para criar um perfil vinculado ao serviço com o caso de uso **Perfil de serviço da AWS que permite que o Systems Manager habilite o acesso a nós just-in-time.** Na AWS CLI ou na API do AWS, crie um perfil vinculado a serviço com o nome de serviço `ssm.amazonaws.com`. Para obter mais informações, consulte [Criar uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) no *Manual do usuário do IAM*. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.

## Editar uma função vinculada ao serviço `AWSServiceRoleForSystemsManagerJustInTimeAccess` para o Systems Manager
<a name="edit-slr-service-action-8"></a>

O Systems Manager não permite que você edite a função vinculada a serviço `AWSServiceRoleForSystemsManagerJustInTimeAccess`. Depois de criar uma função vinculada a serviço, você não poderá alterar o nome da função, já que várias entidades poderão fazer referência à função. No entanto, você poderá editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.

## Excluir uma função vinculada ao serviço `AWSServiceRoleForSystemsManagerJustInTimeAccess` para o Systems Manager
<a name="delete-slr-service-action-8"></a>

Se você não precisar mais usar um atributo ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-la. Dessa forma, você não terá uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de sua função vinculada ao serviço antes de excluí-la manualmente.

**nota**  
Se o serviço Systems Manager estiver usando a função quando você tenta excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

**Para excluir manualmente a função vinculada ao serviço `AWSServiceRoleForSystemsManagerJustInTimeAccess` usando o IAM**

Use o console do IAM, a AWS CLI ou a API da AWS para excluir a função vinculada ao serviço `AWSServiceRoleForSystemsManagerJustInTimeAccess`. Para obter mais informações, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.

## Regiões compatíveis com o perfil vinculado ao serviço `AWSServiceRoleForSystemsManagerJustInTimeAccess` do Systems Manager
<a name="slr-regions-service-action-8"></a>


****  

| Nome da Região da AWS | Identidade da região | Suporte no Systems Manager | 
| --- | --- | --- | 
| Leste dos EUA (Norte da Virgínia) | us-east-1 | Sim | 
| Leste dos EUA (Ohio) | us-east-2 | Sim | 
| Oeste dos EUA (N. da Califórnia) | us-west-1 | Sim | 
| Oeste dos EUA (Oregon) | us-west-2 | Sim | 
| Ásia-Pacífico (Mumbai) | ap-south-1 | Sim | 
| Ásia Pacifico (Osaka) | ap-northeast-3 | Sim | 
| Ásia-Pacífico (Seul) | ap-northeast-2 | Sim | 
| Ásia-Pacífico (Singapura) | ap-southeast-1 | Sim | 
| Ásia-Pacífico (Sydney) | ap-southeast-2 | Sim | 
| Ásia-Pacífico (Tóquio) | ap-northeast-1 | Sim | 
| Canadá (Central) | ca-central-1 | Sim | 
| Europa (Frankfurt) | eu-central-1 | Sim | 
| Europa (Irlanda) | eu-west-1 | Sim | 
| Europa (Londres) | eu-west-2 | Sim | 
| Europa (Paris) | eu-west-3 | Sim | 
| Europa (Estocolmo) | eu-north-1 | Sim | 
| América do Sul (São Paulo) | sa-east-1 | Sim | 
| AWS GovCloud (US)  | us-gov-west-1 | Não | 

# Uso de perfis para enviar notificações de solicitação de acesso a nós just-in-time
<a name="using-service-linked-roles-service-action-9"></a>

O Systems Manager usa o perfil vinculado ao serviço denominado **`AWSServiceRoleForSystemsManagerNotifications`**. O AWS Systems Manager usa esse perfil de serviço do IAM para enviar notificações aos aprovadores de solicitações de acesso.

## Permissões de perfil vinculado ao serviço para notificações de acesso a nós just-in-time do Systems Manager
<a name="slr-permissions-service-action-9"></a>

O perfil vinculado ao serviço `AWSServiceRoleForSystemsManagerNotifications` confia nos seguintes serviços para aceitar o perfil:
+ `ssm.amazonaws.com`

A política de permissões da função permite que o Systems Manager conclua as seguintes ações nos recursos especificados:
+ `identitystore:ListGroupMembershipsForMember`
+ `identitystore:ListGroupMemberships`
+ `identitystore:DescribeUser`
+ `sso:ListInstances`
+ `sso:DescribeRegisteredRegions`
+ `sso:ListDirectoryAssociations`
+ `sso-directory:DescribeUser`
+ `sso-directory:ListMembersInGroup`
+ `iam:GetRole`

A política gerida que é utilizada para fornecer permissões para o`AWSServiceRoleForSystemsManagerNotifications`função é`AWSSystemsManagerNotificationsServicePolicy`. Para obter detalhes sobre as permissões necessárias, consulte [Política gerenciada pela AWS: AWSSystemsManagerNotificationsServicePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy). 

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte [Permissões de perfil vinculado a serviços](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.

