

• O AWS Systems Manager CloudWatch Dashboard não estará mais disponível a partir de 30 de abril de 2026. Os clientes podem continuar usando o console do Amazon CloudWatch para visualizar, criar e gerenciar os painéis do Amazon CloudWatch exatamente como fazem hoje. Para obter mais informações, consulte a [documentação do Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

# Monitorar alterações de status do Systems Manager usando as notificações do Amazon SNS
<a name="monitoring-sns-notifications"></a>

É possível configurar o Amazon Simple Notification Service (Amazon SNS) para enviar notificações sobre o status dos comandos que você envia usando o Run Command ou Maintenance Windows, ambos ferramentas do AWS Systems Manager. O Amazon SNS coordena e gerencia a entrega e o envio de notificações a clientes e endpoints que assinam tópicos do Amazon SNS. Você pode receber uma notificação sempre que um comando muda para um novo estado ou atinge um estado específico, como *Failed (Falha)* ou *Timed out (Tempo limite)*. Nos casos em que você envia um comando para vários nós, você pode receber uma notificação para cada cópia do comando enviado para um nó específico. Cada cópia é chamada de uma *invocação*.

O Amazon SNS pode entregar notificações como HTTP ou HTTPS POST, e-mail (SMTP, texto sem formatação ou no formato JSON) ou como uma mensagem postada em uma fila do Amazon Simple Queue Service (Amazon SQS). Para obter mais informações, consulte [O que é o Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/) no *Guia do desenvolvedor do Amazon Simple Notification Service*. Para obter exemplos da estrutura dos dados JSON incluídos na notificação do Amazon SNS fornecida pelo Run Command e Maintenance Windows, consulte [Exemplo de notificações do Amazon SNS para AWS Systems Manager](monitoring-sns-examples.md).

**Importante**  
Observe as seguintes informações importantes:  
Não há suporte para tópicos FIFO do Amazon Simple Notification Service.
O Amazon Q Developer em aplicações de chat não é compatível com o monitoramento do Systems Manager com o Amazon SNS. Caso deseje usar o Amazon Q Developer para monitorar o Systems Manager, será necessário usá-lo com o Amazon EventBridge. Para obter informações sobre como monitorar o Systems Manager usando o EventBridge, consulte [Monitorar eventos do Systems Manager com o Amazon EventBridge](monitoring-eventbridge-events.md). Para obter informações sobre o Amazon EventBridge e o Amazon Q Developer em aplicações de chat, consulte [Tutorial: criação de uma regra do EventBridge que envia notificações para o Amazon Q Developer em aplicações de chat](https://docs.aws.amazon.com/chatbot/latest/adminguide/create-eventbridge-rule.html) no *Guia do administrador do Amazon Q Developer em aplicações de chat*.

## Configurar notificações do Amazon SNS para o AWS Systems Manager
<a name="monitoring-sns-configure"></a>

As tarefas Run Command e Maintenance Windows, registradas para uma janela de manutenção, podem enviar notificações do Amazon SNS para tarefas de comando que entram nos seguintes status: 
+ Em andamento
+ Bem-sucedida
+ Failed
+ Timed Out
+ Cancelado

Para obter informações sobre as condições que fazem com que um comando entre em um desses status, consulte [Noções básicas sobre status de comando](monitor-commands.md).

**nota**  
Os comandos enviados usando o Run Command também relatam o status Cancelando e Pendente. Esses status não são capturados pelas notificações do Amazon SNS.

### Notificações do Amazon SNS de resumo de comandos
<a name="monitoring-sns-configure-summary"></a>

Se você configurar o Run Command ou uma tarefa do Run Command na janela de manutenção para notificações do Amazon SNS, o Amazon SNS enviará mensagens de resumo que incluem as informações a seguir.


