• Das AWS Systems Manager CloudWatch Dashboard wird nach dem 30. April 2026 nicht mehr verfügbar sein. Kunden können weiterhin die CloudWatch Amazon-Konsole verwenden, um ihre CloudWatch Amazon-Dashboards anzusehen, zu erstellen und zu verwalten, so wie sie es heute tun. Weitere Informationen finden Sie in der [Amazon CloudWatch Dashboard-Dokumentation](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Überwachung von Systems Manager-Statusänderungen mit Amazon SNS-Benachrichtigungen
Sie können Amazon Simple Notification Service (Amazon SNS) zum Senden von Benachrichtigungen über den Status der Befehle konfigurieren, die Sie mithilfe von Run Command oder Maintenance Windows, Tools in AWS Systems Manager, senden. Amazon SNS koordiniert und verwaltet das Senden und Zustellen von Benachrichtigungen an Clients oder Endpunkte, die Amazon SNS-Themen abonniert haben. Sie können eine Benachrichtigung erhalten, wenn ein Befehl in einen neuen Status oder in einen bestimmten Status wechselt, z. B. *Ausgefallen* oder *Timeout*. In Fällen, in denen Sie einen Befehl an mehrere Knoten senden, können Sie eine Benachrichtigung für jede Kopie des Befehls abrufen, die an einen bestimmten Knoten gesendet wurde. Jede Kopie wird als *Aufruf* bezeichnet.
Amazon SNS kann Benachrichtigungen als HTTP oder HTTPS POST, E-Mail (SMTP, entweder im Klartext oder im JSON-Format) oder als Nachricht, die an eine Amazon Simple Queue Service (Amazon SQS)-Queue gesendet wird, verschicken. Weitere Informationen finden Sie unter [Was ist Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/) im *Amazon Simple Notification Service-Entwicklerhandbuch*. Beispiele für die Struktur der JSON-Daten in der Amazon SNS-Benachrichtigung, die von Run Command und Maintenance Windows bereitgestellt wird, finden Sie unter [Beispiel für Amazon SNS SNS-Benachrichtigungen für AWS Systems Manager](monitoring-sns-examples.md).
**Wichtig**
Notieren Sie die folgenden wichtigen Informationen.
FIFO-Themen des Amazon Simple Notification Service werden nicht unterstützt.
Amazon Q Developer in Chat-Anwendungen wird für die Überwachung von Systems Manager mit Amazon SNS nicht unterstützt. Wenn Sie Amazon Q Developer in Chat-Anwendungen zur Überwachung von Systems Manager verwenden möchten, müssen Sie es mit Amazon verwenden EventBridge. Hinweise zur Überwachung von Systems Manager mithilfe von EventBridge Systems Manager finden Sie unter[Überwachung von Systems Manager Manager-Ereignissen mit Amazon EventBridge](monitoring-eventbridge-events.md). Informationen zu Amazon EventBridge und Amazon Q Developer in Chat-Anwendungen finden Sie unter [Tutorial: Erstellen einer EventBridge Regel, die Benachrichtigungen an Amazon Q Developer in Chat-Anwendungen sendet](https://docs.aws.amazon.com/chatbot/latest/adminguide/create-eventbridge-rule.html) im *Administratorhandbuch für Amazon Q Developer in Chat-Anwendungen*.
## Amazon SNS SNS-Benachrichtigungen konfigurieren für AWS Systems Manager
Run Command und Maintenance Windows-Aufgaben, die für ein Wartungsfenster registriert sind, können Amazon SNS-Benachrichtigungen zu Befehlsaufgaben senden, die in folgende Status wechseln:
+ In Bearbeitung
+ Herzlichen Glückwunsch
+ Fehlgeschlagen
+ Timed Out (Zeitüberschreitung)
+ Abgebrochen
Weitere Informationen über die Bedingungen, die dazu führen, dass ein Befehl in einen dieser Status wechselt, finden Sie unter [Grundlegendes zu Befehlsstatus](monitor-commands.md).