## Criar uma função vinculada ao serviço `AWSServiceRoleForSystemsManagerNotifications` para o Systems Manager
<a name="create-slr-service-action-9"></a>

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você habilita o acesso a nós just-in-time no Console de gerenciamento da AWS, o Systems Manager cria o perfil vinculado ao serviço para você. 

**Importante**  
Essa função vinculada ao serviço pode ser exibida em sua conta se você concluiu uma ação em outro serviço que usa os recursos compatíveis com essa função. Além disso, se você estava usando o serviço do Systems Manager antes de 19 de novembro de 2024, quando começou a compatibilidade com os perfis vinculados ao serviço, então o Systems Manager criou o perfil `AWSServiceRoleForSystemsManagerNotifications` em sua conta. Para saber mais, consulte [Uma nova função apareceu na minha conta do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).

Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você pode usar esse mesmo processo para recriar a função na sua conta. Quando você habilita o acesso a nós just-in-time no Console de gerenciamento da AWS, o Systems Manager cria o perfil vinculado ao serviço para você novamente. 

Você também pode usar o console do IAM para criar um perfil vinculado ao serviço com o caso de uso **Perfil de serviço da AWS que permite que o Systems Manager envie notificações aos aprovadores de solicitações de acesso.** Na AWS CLI ou na API do AWS, crie um perfil vinculado a serviço com o nome de serviço `ssm.amazonaws.com`. Para obter mais informações, consulte [Criar uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) no *Manual do usuário do IAM*. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.

## Editar uma função vinculada ao serviço `AWSServiceRoleForSystemsManagerNotifications` para o Systems Manager
<a name="edit-slr-service-action-9"></a>

O Systems Manager não permite que você edite a função vinculada a serviço `AWSServiceRoleForSystemsManagerNotifications`. Depois de criar uma função vinculada a serviço, você não poderá alterar o nome da função, já que várias entidades poderão fazer referência à função. No entanto, você poderá editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.

## Excluir uma função vinculada ao serviço `AWSServiceRoleForSystemsManagerNotifications` para o Systems Manager
<a name="delete-slr-service-action-9"></a>

Se você não precisar mais usar um atributo ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-la. Dessa forma, você não terá uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de sua função vinculada ao serviço antes de excluí-la manualmente.

**nota**  
Se o serviço Systems Manager estiver usando a função quando você tenta excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

**Para excluir manualmente a função vinculada ao serviço `AWSServiceRoleForSystemsManagerNotifications` usando o IAM**

Use o console do IAM, a AWS CLI ou a API da AWS para excluir a função vinculada ao serviço `AWSServiceRoleForSystemsManagerNotifications`. Para obter mais informações, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.

## Regiões compatíveis com o perfil vinculado ao serviço `AWSServiceRoleForSystemsManagerNotifications` do Systems Manager
<a name="slr-regions-service-action-9"></a>


****  

| Nome da Região da AWS | Identidade da região | Suporte no Systems Manager | 
| --- | --- | --- | 
| Leste dos EUA (Norte da Virgínia) | us-east-1 | Sim | 
| Leste dos EUA (Ohio) | us-east-2 | Sim | 
| Oeste dos EUA (N. da Califórnia) | us-west-1 | Sim | 
| Oeste dos EUA (Oregon) | us-west-2 | Sim | 
| Ásia-Pacífico (Mumbai) | ap-south-1 | Sim | 
| Ásia Pacifico (Osaka) | ap-northeast-3 | Sim | 
| Ásia-Pacífico (Seul) | ap-northeast-2 | Sim | 
| Ásia-Pacífico (Singapura) | ap-southeast-1 | Sim | 
| Ásia-Pacífico (Sydney) | ap-southeast-2 | Sim | 
| Ásia-Pacífico (Tóquio) | ap-northeast-1 | Sim | 
| Canadá (Central) | ca-central-1 | Sim | 
| Europa (Frankfurt) | eu-central-1 | Sim | 
| Europa (Irlanda) | eu-west-1 | Sim | 
| Europa (Londres) | eu-west-2 | Sim | 
| Europa (Paris) | eu-west-3 | Sim | 
| Europa (Estocolmo) | eu-north-1 | Sim | 
| América do Sul (São Paulo) | sa-east-1 | Sim | 
| AWS GovCloud (US)  | us-gov-west-1 | Não | 

# Registrar em log e monitorar no AWS Systems Manager
<a name="logging-and-monitoring"></a>

O monitoramento é uma parte importante da manutenção da confiabilidade, da disponibilidade e da performance do AWS Systems Manager e de suas soluções da AWS. É necessário coletar dados de monitoramento de todas as partes da solução da AWS para depurar uma falha de vários pontos com mais facilidade, caso ocorra. A AWS fornece várias ferramentas para monitorar os recursos do Systems Manager e responder a possíveis incidentes.