****  

| Campo | Tipo | Descrição | 
| --- | --- | --- | 
| eventTime | String | A hora em que o evento foi iniciado. O carimbo de hora é importante, pois o Amazon SNS não garante a ordem de entrega das mensagens. Exemplo: 2016-04-26T13:15:30Z  | 
| documentName | String | O nome do documento do SSM usado para executar esse comando. | 
| commandId | String | O ID gerado pelo Run Command após o envio do comando. | 
| expiresAfter | Data | Se esse tempo for atingido e o comando ainda não tiver iniciado a execução, ele não executará.  | 
| outputS3BucketName | String | O bucket do Amazon Simple Storage Service (Amazon S3) em que respostas para a execução do comando devem ser armazenadas. | 
| outputS3KeyPrefix | String | O caminho de diretório do Amazon S3 dentro do bucket no qual as respostas para a execução do comando devem ser armazenadas. | 
| requestedDateTime | String | A data e a hora em que a solicitação foi enviada para esse nó específico. | 
| instanceIds | StringList | Os nós que foram selecionados pelo comando. Os IDs de instância só serão incluídos na mensagem de resumo se a tarefa do Run Command direcionar IDs de instância diretamente. Os IDs de instância não serão incluídos na mensagem de resumo se a tarefa Run Command tiver sido emitida usando o direcionamento com base em tags.  | 
| status | String | Status do comando para o comando. | 

### Notificações do Amazon SNS com base em invocação
<a name="monitoring-sns-configure-invocation"></a>

Se você enviar um comando para vários nós, o Amazon SNS poderá enviar mensagens sobre cada cópia ou invocação desse comando. As mensagens incluem as seguintes informações.


****  

| Campo | Tipo | Descrição | 
| --- | --- | --- | 
| eventTime | String | A hora em que o evento foi iniciado. O carimbo de hora é importante, pois o Amazon SNS não garante a ordem de entrega das mensagens. Exemplo: 2016-04-26T13:15:30Z  | 
| documentName | String | O nome do documento SSM usado para executar esse comando. | 
| requestedDateTime | String | A data e a hora em que a solicitação foi enviada para esse nó específico. | 
| commandId | String | O ID gerado pelo Run Command após o envio do comando. | 
| instanceId | String | A instância que foi direcionada pelo comando. | 
| status | String | Status do comando para essa invocação. | 

Para configurar notificações do Amazon SNS quando um comando mudar de status, conclua as tarefas a seguir.

**nota**  
Se você não estiver configurando notificações do Amazon SNS para sua janela de manutenção, poderá ignorar a Tarefa 5 apresentada posteriormente neste tópico.

**Topics**
+ [Notificações do Amazon SNS de resumo de comandos](#monitoring-sns-configure-summary)
+ [Notificações do Amazon SNS com base em invocação](#monitoring-sns-configure-invocation)
+ [Tarefa 1: Criar e assinar um tópico do Amazon SNS](#monitoring-configure-sns)
+ [Tarefa 2: Criar uma política do IAM para notificações do Amazon SNS](#monitoring-iam-policy)
+ [Tarefa 3: Criar uma função do IAM para notificações do Amazon SNS](#monitoring-iam-notifications)
+ [Tarefa 4: Configurar o acesso do usuário](#monitoring-sns-passpolicy)
+ [Tarefa 5: Anexar a política iam:PassRole à função da janela de manutenção](#monitoring-sns-passpolicy-mw)

### Tarefa 1: Criar e assinar um tópico do Amazon SNS
<a name="monitoring-configure-sns"></a>

Um *tópico* do Amazon SNS é um canal de comunicação que o Run Command e as tarefas do Run Command registradas em uma janela de manutenção usam para enviar notificações sobre o status dos comandos. O Amazon SNS é compatível com diferentes protocolos de comunicação, incluindo HTTP/S, e-mail e outros Serviços da AWS, como o Amazon Simple Queue Service (Amazon SQS). Para começar rapidamente, recomendamos que você comece com o protocolo de e-mail. Para obter informações sobre como criar um tópico, consulte [Criar um tópico do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) no *Guia do desenvolvedor do Amazon Simple Notification Service*.

**nota**  
Depois de criar o tópico, copie ou anote o **ARN do tópico**. Você especifica esse ARN ao enviar um comando que esteja configurado para retornar notificações de status.

Após criar o tópico, inscreva-se nele especificando um **Endpoint**. Se você selecionou o protocolo de e-mail, o endpoint é o endereço de e-mail no qual você deseja receber notificações. Para obter mais informações sobre como se inscrever em um tópico, consulte [Inscrever-se em um tópico do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html) no *Guia do desenvolvedor do Amazon Simple Notification Service*.

O Amazon SNS envia um e-mail de confirmação de *Notificações AWS* para o endereço de e-mail que você especificar. Abra o e-mail e selecione o link **Confirm subscription (Confirmar assinatura)**.