**Anmerkung**
Befehle, die mit Run Command gesendet wurden, melden auch die Status „Cancelling (Abbrechen)“ und „Pending (Ausstehend)“. Diese Status werden nicht von Amazon SNS-Benachrichtigungen erfasst.
### Amazon SNS-Benachrichtigungen
Wenn Sie Run Command oder eine Run Command-Aufgabe in Ihrem Wartungsfenster für Amazon SNS-Benachrichtigungen konfigurieren, sendet Amazon SNS zusammenfassende Nachrichten mit folgenden Informationen.
****
| Feld | Typ | Description |
| --- | --- | --- |
| eventTime | Zeichenfolge | Der Zeitpunkt, an dem das Ereignis initiiert wurde. Der Zeitstempel ist wichtig, weil Amazon SNS keine Garantie für die Reihenfolge der Nachrichtenzustellung übernimmt. Beispiel: 2016-04-26 T13:15:30Z |
| documentName | Zeichenfolge | Der Name des SSM-Dokuments, das zur Ausführung dieses Befehls verwendet wurde. |
| commandId | Zeichenfolge | Die von Run Command erstellte ID, nachdem der Befehl gesendet wurde. |
| expiresAfter | Date | Wenn diese Zeit erreicht ist und der Befehl noch nicht gestartet wurde, wird er nicht ausgeführt. |
| Ausgang S3BucketName | Zeichenfolge | Der Amazon Simple Storage Service (Amazon S3)-Bucket, in dem die Antworten auf die Befehlsausführung gespeichert werden sollten. |
| Ausgang S3KeyPrefix | Zeichenfolge | Der Amazon S3-Verzeichnispfad innerhalb des Buckets, in dem die Antworten auf die Befehlsausführung gespeichert werden sollten. |
| angefordert DateTime | Zeichenfolge | Die Uhrzeit und das Datum, an dem die Anforderung an diesen spezifischen Knoten gesendet wurde. |
| instanceIds | StringList | Die Knoten, auf die der Befehl abzielt hat. Instance-IDs sind nur in der zusammenfassenden Nachricht enthalten, wenn die Run Command-Aufgabe direkt auf Instance-IDs abzielt. Instance-IDs sind nicht Bestandteil der zusammenfassenden Nachricht, wenn die Run Command-Aufgabe mithilfe von Tag-basiertem Targeting ausgestellt wurde. |
| Status | Zeichenfolge | Befehlsstatus für den Befehl. |
### Invocation-based Amazon SNS SNS-Benachrichtigungen
Wenn Sie einen Befehl an mehrere Knoten senden, kann Amazon SNS Nachrichten über jede Kopie oder jeden Aufruf des Befehls senden. Die Nachrichten enthalten folgende Angaben.
****
| Feld | Typ | Description |
| --- | --- | --- |
| eventTime | Zeichenfolge | Der Zeitpunkt, an dem das Ereignis initiiert wurde. Der Zeitstempel ist wichtig, weil Amazon SNS keine Garantie für die Reihenfolge der Nachrichtenzustellung übernimmt. Beispiel: 2016-04-26 T13:15:30Z |
| documentName | Zeichenfolge | Der Name des System Manager-Dokuments (SSM-Dokument), das zur Ausführung dieses Befehls verwendet wurde. |
| angefordert DateTime | Zeichenfolge | Die Uhrzeit und das Datum, an dem die Anforderung an diesen spezifischen Knoten gesendet wurde. |
| commandId | Zeichenfolge | Die von Run Command erstellte ID, nachdem der Befehl gesendet wurde. |
| instanceId | Zeichenfolge | Die Instance, auf die der Befehl abzielt. |
| Status | Zeichenfolge | Befehlsstatus für diesen Aufruf. |
Um Amazon SNS-Benachrichtigungen einzurichten, wenn ein Befehl seinen Status ändert, führen Sie die folgenden Aufgaben aus.