**Logs do AWS CloudTrail**  
O CloudTrail fornece um registro de ações executadas por um usuário, uma função ou um AWS service (Serviço da AWS) no Systems Manager. Ao fazer uso das informações coletadas pelo CloudTrail, é possível determinar a solicitação feita a Systems Manager, o endereço IP no qual a solicitação foi feita, quem fez a solicitação e quando foi feita, além de detalhes adicionais. Para obter mais informações, consulte [Registrar em log chamadas de API do AWS Systems Manager com o AWS CloudTrail](monitoring-cloudtrail-logs.md).

**Alarmes do Amazon CloudWatch**  
Usando alarmes do Amazon CloudWatch, você observa uma única métrica durante um período especificado para suas instâncias do Amazon Elastic Compute Cloud (Amazon EC2) e outros recursos. Se a métrica exceder determinado limite, uma notificação será enviada para um tópico do Amazon Simple Notification Service (Amazon SNS) ou para uma política do AWS Auto Scaling. Os alarmes do CloudWatch não invocam ações só porque estão em um determinado estado. O estado deve ter sido alterado e mantido por uma quantidade especificada de períodos. Para obter mais informações, consulte [Uso de alarmes do Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) no *Manual do usuário do Amazon CloudWatch*.

**Painéis do Amazon CloudWatch**  
Os painéis do CloudWatch são páginas iniciais personalizáveis no console do CloudWatch que você pode usar para monitorar seus recursos em uma única visualização, mesmo os recursos distribuídos em diferentes Regiões da AWS. Você pode usar os painéis do CloudWatch para criar visualizações personalizadas das métricas e dos alarmes para os recursos da AWS. Para obter mais informações, consulte [Usar painéis do Amazon CloudWatch hospedados pelo Systems Manager](systems-manager-cloudwatch-dashboards.md).

**Amazon EventBridge**  
Usando o Amazon EventBridge, você pode configurar regras do para alertá-lo sobre alterações nos recursos do Systems Manager e direcionar o EventBridge para executar ações com base no conteúdo desses eventos. O EventBridge fornece suporte a uma série de eventos que são emitidos por várias ferramentas do Systems Manager. Para obter mais informações, consulte [Monitorar eventos do Systems Manager com o Amazon EventBridge](monitoring-eventbridge-events.md).

**Amazon CloudWatch Logs e logs do SSM Agent**  
SSM AgentO grava informações sobre execuções, ações programadas, erros e status de integridade em arquivos de log para cada nó. É possível visualizar arquivos de log conectando-se manualmente a um nó. Recomendamos enviar automaticamente dados de log do agente para um grupo de log no CloudWatch Logs para análise. Para obter mais informações, consulte [Enviar logs de nós para o CloudWatch Logs unificado (agente do CloudWatch)](monitoring-cloudwatch-agent.md) e [Visualizar logs do SSM Agent](ssm-agent-logs.md).

**AWS Systems ManagerConformidade da **  
Você pode usar o Compliance, uma ferramenta do AWS Systems Manager, para verificar a conformidade dos patches e as inconsistências de configuração em sua frota de nós gerenciados. Você pode coletar e agregar dados de várias Contas da AWS e Regiões da AWS e depois fazer buscas detalhadas em recursos específicos que não forem compatíveis. Por padrão, o Compliance exibe dados de conformidade atuais sobre a aplicação de patches no Patch Manager, uma ferramenta do AWS Systems Manager e associações no State Manager, uma ferramenta do AWS Systems Manager. Para obter mais informações, consulte [AWS Systems Manager Compliance](systems-manager-compliance.md).

**AWS Systems Manager Explorer**  
O Explorer, uma ferramenta do AWS Systems Manager, é um painel de operações personalizável que relata informações sobre seus recursos da AWS. O Explorer exibe uma visualização agregada dos dados de operações (OpsData) para suas Contas da AWS e em todas as Regiões da AWS. No Explorer, os OpsData incluem metadados sobre suas instâncias do EC2, detalhes de conformidade de patches e itens de trabalho operacionais (OpsItems). O Explorer fornece contexto sobre como os OpsItems são distribuídos em suas unidades de negócios ou aplicativos, a tendência ao longo do tempo e como eles variam de acordo com a categoria. Você pode agrupar e filtrar informações no Explorer para se concentrar em itens que são relevantes para você e que exigem ação. Para obter mais informações, consulte [AWS Systems Manager Explorer](Explorer.md).

**AWS Systems Manager OpsCenter**  
O OpsCenter, uma ferramenta do AWS Systems Manager, fornece um local central onde engenheiros de operações e profissionais de TI podem visualizar, investigar e resolver itens de trabalho operacionais (OpsItems) relacionados aos recursos da AWS. O OpsCenter agrega e padroniza OpsItems em todos os serviços, fornecendo dados de investigação contextual sobre cada OpsItem, OpsItems relacionados e recursos relacionados. O OpsCenter também fornece runbooks do Automation, uma ferramenta do AWS Systems Manager que pode ser usada para resolver problemas rapidamente. O OpsCenter é integrado ao Amazon EventBridge. Isso significa que você pode criar regras do EventBridge que criam automaticamente OpsItems para qualquer AWS service (Serviço da AWS) que publique eventos no EventBridge. Para obter mais informações, consulte [AWS Systems Manager OpsCenter](OpsCenter.md).

