Usar perfis para criar OpsData e OpsItems para o Explorer - AWS Systems Manager
Permissões de função vinculada ao serviço para sincronização de OpsData do Systems ManagerCriar uma função vinculada ao serviço AWSServiceRoleForSystemsManagerOpsDataSync para o Systems ManagerEditar uma função vinculada ao serviço AWSServiceRoleForSystemsManagerOpsDataSync para o Systems ManagerExcluir uma função vinculada ao serviço AWSServiceRoleForSystemsManagerOpsDataSync para o Systems ManagerRegiões compatíveis com o perfil vinculado ao serviço AWSServiceRoleForSystemsManagerOpsDataSync do Systems Manager

Usar perfis para criar OpsData e OpsItems para o Explorer

O Systems Manager usa a função vinculada ao serviço chamada AWSServiceRoleForSystemsManagerOpsDataSync, e o AWS Systems Manager usa esse perfil de serviço do IAM para o Explorer, visando criar o OpsData e OpsItems.

Permissões de função vinculada ao serviço para sincronização de OpsData do Systems Manager

A função vinculada ao serviço AWSServiceRoleForSystemsManagerOpsDataSync confia nos seguintes serviços para aceitar a função:

  • opsdatasync.ssm.amazonaws.com

A política de permissões da função permite que o Systems Manager conclua as seguintes ações nos recursos especificados:

  • O Systems Manager Explorer exige que uma função vinculada ao serviço conceda permissão para atualizar uma descoberta de segurança quando um OpsItem é atualizado, criar e atualizar um OpsItem, e desativar a origem dos dados do Security Hub quando uma regra gerenciada do SSM é excluída pelos clientes.

A política gerida que é utilizada para fornecer permissões para oAWSServiceRoleForSystemsManagerOpsDataSyncfunção éAWSSystemsManagerOpsDataSyncServiceRolePolicy. Para obter detalhes sobre as permissões necessárias, consulte Política gerenciada pela AWS: AWSSystemsManagerOpsDataSyncServiceRolePolicy.

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada a serviço. Para obter mais informações, consulte Permissões de perfil vinculado a serviços no Guia do usuário do IAM.

Criar uma função vinculada ao serviço AWSServiceRoleForSystemsManagerOpsDataSync para o Systems Manager

Não é necessário criar manualmente uma função vinculada a serviço. Quando você habilita o Explorer no AWS Management Console, o Systems Manager cria a função vinculada ao serviço para você.

Importante

Essa função vinculada ao serviço pode ser exibida em sua conta se você concluiu uma ação em outro serviço que usa os recursos compatíveis com essa função. Além disso, se você estava usando o serviço Systems Manager antes de 1º de janeiro de 2017, quando começou a oferecer suporte às funções vinculadas a serviços, o Systems Manager criou a função AWSServiceRoleForSystemsManagerOpsDataSync em sua conta. Para saber mais, consulte Uma nova função apareceu na minha conta do IAM.

Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você pode usar esse mesmo processo para recriar a função na sua conta. Quando você habilita o Explorer no AWS Management Console, o Systems Manager cria a função vinculada ao serviço novamente.

Você também pode usar o console do IAM para criar um perfil vinculado ao serviço com o caso de uso do perfil de serviço da AWS que permite que o Explorer crie OpsData e OpsItems. Na AWS CLI ou na API do AWS, crie um perfil vinculado a serviço com o nome de serviço opsdatasync.ssm.amazonaws.com. Para obter mais informações, consulte Criar um perfil vinculado a serviço no Guia do usuário do IAM. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.

Editar uma função vinculada ao serviço AWSServiceRoleForSystemsManagerOpsDataSync para o Systems Manager

O Systems Manager não permite que você edite a função vinculada a serviço AWSServiceRoleForSystemsManagerOpsDataSync. Depois de criar uma função vinculada a serviço, você não poderá alterar o nome da função, já que várias entidades poderão fazer referência à função. No entanto, você poderá editar a descrição do perfil usando o IAM. Para ter mais informações, consulte Editar um perfil vinculado ao serviço no Guia do usuário do IAM.

Excluir uma função vinculada ao serviço AWSServiceRoleForSystemsManagerOpsDataSync para o Systems Manager

Se você não precisar mais usar um atributo ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-la. Dessa forma, você não terá uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de sua função vinculada ao serviço antes de excluí-la manualmente.

nota

Se o serviço Systems Manager estiver usando a função quando você tenta excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

O procedimento para excluirSystems ManagerRecursos do usados peloAWSServiceRoleForSystemsManagerOpsDataSyncdepende se você configurouExplorerouOpsCenterPara integrar com o Security Hub.

Para excluir recursos do Systems Manager usados pela função AWSServiceRoleForSystemsManagerOpsDataSync

  • Para encerrarExplorerde criar novosOpsItemspara ver as descobertas do Security Hub,Como parar de receber descobertas.

  • Para impedir que o OpsCenter crie novos OpsItems para descobertas do Security Hub, consulte

Para excluir manualmente a função vinculada ao serviço AWSServiceRoleForSystemsManagerOpsDataSync usando o IAM

Use o console do IAM, a AWS CLI ou a API da AWS para excluir a função vinculada ao serviço AWSServiceRoleForSystemsManagerOpsDataSync. Para obter mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.

Regiões compatíveis com o perfil vinculado ao serviço AWSServiceRoleForSystemsManagerOpsDataSync do Systems Manager

O Systems Manager oferece suporte a funções vinculadas a serviços em todas as regiões nas quais o serviço estiver disponível. Para obter mais informações, consulte AWS Systems ManagerEndpoints e cotas.

O Systems Manager não oferece suporte ao uso de funções vinculadas a serviços em todas as regiões em que o serviço está disponível. Você pode usar a função AWSServiceRoleForSystemsManagerOpsDataSync nas seguintes regiões.

Nome do Região da AWS Identidade da região Suporte no Systems Manager
Leste dos EUA (Norte da Virgínia) us-east-1 Sim
Leste dos EUA (Ohio) us-east-2 Sim
Oeste dos EUA (Norte da Califórnia) us-west-1 Sim
Oeste dos EUA (Oregon) us-west-2 Sim
Ásia-Pacífico (Mumbai) ap-south-1 Sim
Asia Pacific (Osaka) ap-northeast-3 Sim
Ásia-Pacífico (Seul) ap-northeast-2 Sim
Ásia-Pacífico (Singapura) ap-southeast-1 Sim
Ásia-Pacífico (Sydney) ap-southeast-2 Sim
Ásia-Pacífico (Tóquio) ap-northeast-1 Sim
Canadá (Central) ca-central-1 Sim
Europa (Frankfurt) eu-central-1 Sim
Europa (Irlanda) eu-west-1 Sim
Europa (Londres) eu-west-2 Sim
Europa (Paris) eu-west-3 Sim
Europa (Estocolmo) eu-north-1 Sim
América do Sul (São Paulo) sa-east-1 Sim
AWS GovCloud (US) us-gov-west-1 Não