**Anmerkung**
Wenn Sie keine Amazon SNS-Benachrichtigungen für Ihr Wartungsfenster konfigurieren, können Sie Aufgabe 5 weiter unten in diesem Thema überspringen.
**Topics**
+ [Amazon SNS-Benachrichtigungen](#monitoring-sns-configure-summary)
+ [Invocation-based Amazon SNS SNS-Benachrichtigungen](#monitoring-sns-configure-invocation)
+ [Aufgabe 1: Erstellen und Abonnieren eines Amazon SNS-Themas](#monitoring-configure-sns)
+ [Aufgabe 2: Erstellen einer IAM-Richtlinie für Amazon SNS-Benachrichtigungen](#monitoring-iam-policy)
+ [Aufgabe 3: Erstellen einer IAM-Role für Amazon SNS-Benachrichtigungen](#monitoring-iam-notifications)
+ [Aufgabe 4: Konfigurieren des Benutzerzugriffs](#monitoring-sns-passpolicy)
+ [Aufgabe 5: Hängen Sie die iam: PassRole -Richtlinie an Ihre Rolle im Wartungsfenster an](#monitoring-sns-passpolicy-mw)
### Aufgabe 1: Erstellen und Abonnieren eines Amazon SNS-Themas
Ein Amazon SNS-*Thema* ist ein Kommunikationskanal, über den Run Command und Run Command -Aufgaben, die in einem Wartungsfenster registriert sind, Benachrichtigungen über den Status Ihrer Befehle senden. Amazon SNS unterstützt verschiedene Kommunikationsprotokolle HTTP/S, darunter E-Mail und andere AWS-Services wie Amazon Simple Queue Service (Amazon SQS). Für den Anfang empfehlen wir, mit dem E-Mail-Protokoll anzufangen. Weitere Informationen zum Erstellen eines Themas finden Sie unter [Erstellen eines Amazon-SNS-Themas](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) im *Entwicklerhandbuch zu Amazon Simple Notification Service*.
**Anmerkung**
Nachdem Sie das Thema erstellt haben, kopieren oder notieren Sie sich die **Thema-ARN**. Sie legen diesen ARN fest, wenn Sie einen Befehl senden, der so konfiguriert wurde, dass er Statusbenachrichtigungen zurückgibt.
Nachdem Sie das Thema erstellt haben, abonnieren Sie es, indem Sie einen **Endpunkt** angeben. Wenn Sie das E-Mail-Protokoll gewählt haben, ist der Endpunkt die E-Mail-Adresse, an die Sie Benachrichtigungen erhalten möchten. Weitere Informationen zum Abonnieren eines Themas finden Sie unter [Abonnieren eines Amazon-SNS-Themas](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html) im *Entwicklerhandbuch zu Amazon Simple Notification Service*.
Amazon SNS sendet eine Bestätigungs-E-Mail von *AWS Notifications* an die von Ihnen angegebene E-Mail-Adresse. Öffnen Sie die E-Mail und wählen Sie den Link **Abonnement bestätigen** aus.
Sie erhalten eine Bestätigungsnachricht von. AWS Amazon SNS ist jetzt so konfiguriert, dass Benachrichtigungen empfangen und als E-Mail an die angegebene E-Mail-Adresse gesendet werden.
### Aufgabe 2: Erstellen einer IAM-Richtlinie für Amazon SNS-Benachrichtigungen
Gehen Sie wie folgt vor, um eine benutzerdefinierte Richtlinie AWS Identity and Access Management (IAM) zu erstellen, die Berechtigungen für die Initiierung von Amazon SNS SNS-Benachrichtigungen bereitstellt.