**Amazon Simple Notification Service**  
É possível configurar o Amazon Simple Notification Service (Amazon SNS) para enviar notificações sobre o status dos comandos que você envia usando o Run Command ou Maintenance Windows, ambos ferramentas do AWS Systems Manager. O Amazon SNS coordena e gerencia a entrega e o envio de notificações a clientes e endpoints que assinam tópicos do Amazon SNS. Você pode receber uma notificação sempre que um comando muda para um novo estado ou atinge um estado específico, como `Failed` ou `Timed Out`. Nos casos em que você envia um comando para vários nós, você pode receber uma notificação para cada cópia do comando enviado para um nó específico. Para obter mais informações, consulte [Monitorar alterações de status do Systems Manager usando as notificações do Amazon SNS](monitoring-sns-notifications.md).

**AWS Trusted Advisor e da AWS Health Dashboard**  
O Trusted Advisor conta com as práticas recomendadas aprendidas com o atendimento a centenas de milhões de clientes da AWS. O Trusted Advisor inspeciona seu ambiente da AWS e faz recomendações quando há oportunidades para economizar dinheiro, melhorar a performance e a disponibilidade do sistema e ajuda a corrigir falhas de segurança. Todos os clientes da AWS têm acesso a cinco verificações do Trusted Advisor. Os clientes com um plano de suporte AWS Support Business ou Enterprise podem ver todas as verificações do Trusted Advisor. Para obter mais informações, consulte [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html) no *Guia do usuário doAWS Support* e o *[Guia do usuário do ](https://docs.aws.amazon.com/health/latest/ug/)*.AWS Health    
**Mais informações**  
+ [Registrar em log e monitorar no AWS Systems Manager](monitoring.md)

# Validação de conformidade do AWS Systems Manager
<a name="compliance-validation"></a>

Este tópico aborda a conformidade do AWS Systems Manager com programas de garantia de terceiros. Para obter informações sobre como visualizar dados de conformidade para os nós gerenciados, consulte [AWS Systems Manager Compliance](systems-manager-compliance.md).

Auditores de terceiros avaliam a segurança e a conformidade do Systems Manager como parte de vários programas de conformidade da AWS. Isso inclui SOC, PCI, FedRAMP, HIPAA e outros.

Para obter uma lista de Serviços da AWS no escopo de programas de conformidade específicos, consulte [Serviços da AWS no escopo pelo programa de conformidade](https://aws.amazon.com/compliance/services-in-scope/). Para obter informações gerais, consulte [Programas de conformidade da AWS](https://aws.amazon.com/compliance/programs/).

É possível baixar relatórios de auditoria de terceiros usando o AWS Artifact. Para obter mais informações, consulte [Baixar relatórios no AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).

Sua responsabilidade de conformidade ao usar o Systems Manager é determinada pela confidencialidade dos seus dados, pelos objetivos de conformidade da sua empresa e pelos regulamentos e leis aplicáveis. A AWS fornece os recursos a seguir para ajudar com a conformidade:
+ [Guias de início rápido de segurança e compatibilidade](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance): esses guias de implantação abordam as considerações de arquitetura e fornecem etapas para implantação de ambientes de linha de base focados em conformidade e segurança na AWS.
+ [Whitepaper Architecting for HIPAA Security and Compliance](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/introduction.html) (Arquitetura para segurança e conformidade com a HIPAA): este whitepaper descreve como as empresas podem usar a AWS para criar aplicações em conformidade com a HIPAA.
+ [Recursos de conformidade da AWS](https://aws.amazon.com/compliance/resources/): essa coleção de manuais e guias pode ser aplicada a seu setor e local.
+ [Avaliar atributos com regras](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) no *Guia do desenvolvedor do AWS Config*: o serviço AWS Config avalia como as configurações de atributos estão em conformidade com práticas internas, diretrizes do setor e regulamentos.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html): esse AWS service (Serviço da AWS) fornece uma visão abrangente do estado de sua segurança na AWS que ajuda você a conferir sua conformidade com padrões e práticas recomendadas de segurança do setor.

# Resiliência no AWS Systems Manager
<a name="disaster-recovery-resiliency"></a>

A infraestrutura global da AWS se baseia em Regiões da AWS e zonas de disponibilidade. A Regiões da AWS oferece várias zonas de disponibilidade separadas e isoladas fisicamente que são conectadas com baixa latência, throughputs elevadas e em redes altamente redundantes. Com as zonas de disponibilidade, é possível projetar e operar aplicativos e bancos de dados que automaticamente executam o failover entre as zonas sem interrupção. As zonas de disponibilidade são mais altamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais. 

