Usar perfis para coletar inventário e visualizar OpsData - AWS Systems Manager

Usar perfis para coletar inventário e visualizar OpsData

O Systems Manager usa o perfil vinculado ao serviço chamado AWSServiceRoleForAmazonSSM. O AWS Systems Manager usa esse perfil de serviço do IAM para gerenciar os recursos AWS em seu nome.

Permissões do perfil vinculado ao serviço para inventário, OpsData e OpsItems

A função vinculada a serviço AWSServiceRoleForAmazonSSM confia somente em ssm.amazonaws.com para assumir essa função.

O perfil vinculado ao serviço AWSServiceRoleForAmazonSSM do Systems Manager pode ser usado para o seguinte:

  • A ferramenta Inventory do Systems Manager usa o perfil vinculado ao serviço AWSServiceRoleForAmazonSSM para coletar metadados de inventário de tags e grupos de recursos.

  • A ferramenta Explorer usa o perfil vinculado ao serviço AWSServiceRoleForAmazonSSM para habilitar a visualização de OpsData e OpsItems de várias contas. Essa função vinculada ao serviço do também permite que oExplorerpara criar uma regra gerenciada quando você habilita o Security Hub como uma fonte de dados doExplorerouOpsCenter.

Importante

Anteriormente, o console do Systems Manager permitia a você escolher o perfil AWSServiceRoleForAmazonSSM vinculado ao serviço do IAM gerenciado pela AWS para usar como perfil de manutenção para suas tarefas. O uso desse perfil e sua política associada, AmazonSSMServiceRolePolicy, para tarefas de janela de manutenção não é mais recomendado. Se estiver usando esse perfil para tarefas de janela de manutenção agora, recomendamos parar de usá-lo. Em vez disso, crie seu próprio perfil do IAM para permitir a comunicação entre o Systems Manager e outros Serviços da AWS quando as tarefas da janela de manutenção são executadas.

Para obter mais informações, consulte Configurar o Maintenance Windows.

A política gerida que é utilizada para fornecer permissões para oAWSServiceRoleForAmazonSSMfunção éAmazonSSMServiceRolePolicy. Para obter detalhes sobre as permissões necessárias, consulte Política gerenciada da AWS: AmazonSSMServiceRolePolicy.

Criar uma função vinculada ao serviço AWSServiceRoleForAmazonSSM para o Systems Manager

Você pode usar o console do IAM para criar uma função vinculada ao serviço com o caso de uso do EC2. Usando comandos para o IAM noAWS Command Line Interface(AWS CLI) ou usando a API do IAM, crie uma função vinculada ao serviço com ossm.amazonaws.comO nome do serviço. Para obter mais informações, consulte Criar um perfil vinculado a serviço no Guia do usuário do IAM.

Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta.

Editar uma função vinculada ao serviço AWSServiceRoleForAmazonSSM para o Systems Manager

O Systems Manager não permite que você edite a função vinculada a serviço AWSServiceRoleForAmazonSSM. Depois de criar uma função vinculada a serviço, você não poderá alterar o nome da função, já que várias entidades poderão fazer referência à função. No entanto, você poderá editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar um perfil vinculado ao serviço no Guia do usuário do IAM.

Excluir uma função vinculada ao serviço AWSServiceRoleForAmazonSSM para o Systems Manager

Se você não precisar mais usar um recurso ou serviço que exija uma função vinculada ao serviço, é recomendável exclui-la. Dessa forma, você não terá uma entidade não utilizada que não seja monitorada ativamente ou mantida. Também é possível usar o console do IAM, a AWS CLI ou a API do IAM para excluir manualmente a função vinculada ao serviço. Para isso, primeiro você deve limpar manualmente os recursos de sua função vinculada ao serviço e, em seguida, excluí-la manualmente.

Como o perfil vinculado ao serviço AWSServiceRoleForAmazonSSM pode ser usado por várias ferramentas, verifique se nenhum deles está usando o perfil antes de tentar excluí-lo.

  • Inventory: se você excluir o perfil vinculado ao serviço usado pela ferramenta Inventory, os dados do Inventory referentes a tags e grupos de recursos não serão mais sincronizados. Você deve limpar os recursos de sua função vinculada ao serviço antes de exclui-la manualmente.

  • Explorer: se você excluir o perfil vinculado ao serviço usado pela ferramenta Explorer, o OpsData entre contas e entre regiões e os OpsItems não serão mais visíveis.

nota

Se o serviço Systems Manager estiver usando o perfil quando você tentar excluir etiquetas ou grupos de recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Para excluir recursos do Systems Manager usados por AWSServiceRoleForAmazonSSM
  1. Para excluir etiquetas, consulte Adicionar e excluir etiquetas em um recurso individual.

  2. Para excluir grupos de recursos, consulte Excluir grupos do AWS Resource Groups.

Para excluir manualmente a função vinculada ao serviço AWSServiceRoleForAmazonSSM usando o IAM

Use o console do IAM, a AWS CLI ou a API do IAM para excluir a função vinculada ao serviço AWSServiceRoleForAmazonSSM. Para obter mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.

Regiões compatíveis com o perfil vinculado ao serviço AWSServiceRoleForAmazonSSM do Systems Manager

O Systems Manager é compatível com a função vinculadas ao serviço AWSServiceRoleForAmazonSSM em todas as Regiões da AWS em que o serviço está disponível. Para obter mais informações, consulte Endpoints e cotas do AWS Systems Manager.