**So erstellen Sie eine benutzerdefinierte IAM-Richtlinie für Amazon SNS-Benachrichtigungen**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Richtlinien** und dann **Richtlinie erstellen**. (Wenn die Schaltfläche **Get Started (Erste Schritte)** angezeigt wird, klicken Sie darauf und wählen Sie anschließend **Create Policy (Richtlinie erstellen)** aus.)
1. Wählen Sie den Tab **JSON**.
1. Ersetzen Sie den Standardinhalt durch einen der folgenden Inhalte, je nachdem, ob das Amazon SNS SNS-Thema AWS KMS Verschlüsselung verwendet:
------
#### [ SNS topic not encrypted ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": "arn:aws:sns:{{us-east-1}}:{{111122223333}}:{{sns-topic-name}}"
}
]
}
```
------
{{region}}steht für die Kennung einer Region, die von AWS-Region unterstützt wird AWS Systems Manager, z. B. `us-east-2` für die Region USA Ost (Ohio). Eine Liste der unterstützten {{region}} Werte finden Sie in der Spalte **Region** der [Systems Manager Manager-Dienstendpunkte](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) in der *Allgemeine Amazon Web Services-Referenz*.
{{{{account-id}}}}steht für den 12-stelligen Bezeichner für Ihren AWS-Konto, im folgenden Format. `123456789012`
{{sns-topic-name}}steht für den Namen des Amazon SNS SNS-Themas, das Sie für die Veröffentlichung von Benachrichtigungen verwenden möchten.
------
#### [ SNS topic encrypted ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": "arn:aws:sns:{{us-east-1}}:{{111122223333}}:{{sns-topic-name}}"
},
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:{{us-east-1}}:{{111122223333}}:key/{{kms-key-id}}"
}
]
}
```
------
{{region}}steht für die Kennung einer Region, die von AWS-Region unterstützt wird AWS Systems Manager, z. B. `us-east-2` für die Region USA Ost (Ohio). Eine Liste der unterstützten {{region}} Werte finden Sie in der Spalte **Region** der [Systems Manager Manager-Dienstendpunkte](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) in der *Allgemeine Amazon Web Services-Referenz*.
{{{{account-id}}}}steht für den 12-stelligen Bezeichner für Ihren AWS-Konto, im folgenden Format. `123456789012`
{{sns-topic-name}}steht für den Namen des Amazon SNS SNS-Themas, das Sie für die Veröffentlichung von Benachrichtigungen verwenden möchten.
{{kms-key-id}}stellt die ID des KMS-Schlüssels für die symmetrische Verschlüsselung dar, der für AWS KMS die Verschlüsselung und Entschlüsselung des Themas verwendet werden soll, im folgenden Format. `1234abcd-12ab-34cd-56ef-12345EXAMPLE`
**Anmerkung**
Die Verwendung der Verschlüsselung ist kostenpflichtig. AWS KMS Weitere Informationen finden Sie unter [Verwalten von Amazon-SNS-Verschlüsselungsschlüsseln und Kosten](https://docs.aws.amazon.com/sns/latest/dg/sns-key-management.html) im *AWS Key Management Service -Entwicklerhandbuch*.
------
1. Wählen Sie **Weiter: Tags** aus.
1. (Optional) Fügen Sie ein oder mehrere Tag-Schlüssel-Wert-Paare hinzu, um den Zugriff für diese Richtlinie zu organisieren, zu verfolgen oder zu steuern.
1. Wählen Sie **Weiter: Prüfen** aus.
1. Geben Sie auf der Seite **Richtlinie prüfen** im Feld **Name** einen Namen für die Inline-Richtlinie ein. Beispiel: **my-sns-publish-permissions**.
1. (Optional) Geben Sie im Feld **Beschreibung** eine Beschreibung für die Richtlinie ein.