Para obter mais informações sobre Regiões da AWS e zonas de disponibilidade, consulte [Infraestrutura global da AWS](https://aws.amazon.com/about-aws/global-infrastructure/).

# Segurança da infraestrutura no AWS Systems Manager
<a name="infrastructure-security"></a>

Por ser um serviço gerenciado, o AWS Systems Manager é protegido pela segurança da rede global da AWS. Para saber mais sobre serviços de segurança da AWS e como a AWS protege a infraestrutura, consulte [Segurança na Nuvem AWS](https://aws.amazon.com/security/). Para projetar seu ambiente da AWS usando as práticas recomendadas de segurança da infraestrutura, consulte [Proteção de Infraestrutura](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) em *Pilar de Segurança: AWS Well‐Architected Framework*.

Você usa Systems Manager chamadas de API publicadas pela para acessarAWS o por meio da rede. Os clientes devem oferecer compatibilidade com:
+ Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.

# Análise de vulnerabilidade e configuração no AWS Systems Manager
<a name="vulnerability-analysis-and-management"></a>

A AWS cuida das tarefas básicas de segurança, como configuração de firewall e recuperação de desastres. Esses procedimentos foram revisados e certificados por terceiros certificados. Para obter mais detalhes, consulte os recursos a seguir: 
+ [Validação de conformidade do AWS Systems Manager](compliance-validation.md)
+ [Modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [Práticas recomendadas de segurança, identidade e compatibilidade](https://aws.amazon.com/architecture/security-identity-compliance/)

# Melhores práticas de segurança do Systems Manager
<a name="security-best-practices"></a>

AWS Systems ManagerO oferece uma série de recursos de segurança a serem considerados no desenvolvimento e na implementação das suas próprias políticas de segurança. As práticas recomendadas a seguir são diretrizes gerais e não representam uma solução completa de segurança. Como essas práticas recomendadas podem não ser adequadas ou suficientes para o seu ambiente, trate-as como considerações úteis em vez de prescrições. 

**Topics**
+ [Systems ManagerMelhores práticas de segurança preventivas do](#security-best-practices-prevent)
+ [Práticas recomendadas de instalação SSM Agent](#security-best-practices-ssm-agent)
+ [Systems ManagerMelhores práticas de auditoria e monitoramento do](#security-best-practices-detect)

## Systems ManagerMelhores práticas de segurança preventivas do
<a name="security-best-practices-prevent"></a>

As seguintes práticas recomendadas do Systems Manager podem ajudar a evitar incidentes de segurança.

**Implemente o privilégio de acesso mínimo**  
Ao conceder permissões, você decide quem receberá quais permissões para quais recursos do Systems Manager. Você permite ações específicas que quer permitir nesses recursos. Portanto, é necessário conceder somente as permissões necessárias para executar uma tarefa. A implementação do privilégio de acesso mínimo é fundamental para reduzir o risco de segurança e o impacto que pode resultar de erros ou usuários mal-intencionados.   
As ferramentas a seguir estão disponíveis para implementar o acesso de privilégio mínimo:  
+ [Políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html) e [Limites de permissões para entidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)
+ [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)

**Use as configurações recomendadas para o SSM Agent quando configurado para usar um proxy**  
Se você configurar o SSM Agent para usar um proxy, use a variável `no_proxy` com o endereço IP do serviço de metadados da instância do Systems Manager para garantir que as chamadas para o Systems Manager não assumam a identidade do serviço de proxy.  
Para obter mais informações, consulte [Configurar o SSM Agent para usar um proxy em nós do Linux](configure-proxy-ssm-agent.md) e [Configurar o SSM Agent para usar um proxy para instâncias do Windows Server](configure-proxy-ssm-agent-windows.md).

**Use os parâmetros SecureString para criptografar e proteger dados secretos**  
No Parameter Store, uma ferramenta do AWS Systems Manager, um parâmetro `SecureString` representa quaisquer dados sigilosos que precisam ser armazenados e referenciados com segurança. Se você tiver dados que não deseja que os usuários alterem ou façam referência em texto simples, como senhas ou chaves de licença, crie esses parâmetros usando o tipo de dados `SecureString`. O Parameter Store usa uma AWS KMS key no AWS Key Management Service (AWS KMS) para criptografar o valor do parâmetro. O AWS KMS usa uma chave gerenciada pelo cliente ou uma Chave gerenciada pela AWS ao criptografar o valor do parâmetro. Para segurança máxima, recomendamos usar sua própria chave do KMS. Se você usar a Chave gerenciada pela AWS, qualquer usuário com permissão para executar as ações [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html) e [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html) em sua conta poderá visualizar ou recuperar o conteúdo de todos os parâmetros `SecureString`. Se você estiver usando chaves gerenciadas pelo cliente para criptografar seus valores `SecureString` de segurança, será possível usar políticas de chave e políticas do IAM para gerenciar permissões para criptografar e descriptografar parâmetros.  
É mais difícil estabelecer políticas de controle de acesso para essas operações ao usar uma Chave gerenciada pela AWS. Por exemplo, se você usar uma Chave gerenciada pela AWS para criptografar parâmetros `SecureString` e não quiser que os usuários trabalhem com parâmetros `SecureString`, as políticas do IAM dos usuários devem negar explicitamente o acesso à chave padrão.  
Para obter mais informações, consulte [Restringir o acesso a parâmetros do Parameter Store usando políticas do IAM](sysman-paramstore-access.md) e [Como o AWS Systems ManagerParameter Store usa o AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-parameter-store.html) no *Manual do desenvolvedor do AWS Key Management Service*.