Você receberá uma mensagem de confirmação da AWS. O Amazon SNS agora está configurado para receber notificações e enviar a notificação como um e-mail para o endereço de e-mail que você especificou.

### Tarefa 2: Criar uma política do IAM para notificações do Amazon SNS
<a name="monitoring-iam-policy"></a>

Use o procedimento a seguir para criar uma política personalizada do AWS Identity and Access Management (IAM) que forneça permissões para acionar notificações do Amazon SNS.

**Para criar uma política do IAM personalizada SNS para notificações do Amazon SNS**

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Policies** e, em seguida, **Create Policy**. (Se aparecer um botão **Get Started**, selecione-o e, em seguida, clique em **Create Policy**).

1. Selecione a guia **JSON**.

1. Substitua o conteúdo padrão por um dos seguintes, dependendo se o tópico do Amazon SNS usa a criptografia do AWS KMS:

------
#### [ SNS topic not encrypted ]

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "sns:Publish"
               ],
               "Resource": "arn:aws:sns:{{us-east-1}}:{{111122223333}}:{{sns-topic-name}}"
           }
       ]
   }
   ```

------

   A {{região}} representa o identificador da região para uma região da Região da AWS compatível com o AWS Systems Manager, como `us-east-2` para a região Leste dos EUA (Ohio). Para ver uma lista dos valores de {{região}} com suporte, consulte a coluna **Region** em [Systems Manager service endpoints](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) no *Referência geral da Amazon Web Services*.

   {{{{account-id}}}} representa o identificador de 12 dígitos para a Conta da AWS, no formato `123456789012`. 

   {{sns-topic-name}} representa o nome do tópico do Amazon SNS que você deseja usar para publicar notificações.

------
#### [ SNS topic encrypted ]

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "sns:Publish"
               ],
               "Resource": "arn:aws:sns:{{us-east-1}}:{{111122223333}}:{{sns-topic-name}}"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "kms:GenerateDataKey",
                   "kms:Decrypt"
               ],
               "Resource": "arn:aws:kms:{{us-east-1}}:{{111122223333}}:key/{{kms-key-id}}"
           }
       ]
   }
   ```

------

   A {{região}} representa o identificador da região para uma região da Região da AWS compatível com o AWS Systems Manager, como `us-east-2` para a região Leste dos EUA (Ohio). Para ver uma lista dos valores de {{região}} com suporte, consulte a coluna **Region** em [Systems Manager service endpoints](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) no *Referência geral da Amazon Web Services*.

   {{{{account-id}}}} representa o identificador de 12 dígitos para a Conta da AWS, no formato `123456789012`. 

   {{sns-topic-name}} representa o nome do tópico do Amazon SNS que você deseja usar para publicar notificações.

   {{kms-key-id}} representa o ID da chave do KMS de criptografia simétrica no AWS KMS a ser usada para criptografar e descriptografar o tópico, no formato `1234abcd-12ab-34cd-56ef-12345EXAMPLE`.

**nota**  
Há uma taxa pelo uso da criptografia do AWS KMS. Para obter mais informações, consulte [Managing Amazon SNS encryption keys and costs](https://docs.aws.amazon.com/sns/latest/dg/sns-key-management.html) no *Guia do desenvolvedor do AWS Key Management Service*.

------

1. Escolha **Próximo: etiquetas**.

1. (Opcional) Adicione um ou mais pares de chave-valor de etiqueta para organizar, monitorar ou controlar acesso para essa política. 

1. Escolha **Próximo: revisar**.

1. Na página **Revisar política**, em **Nome**, digite um nome para a política em linha. Por exemplo: **my-sns-publish-permissions**.

1. (Opcional) Em **Descrição**, digite uma descrição para a política.

1. Escolha **Criar política**.

### Tarefa 3: Criar uma função do IAM para notificações do Amazon SNS
<a name="monitoring-iam-notifications"></a>

Use o procedimento a seguir para criar uma função de serviço do IAM para notificações do Amazon SNS. Essa função de serviço é usada pelo Systems Manager para iniciar notificações do Amazon SNS. Em todos os procedimentos subsequentes, essa função é chamada de função do IAM do Amazon SNS.