1. Wählen Sie **Richtlinie erstellen** aus.
### Aufgabe 3: Erstellen einer IAM-Role für Amazon SNS-Benachrichtigungen
Verwenden Sie das folgende Verfahren zum Erstellen einer IAM-Rolle für Amazon SNS-Benachrichtigungen. Diese Service-Rolle wird von Systems Manager verwendet, um Amazon SNS-Benachrichtigungen zu initiieren. In allen nachfolgenden Verfahren wird diese Rolle als Amazon SNS IAM-Rolle bezeichnet.
**So erstellen Sie eine IAM-Service-Rolle für Amazon SNS-Benachrichtigungen**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Klicken Sie im Navigationsbereich der IAM-Konsole auf **Rollen**, und wählen Sie dann **Rolle erstellen**.
1. Wählen Sie den **AWS-Service**-Rollentyp und dann Systems Manager aus.
1. Wählen Sie den Systems-Manager-Anwendungsfall aus. Wählen Sie anschließend **Weiter**.
1. Markieren Sie auf der Seite **Attach permissions policies (Richtlinien für Berechtigungen anfügen)** das Kontrollkästchen links neben dem Namen der benutzerdefinierten Richtlinie aus, die Sie in Aufgabe 2 erstellt haben. Beispiel: **my-sns-publish-permissions**.
1. (Optional) Legen Sie eine [Berechtigungsgrenze](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) fest. Dies ist ein erweitertes Feature, das für Servicerollen verfügbar ist, aber nicht für servicegebundene Rollen.
Öffnen Sie den Abschnitt **Permissions boundary** (Berechtigungsgrenze) und wählen Sie **Use a permissions boundary to control the maximum role permissions** (Eine Berechtigungsgrenze verwenden, um die maximalen Rollen-Berechtigungen zu steuern). IAM enthält eine Liste der AWS verwalteten und kundenverwalteten Richtlinien in Ihrem Konto. Wählen Sie die Richtlinie aus, die für die Berechtigungsgrenze verwendet werden soll, oder wählen **Create policy (Richtlinie erstellen)**, um eine neue Registerkarte im Browser zu öffnen und eine vollständig neue Richtlinie zu erstellen. Weitere Informationen finden Sie unter [Erstellen von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) im *IAM-Benutzerhandbuch*. Nachdem Sie die Richtlinie erstellt haben, schließen Sie diese Registerkarte und kehren Sie zu Ihrer ursprünglichen Registerkarte zurück, um die Richtlinie auszuwählen, die für die Berechtigungsgrenze verwendet werden soll.
1. Wählen Sie **Weiter** aus.
1. Geben Sie möglichst einen Rollennamen oder ein Rollennamen-Suffix ein, mit dem der Zweck dieser Rolle einfach zu erkennen ist. Rollennamen müssen innerhalb Ihres AWS-Konto-Kontos eindeutig sein. Sie werden nicht nach Groß- und Kleinschreibung unterschieden. z. B. können Sie keine Rollen erstellen, die **PRODROLE** bzw. **prodrole** heißen. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung nicht bearbeitet werden.
1. (Optional) Geben Sie unter **Role description** (Rollenbeschreibung) eine Beschreibung für die neue Rolle ein.
1. Wählen Sie in den Abschnitten **Step 1: Select trusted entities** (Schritt 1: Vertrauenswürdige Entitäten auswählen) oder **Step 2: Add permissions** (Schritt 2: Berechtigungen hinzufügen) die Option **Edit** (Bearbeiten), um die Anwendungsfälle und Berechtigungen für die Rolle zu bearbeiten.
1. (Optional) Fügen Sie dem Benutzer Metadaten hinzu, indem Sie Markierungen als Schlüssel-Wert-Paare anfügen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter [Markieren von IAM-Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) im *IAM-Benutzerhandbuch*.