**Defina allowedValues e allowedPattern para parâmetros do documento**  
Você pode validar a entrada do usuário de parâmetros de documentos do Systems Manager (documentos SSM) definindo `allowedValues` e `allowedPattern`. Para `allowedValues`, defina uma matriz de valores permitidos para o parâmetro. Se um usuário inserir um valor que não é permitido, a execução falhará ao iniciar. Para `allowedPattern`, defina uma expressão regular que valida se a entrada do usuário corresponde ao padrão definido para o parâmetro. Se a entrada do usuário não corresponder ao padrão permitido, a execução não será iniciada.  
Para obter mais informações sobre `allowedValues` e `allowedPattern`, consulte [Elementos e parâmetros de dados](documents-syntax-data-elements-parameters.md).

**Bloquear compartilhamento público de documentos**  
A menos que seu caso de uso exija que o compartilhamento público seja permitido, recomendamos ativar a configuração de bloqueio de compartilhamento público para seus documentos do SSM na seção **Preferências** do console de documentos do Systems Manager.

**Usar endpoints da Amazon Virtual Private Cloud (Amazon VPC) e VPC**  
É possível usar a Amazon VPC para executar os recursos da AWS em uma rede virtual definida por você. Essa rede virtual se assemelha a uma rede tradicional que você operaria no seu data center, com os benefícios de usar a infraestrutura dimensionável da AWS.  
Ao implementar um endpoint da VPC, você pode conectar de forma privada a VPC aos Serviços da AWS compatíveis e aos serviços do endpoint da VPC desenvolvidos pelo AWS PrivateLink sem exigir um gateway da Internet, um dispositivo NAT, uma conexão VPN ou uma conexão do AWS Direct Connect. As instâncias na sua VPC não exigem que endereços IP públicos se comuniquem com recursos no serviço. O tráfego entre a sua VPC e os outros serviços não sai da rede da Amazon.  
Para obter mais informações sobre a segurança da Amazon VPC, consulte [Melhorar a segurança das instâncias do EC2 usando endpoints da VPC para o Systems Manager](setup-create-vpc.md) e [Privacidade do tráfego de redes no Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html) no *Guia do usuário do Amazon VPC*.

**Restrinja usuários do Session Manager para sessões usando comandos interativos e documentos de sessão do SSM específicos**  
O Session Manager, uma ferramenta do AWS Systems Manager, fornece [vários métodos para iniciar sessões](session-manager-working-with-sessions-start.md) em seus nós gerenciados. Para as conexões mais seguras, é possível exigir que os usuários se conectem usando o método de *comandos interativos* para limitar a interação do usuário a uma sequência de comandos ou um comando específico. Isso ajuda a gerenciar as ações interativas que um usuário pode executar. Para obter mais informações, consulte [Iniciar uma sessão (comandos interativos e não interativos)](session-manager-working-with-sessions-start.md#sessions-start-interactive-commands).  
Para reforçar a segurança, você pode limitar o acesso do Session Manager a instâncias específicas do Amazon EC2 e a documentos de sessão do Session Manager específicos. Você concede ou revoga o acesso do Session Manager dessa forma usando políticas do AWS Identity and Access Management (IAM). Para obter mais informações, consulte [Etapa 3: controlar o acesso da sessão pelos nós gerenciados](session-manager-getting-started-restrict-access.md). 

**Forneça permissões de nó temporárias para fluxos de trabalho de automação**  
Durante um fluxo de trabalho do Automation, uma ferramenta do AWS Systems Manager, os nós podem precisar de permissões necessárias apenas para essa execução, mas não para outras operações do Systems Manager. Por exemplo, um fluxo de trabalho do Automation pode exigir que um nó gerenciado chame uma operação específica da API ou acesse um recurso da AWS especificamente durante o fluxo de trabalho. Se essas chamadas ou recursos forem aqueles aos quais você deseja limitar o acesso, é possível fornecer permissões temporárias e complementares para os nós dentro do próprio runbook do Automation, em vez de adicionar as permissões ao seu perfil da instância do IAM. No final do fluxo de trabalho da automação, as permissões temporárias serão removidas. Para obter mais informações, consulte [Fornecer permissões de instância temporária com automações do AWS Systems Manager](https://aws.amazon.com/blogs/mt/providing-temporary-instance-permissions-with-aws-systems-manager-automations/) no *Blog de gerenciamento e governança da AWS*.