**Para criar uma função de serviço do IAM para notificações do Amazon SNS**

1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação do console do IAM, escolha **Perfis** e, em seguida, **Criar perfil**.

1. Escolha o tipo de perfil de **AWS service (Serviço da AWS)** e, em seguida, selecione o Systems Manager.

1. Escolha o caso de uso do Systems Manager. Em seguida, escolha **Próximo**.

1. Na página **Attach permissions policies (Anexar políticas de permissões)**, marque a caixa à esquerda do nome da política personalizada criada na Tarefa 2. Por exemplo: **my-sns-publish-permissions**.

1. (Opcional) Defina um [limite de permissões](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html). Esse é um atributo avançado que está disponível para perfis de serviço, mas não para perfis vinculados ao serviço. 

   Expanda a seção **Limite de permissões** e escolha **Usar um limite de permissões para controlar o número máximo de permissões de funções**. O IAM inclui uma lista das políticas gerenciadas pela AWS e pelo cliente em sua conta. Selecione a política a ser usada para o limite de permissões ou escolha **Criar política** para abrir uma nova guia no navegador e criar uma nova política a partir do zero. Para obter mais informações, consulte [Criar políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) no *Guia do usuário do IAM*. Depois de criar a política, feche essa guia e retorne à guia original para selecionar a política a ser usada para o limite de permissões.

1. Escolha **Próximo**.

1. Se possível, insira um nome de função ou sufixo de nome de função para ajudar a identificar o propósito desta função. Os nomes de função devem ser exclusivos em sua Conta da AWS. Eles não são diferenciados por letras maiúsculas e minúsculas. Por exemplo, não é possível criar perfis denominados **PRODROLE** e **prodrole**. Como várias entidades podem fazer referência à função, não é possível editar o nome da função depois que ela é criada.

1. (Opcional) Em **Descrição da função**, insira uma descrição para a nova função.

1. Selecione **Editar** nas seções **Etapa 1: selecionar entidades confiáveis** ou **Etapa 2: selecionar permissões** para editar os casos de uso e as permissões para a função. 

1. (Opcional) Adicione metadados ao usuário anexando tags como pares de chave-valor. Para obter mais informações sobre o uso de tags no IAM, consulte [Marcar recursos do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) no *Guia do usuário do IAM*.

1. Revise a função e escolha **Criar função**.

1. Escolha o nome da função e depois copie ou anote o valor do **Role ARN** (ARN da função). Esse nome do recurso da Amazon (ARN) para a função é usado quando você envia um comando que foi configurado para retornar notificações do Amazon SNS.

1. A página **Summary** (Resumo) é aberta.

### Tarefa 4: Configurar o acesso do usuário
<a name="monitoring-sns-passpolicy"></a>

Se uma entidade do IAM (usuário, perfil ou grupo) receber permissões de administrador, o usuário ou o perfil terá acesso a Run Command e Maintenance Windows, que são ferramentas do AWS Systems Manager.