1. Prüfen Sie die Rolle und klicken Sie dann auf **Rolle erstellen**.
1. Wählen Sie den Namen der Rolle und kopieren Sie dann oder notieren Sie sich den Wert der **Role ARN** (Rollen-ARN). Dieser Amazon-Ressourcenname (ARN) für die Rolle wird verwendet, wenn Sie einen Befehl senden, der so konfiguriert wurde, dass er Amazon-SNS-Benachrichtigungen zurückgibt.
1. Lassen Sie die Seite **Summary (Übersicht)** geöffnet.
### Aufgabe 4: Konfigurieren des Benutzerzugriffs
Wenn einer IAM-Entität (Benutzer, Rolle oder Gruppe) Administratorberechtigungen zugewiesen wurden, hat der Benutzer oder die Rolle Zugriff auf Run Command und Maintenance Windows, Tools in AWS Systems Manager.
Für Entitäten ohne Administratorrechte muss ein Administrator der IAM-Entität die folgenden Berechtigungen gewähren:
+ Die von `AmazonSSMFullAccess` verwaltete Richtlinie oder eine Richtlinie, die vergleichbare Berechtigungen bereitstellt.
+ `iam:PassRole`-Berechtigungen für die Rolle, die in [Aufgabe 3: Erstellen einer IAM-Role für Amazon SNS-Benachrichtigungen](#monitoring-iam-notifications) erstellt wurde. Beispiel:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::{{111122223333}}:role/{{sns-role-name}}",
"Condition": {
"StringEquals": {
"iam:PassedToService": "ssm.amazonaws.com"
}
}
}
]
}
```
------
Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
+ Benutzer und Gruppen in AWS IAM Identity Center:
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter [Erstellen eines Berechtigungssatzes](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
+ Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter [Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) im *IAM-Benutzerhandbuch*.
+ IAM-Benutzer:
+ Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter [Eine Rolle für einen IAM-Benutzer erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) im *IAM-Benutzerhandbuch*.
+ (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter [Hinzufügen von Berechtigungen zu einem Benutzer (Konsole)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
**So konfigurieren Sie Benutzerzugriff und fügen die Richtlinie `iam:PassRole` an ein Benutzerkonto an**
1. Wählen Sie im IAM-Navigationsbereich die Option **Users** (Benutzer) und anschließend das Benutzerkonto aus, das Sie konfigurieren möchten.
1. Prüfen Sie auf der Registerkarte **Permissions (Berechtigungen)** in der Richtlinienliste, ob entweder die **AmazonSSMFullAccess**-Richtlinie aufgeführt ist, oder ob es eine vergleichbare Richtlinie gibt, die dem Konto Berechtigungen für den Zugriff auf Systems Manager erteilt.
1. Wählen Sie **Inline-Richtlinie hinzufügen**.
1. Wählen Sie auf der Seite **Richtlinie erstellen** die Registerkarte **Visueller Editor** aus.
1. Wählen Sie **Choose a service** und dann ** IAM** aus.
1. Geben Sie für **Aktionen** in das Textfeld **Aktionen filtern** den Text ein**PassRole**, und aktivieren Sie dann das Kontrollkästchen neben **PassRole**.
1. Vergewissern Sie sich bei **Resources** (Ressourcen), dass **Specific** (spezifisch) ausgewählt ist, und wählen Sie dann **Add ARN** (ARN hinzufügen).
1. Fügen Sie im Feld **Specify ARN for role** (ARN für Rolle angeben) den ARN der Amazon SNS IAM-Rolle ein, den Sie am Ende von Aufgabe 3 kopiert haben. Das System füllt die Felder **Account (Konto)** und **Role name with path (Rollenname mit Pfad)** automatisch aus.
1. Wählen Sie **Hinzufügen** aus.
1. Wählen Sie **Richtlinie prüfen**.
1. Geben Sie auf der Seite **Review Policy** (Richtlinie überprüfen) einen Namen ein und wählen Sie anschließend **Create Policy** (Richtlinie erstellen) aus.