**Mantenha as ferramentas da AWS e do Systems Manager atualizadas**  
A AWS lança regularmente versões atualizadas de ferramentas e plugins que é possível usar em suas operações da AWS e do Systems Manager. Manter esses recursos atualizados garante que os usuários e nós em sua conta tenham acesso às funcionalidades e recursos de segurança mais recentes nessas ferramentas.  
+ SSM Agent – AWS Systems Manager Agent (SSM Agent) é um software da Amazon que pode ser instalado e configurado em uma instância do Amazon Elastic Compute Cloud (Amazon EC2), em um servidor on-premises ou em uma máquina virtual (VM). O SSM Agent possibilita que o Systems Manager atualize, gerencie e configure esses recursos. Recomendamos verificar se há novas versões ou automatizar atualizações para o agente pelo menos a cada duas semanas. Para mais informações, consulte [Automatizar atualizações do SSM Agent](ssm-agent-automatic-updates.md). Também recomendamos verificar a assinatura do SSM Agent como parte do processo de atualização. Para mais informações, consulte [Verificar a assinatura do SSM Agent](verify-agent-signature.md).
+ AWS CLI: a AWS Command Line Interface (AWS CLI) é uma ferramenta de código aberto que permite interagir com os Serviços da AWS usando comandos no shell da linha de comando. Para atualizar a AWS CLI, execute o mesmo comando usado para instalar a AWS CLI. Recomendamos criar uma tarefa programada em sua máquina local para executar o comando adequado para o sistema operacional pelo menos uma vez a cada duas semanas. Para obter informações sobre como instalar comandos, consulte [Instalar a versão 2 da AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) no *Guia do usuário da AWS Command Line Interface*. 
+ AWS Tools for Windows PowerShell: o Tools for Windows PowerShell é um conjunto de módulos do PowerShell, criado com base na funcionalidade exposta pelo AWS SDK para .NET. O AWS Tools for Windows PowerShell permite que você faça script de operações em seus recursos da AWS na linha de comando do PowerShell. Periodicamente, à medida que versões atualizadas do Tools for Windows PowerShell são lançadas, você deve atualizar a versão que está sendo executada localmente. Para obter mais informações, consulte [Atualizar o AWS Tools for Windows PowerShell no Windows](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up-windows.html#pstools-updating) ou [Atualizar o AWS Tools for Windows PowerShell no Linux ou macOS](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up-linux-mac.html#pstools-updating-linux) no *Guia do usuário do IAM Policy Simulator*.
+ Plugin do Session Manager: se os usuários em sua organização com permissões para usar o Session Manager quiserem se conectar a um nó usando a AWS CLI, eles deverão primeiro instalar o plugin do Session Manager em suas máquinas locais. Para atualizar o plugin, execute o mesmo comando usado para instalar o plugin. Recomendamos criar uma tarefa programada em sua máquina local para executar o comando adequado para o sistema operacional pelo menos uma vez a cada duas semanas. Para mais informações, consulte [Instalar o plug-in do Session Manager para a AWS CLI](session-manager-working-with-install-plugin.md).
+ Agente do CloudWatch: você pode configurar e usar o agente do CloudWatch para coletar métricas e logs das instâncias do EC2, instâncias on-premises e máquinas virtuais (VMs). Esses logs podem ser enviados para o Amazon CloudWatch Logs para monitoramento e análise. Recomendamos verificar se há novas versões ou automatizar atualizações para o agente pelo menos a cada duas semanas. Para obter as atualizações mais simples, use a Configuração rápida do AWS Systems Manager. Para mais informações, consulte [AWS Systems Manager Quick Setup](systems-manager-quick-setup.md). 

## Práticas recomendadas de instalação SSM Agent
<a name="security-best-practices-ssm-agent"></a>

Ao instalar SSM Agent, use o método de instalação apropriado para o seu tipo de máquina. Em particular, use a ferramenta `ssm-setup-cli` para todas as instalações que não sejam do EC2 em um ambiente [híbrido e multicloud](operating-systems-and-machine-types.md#supported-machine-types). Essa ferramenta fornece proteções de segurança adicionais para máquinas que não são do EC2.

Para instalar o atendente em máquinas virtuais e servidores on-premises, use a ferramenta `ssm-setup-cli` conforme descrito nos tópicos a seguir:
+ [Instalar o SSM Agent em nós híbridos do Linux](hybrid-multicloud-ssm-agent-install-linux.md)
+ [Instalar o SSM Agent em nós híbridos do Windows Server](hybrid-multicloud-ssm-agent-install-windows.md)

Para instalar o atendente em instâncias do EC2, use o procedimento de instalação apropriado para o tipo de sistema operacional:
+ [Instalar e desinstalar o SSM Agent manualmente em instâncias do EC2 para Linux](manually-install-ssm-agent-linux.md)
+ [Instalar e desinstalar o SSM Agent manualmente em instâncias do EC2 para macOS](manually-install-ssm-agent-macos.md)
+ [Instalar e desinstalar o SSM Agent manualmente em instâncias do EC2 para Windows Server](manually-install-ssm-agent-windows.md)

## Systems ManagerMelhores práticas de auditoria e monitoramento do
<a name="security-best-practices-detect"></a>

As práticas recomendadas a seguir para o Systems Manager podem ajudar a detectar pontos fracos e incidentes potenciais de segurança.