Para entidades que não têm permissões de administrador, um administrador deve conceder as permissões a seguir à entidade do IAM:
+ A política gerenciada `AmazonSSMFullAccess` ou uma política que forneça permissões comparáveis.
+ As permissões `iam:PassRole` para o perfil criado em [Tarefa 3: Criar uma função do IAM para notificações do Amazon SNS](#monitoring-iam-notifications). Por exemplo:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::{{111122223333}}:role/{{sns-role-name}}",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "ssm.amazonaws.com"
                }
            }
        }
    ]
}
```

------

Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
+ Usuários e grupos no Centro de Identidade do AWS IAM:

  Crie um conjunto de permissões. Siga as instruções em [Criação de um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) no *Guia do usuário do Centro de Identidade do AWS IAM*.
+ Usuários gerenciados no IAM com provedor de identidades:

  Crie um perfil para a federação de identidades. Siga as instruções em [Criando um perfil para um provedor de identidades de terceiros (federação)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) no *Guia do Usuário do IAM*.
+ Usuários do IAM:
  + Crie um perfil que seu usuário possa assumir. Siga as instruções em [Criação de um perfil para um usuário do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) no *Guia do usuário do IAM*.
  + (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em [Adição de permissões a um usuário (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.

**Para configurar acesso de usuário e anexar a política `iam:PassRole` a uma conta de usuário**

1. No painel de navegação do IAM, escolha **Users** (Usuários) e selecione a conta de usuário que deseja configurar.

1. Na guia **Permissions** (Permissões), na lista de políticas, verifique se a política **AmazonSSMFullAccess** está listada ou se existe uma política comparável que conceda à conta permissão para acessar o Systems Manager.

1. Escolha **Add inline policy** (Adicionar política em linha).

1. Na página **Create policy** (Criar política), selecione a guia **Visual editor** (Editor visual).

1. Selecione **Choose a service** (Escolher um serviço) e, em seguida, **IAM**.

1. Para **Actions** (Ações), na caixa de texto **Filter actions** (Filtrar ações), insira **PassRole** e selecione a caixa de verificação ao lado de **PassRole**.

1. Em **Resources** (Recursos), verifique se **Specific** (Específico) está selecionado e, em seguida, selecione **Add ARN** (Adicionar ARN).

1. No campo **Specify ARN for role** (Especificar ARN para função), cole o ARN da função do IAM do Amazon SNS que você copiou no final da Tarefa 3. O sistema preenche automaticamente os campos **Account (Conta)** e **Role name with path (Nome de função com caminho)**.

1. Escolha **Add** (Adicionar).

1. Escolha **Review policy** (Revisar política).

1. Na página **Review Policy** (Revisar política), insira um nome e depois escolha **Create Policy** (Criar política).

### Tarefa 5: Anexar a política iam:PassRole à função da janela de manutenção
<a name="monitoring-sns-passpolicy-mw"></a>

Ao registrar uma tarefa do Run Command em uma janela de manutenção, você especifica o nome de recurso da Amazon (ARN) de uma função de serviço. Essa função de serviço é usada pelo Systems Manager para executar tarefas registradas para a janela de manutenção. Para configurar notificações do Amazon SNS para uma tarefa registrada do Run Command, anexe uma política `iam:PassRole` à função de serviço da janela de manutenção especificada. Se você não pretende configurar a tarefa registrada para notificações do Amazon SNS, essa tarefa pode ser ignorada.

A política `iam:PassRole` permite que a função de serviço do Maintenance Windows transmita a função do IAM do Amazon SNS criada na Tarefa 3 ao serviço Amazon SNS. O procedimento a seguir mostra como anexar a política `iam:PassRole` à função de serviço do Maintenance Windows.

**nota**  
Use uma função de serviço personalizada para sua janela de manutenção para enviar notificações relacionadas às tarefas do Run Command registradas. Para mais informações, consulte [Configurar o Maintenance Windows](setting-up-maintenance-windows.md).  
Se for necessário criar um perfil de serviço personalizado para tarefas de janela de manutenção, consulte [Configurar o Maintenance Windows](setting-up-maintenance-windows.md).

**Para anexar sua política `iam:PassRole` à função do Maintenance Windows**

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação, escolha **Roles** (Funções) e selecione a função do IAM do Amazon SNS criada na Tarefa 3.

1. Copie ou anote o **Role ARN** (ARN da função) e retorne à seção **Roles** (Funções) do console do IAM.

1. Selecione a função de serviço personalizada Maintenance Windows que você criou na lista **Role name** (Nome da função).

1. Na guia **Permissions** (Permissões), verifique se a política `AmazonSSMMaintenanceWindowRole` está listada ou se existe uma política comparável que dê permissão de janelas de manutenção à API do Systems Manager. Se não estiver, escolha **Adicionar permissões, Anexar políticas** para anexá-la.

1. Escolha **Add permissions, Create inline policy** (Adicionar permissões, Criar política em linha).

1. Selecione a guia **Visual Editor** (Editor visual).

1. Para **Service** (Serviço), selecione **IAM**.

1. Para **Actions** (Ações), na caixa de texto **Filter actions** (Filtrar ações), insira **PassRole** e selecione a caixa de verificação ao lado de **PassRole**.

1. Em **Resources (Recursos)**, escolha **Specific (Específico)** e **Add ARN (Adicionar ARN)**.

1. Na caixa **Specify ARN for role** (Especificar ARN para função), cole o ARN da função do IAM do Amazon SNS criada na Tarefa 3 e escolha **Add** (Adicionar).

1. Selecione **Revisar política**.

1. Na página **Revisar política**, especifique um nome para a política `PassRole` e, em seguida, escolha **Criar política**.