### Aufgabe 5: Hängen Sie die iam: PassRole -Richtlinie an Ihre Rolle im Wartungsfenster an
Wenn Sie eine Run Command-Aufgabe mit einem Wartungsfenster registrieren, geben Sie den Amazon-Ressourcennamen (ARN) einer Servicerolle an. Diese Servicerolle wird von Systems Manager zur Durchführung von Aufgaben verwendet, die beim Wartungsfenster registriert sind. Hängen Sie eine `iam:PassRole`-Richtlinie an die angegebene Wartungsfenster-Servicerolle an, um Amazon SNS-Benachrichtigungen für eine registrierte Run Command-Aufgabe zu konfigurieren Wenn Sie nicht beabsichtigen, die registrierte Aufgabe für Amazon SNS-Benachrichtigungen zu konfigurieren, können Sie diese Aufgabe überspringen.
Mithilfe der `iam:PassRole`-Richtlinie kann die Maintenance Windows-Servicerolle die in Aufgabe 3 erstellte IAM-Rolle an den Amazon SNS-Service übergeben. Das folgende Verfahren zeigt, wie die `iam:PassRole`-Richtlinie an die Maintenance Windows-Servicerolle angehängt wird.
**Anmerkung**
Verwenden Sie eine benutzerdefinierte Servicerolle für Wartungsfenster, um Benachrichtigungen mit Bezug zu den registrierten Run Command-Aufgaben zu senden. Weitere Informationen finden Sie unter [Einrichten von Maintenance Windows](setting-up-maintenance-windows.md).
Wenn Sie eine benutzerdefinierte Servicerolle für Wartungsfenster-Aufgaben erstellen müssen, finden Sie weitere Informationen dazu unter [Einrichten von Maintenance Windows](setting-up-maintenance-windows.md).
**Anhängen der `iam:PassRole`-Richtlinie an Ihre Maintenance Windows-Rolle**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich erst **Roles** (Rollen) und dann die in Aufgabe 3 erstellte Amazon SNS IAM-Rolle aus.
1. Kopieren oder notieren Sie den **Role ARN** (Rollen-ARN) und kehren Sie zum Abschnitt **Roles** (Rollen) der IAM-Konsole zurück.
1. Wählen Sie die benutzerdefinierte Maintenance Windows-Servicerolle aus, die Sie aus der Liste **Role name** (Rollennamen) erstellt haben.
1. Stellen Sie in der Registerkarte **Permissions** (Berechtigungen) sicher, dass entweder die `AmazonSSMMaintenanceWindowRole`-Richtlinie oder eine vergleichbare Richtlinie angegeben ist, durch die Wartungsfenster Berechtigungen für die Systems-Manager-API erhalten. Wenn dies nicht der Fall ist, wählen Sie **Berechtigungen hinzufügen, Richtlinien anfügen**, um sie anzufügen.
1. Wählen Sie **Berechtigungen hinzufügen, eingebundene Richtlinie erstellen**.
1. Wählen Sie die Registerkarte **Visual Editor (Visueller Editor)** aus.
1. Wählen Sie unter **Service** die Option **IAM** aus.
1. Geben Sie für **Aktionen** in das Textfeld **Aktionen filtern** den Text ein**PassRole**, und aktivieren Sie dann das Kontrollkästchen neben **PassRole**.
1. Wählen Sie unter **Resources (Ressourcen)**, die Option **Specific (Spezifisch)** und dann **Add ARN (ARN hinzufügen)**aus.
1. Fügen Sie im Feld **Specify ARN for role** (ARN für Rolle angeben) den ARN der in Aufgabe 3 erstellten Amazon SNS IAM-Rolle ein und wählen Sie dann **Add** (Hinzufügen) aus.
1. Wählen Sie **Richtlinie prüfen**.
1. Geben Sie auf der Seite **Richtlinie überprüfen** einen Namen für die `PassRole`-Richtlinie an und wählen Sie dann **Richtlinie erstellen** aus.