**Identificar e auditar todos os seus recursos do Systems Manager**  
A identificação de seus ativos de TI é um aspecto essencial de governança e segurança. É necessário identificar todos os seus recursos do Systems Manager para avaliar sua postura de segurança e agir em possíveis áreas de pontos fracos.  
Use o Tag Editor para identificar recursos sensíveis quanto a segurança ou auditoria, depois use essas tags quando precisar procurar por esses recursos. Para obter mais informações, consulte [Localizar recursos para etiquetar](https://docs.aws.amazon.com/ARG/latest/userguide/find-resources-to-tag.html) no *Guia do usuário do AWS Resource Groups*.   
Crie grupos de recursos para seus recursos do Systems Manager. Para obter mais informações, consulte [O que são grupos de recursos?](https://docs.aws.amazon.com/ARG/latest/userguide/resource-groups.html) 

**Implementar monitoramento usando ferramentas de monitoramento do Amazon CloudWatch**  
O monitoramento é uma parte importante da manutenção da confiabilidade, da segurança, da disponibilidade e da performance do Systems Manager e das suas soluções da AWS. O Amazon CloudWatch fornece várias ferramentas e serviços para ajudar você a monitorar o Systems Manager e seus outros Serviços da AWS. Para obter mais informações, consulte [Enviar logs de nós para o CloudWatch Logs unificado (agente do CloudWatch)](monitoring-cloudwatch-agent.md) e [Monitorar eventos do Systems Manager com o Amazon EventBridge](monitoring-eventbridge-events.md).

**Uso do CloudTrail**  
O AWS CloudTrail fornece um registro das ações executadas por um usuário, uma função ou um AWS service (Serviço da AWS) no Systems Manager. Ao fazer uso das informações coletadas pelo CloudTrail, é possível determinar a solicitação feita a Systems Manager, o endereço IP no qual a solicitação foi feita, quem fez a solicitação e quando foi feita, além de detalhes adicionais. Para obter mais informações, consulte [Registrar em log chamadas de API do AWS Systems Manager com o AWS CloudTrail](monitoring-cloudtrail-logs.md).

**Ativar o AWS Config**  
O AWS Config permite analisar, auditar e avaliar as configurações dos recursos da AWS. O AWS Config monitora as configurações de recursos, possibilitando que você avalie as configurações registradas em relação às configurações seguras requeridas. Com o AWS Config, você pode analisar alterações feitas nas configurações e relacionamentos entre os recursos da AWS, examinar os detalhes do histórico de configuração de recursos e determinar a conformidade geral em relação às configurações especificadas em diretrizes internas. Isso pode ajudar a simplificar a auditoria de conformidade, a análise de segurança, o gerenciamento de alterações e a solução de problemas operacionais. Para obter mais informações, consulte [Configuração do AWS Config com o console](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html) no *Guia do desenvolvedor do AWS Config*. Ao especificar os tipos de recurso que devem ser gravados, inclua os recursos do Systems Manager. 

**Monitorar as recomendações de segurança da AWS**  
Verifique regularmente as recomendações de segurança publicadas no Trusted Advisor para sua Conta da AWS. Você pode fazer isso programaticamente usando [describe-trusted-advisor-checks](https://docs.aws.amazon.com/cli/latest/reference/support/describe-trusted-advisor-checks.html).  
Além disso, monitore ativamente o endereço de e-mail registrado como principal para cada uma de suas Contas da AWS. A AWS usará esse e-mail para entrar em contato e notificá-lo sobre os problemas de segurança que surgirem e que possam afetar você.  
Problemas operacionais da AWS com grande impacto são publicados no [AWS Service Health Dashboard](https://status.aws.amazon.com/). Problemas operacionais também são publicados em contas individuais por meio do Personal Health Dashboard. Para obter mais informações, consulte a [Documentação do AWS Health](https://docs.aws.amazon.com/health/).

**Mais informações**  
+ [Práticas recomendadas de segurança, identidade e conformidade](https://aws.amazon.com/architecture/security-identity-compliance/)
+ [Getting Started: Follow Security Best Practices as You Configure Your AWS Resources](https://aws.amazon.com/blogs/security/getting-started-follow-security-best-practices-as-you-configure-your-aws-resources/) (Blog de segurança da AWS)
+ [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Práticas recomendadas de segurança no AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/best-practices-security.html)
+ [Práticas recomendadas de segurança para o Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html)
+ [Práticas recomendadas de segurança para o AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/best-practices.html)