• El panel de AWS Systems Manager CloudWatch dejará de estar disponible después del 30 de abril de 2026. Los clientes pueden seguir utilizando la consola de Amazon CloudWatch para ver, crear y administrar sus paneles de Amazon CloudWatch, tal y como lo hacen actualmente. Para obtener más información, consulte la [documentación del panel de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

# Cambio al acceso a los nodos justo a tiempo desde Session Manager
<a name="systems-manager-just-in-time-node-access-moving-from-session-manager"></a>

Al habilitar el acceso a los nodos justo a tiempo, Systems Manager no realiza ningún cambio en los recursos existentes para Session Manager. Esto garantiza que no haya interrupciones en su entorno existente y que los usuarios puedan seguir iniciando sesión mientras usted crea y valida las políticas de aprobación. Una vez que desee probar las políticas de aprobación, debe modificar las políticas de IAM existentes para completar la transición al acceso a los nodos justo a tiempo. Esto implica añadir a las identidades los permisos necesarios para el acceso a los nodos justo a tiempo y eliminar el permiso para el funcionamiento de la API de `StartSession` para Session Manager. Recomendamos probar las políticas de aprobación con un subconjunto de identidades y nodos en una Cuenta de AWS y Región de AWS.

Para obtener más información acerca de los permisos necesarios para el acceso a los nodos justo a tiempo, consulte [Cómo configurar acceso justo a tiempo con Systems Manager](systems-manager-just-in-time-node-access-setting-up.md).

Para obtener más información sobre cómo modificar y asignar los permisos a una entidad principal de IAM, consulte [Adición y eliminación de permisos de identidad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) en la *Guía del usuario de IAM*.

A continuación, se detalla un método para pasar al acceso a los nodos justo a tiempo desde Session Manager.

Pasar de Session Manager al acceso a los nodos justo a tiempo requiere de una planificación y pruebas cuidadosas para garantizar una transición fluida sin interrumpir sus operaciones. En las siguientes secciones, se describe cómo puede completar este proceso.

## Requisitos previos
<a name="migration-prerequisites"></a>

Antes de comenzar, asegúrese de haber realizado las siguientes tareas:
+ Configuró la consola unificada de Systems Manager.
+ Verificó que tiene permisos para modificar las políticas de IAM en la cuenta.
+ Identificó todas las políticas y roles de IAM que actualmente otorgan permisos de Session Manager.
+ Documentó la configuración actual de Session Manager, incluidas las preferencias de sesión y los ajustes de registro.

## Evaluación
<a name="environment-assessment"></a>

Evalúe el entorno actual y realice las siguientes acciones para describir los comportamientos de aprobación deseados:

1. **Haga un inventario de los nodos**: identifique todos los nodos a los que los usuarios acceden actualmente a través de Session Manager.

1. **Identifique los patrones de acceso de los usuarios**: documente qué usuarios o roles necesitan acceder a qué nodos y en qué circunstancias.

1. **Trace los flujos de trabajo de aprobación**: determine quién debe aprobar las solicitudes de acceso para los distintos tipos de nodos.

1. **Revise la estrategia de etiquetado**: asegúrese de que los nodos estén correctamente etiquetados para respaldar las políticas de aprobación planificadas.

1. **Audite las políticas de IAM existentes**: identifique todas las políticas que incluyen permisos de Session Manager.

## Planificación
<a name="migration-planning"></a>

### Estrategia por fases
<a name="migration-planning-strategy"></a>

Al pasar de Session Manager al acceso a los nodos justo a tiempo, recomendamos utilizar un enfoque por fases, como el siguiente:

1. **Fase 1, ajustes y configuración**: habilite el acceso a los nodos justo a tiempo sin modificar los permisos de Session Manager existentes.

1. **Fase 2, desarrollo de políticas**: cree y pruebe políticas de aprobación para los nodos.

1. **Fase 3, migración piloto**: modifique un pequeño grupo de nodos no críticos, usuarios o roles de Session Manager para que admitan el acceso a los nodos justo a tiempo.

1. **Fase 4, migración completa**: migre gradualmente todos los nodos, usuarios o roles restantes.

### Consideraciones sobre el cronograma
<a name="migration-planning-timeline"></a>

Considere los siguientes factores al crear su cronograma para pasar de Session Manager al acceso a los nodos justo a tiempo:
+ Dedique tiempo a la capacitación de los usuarios y a su adaptación al nuevo flujo de trabajo de aprobación.
+ Programe las migraciones durante los periodos de menor actividad operativa.
+ Incluya tiempo adicional para la resolución de problemas y los ajustes.
+ Planifique un periodo de funcionamiento paralelo en el que ambos sistemas estén disponibles.

## Pasos para la implementación
<a name="migration-implementation"></a>

### Fase 1: ajustes y configuración
<a name="migration-implementation-phase1"></a>

1. Habilite el acceso a los nodos justo a tiempo en la consola de Systems Manager. Para ver los pasos detallados, consulte [Cómo configurar acceso justo a tiempo con Systems Manager](systems-manager-just-in-time-node-access-setting-up.md).

1. Configure las preferencias de sesión para el acceso a los nodos justo a tiempo a fin de que coincidan con los ajustes actuales de Session Manager. Para obtener más información, consulte [Cómo actualizar las preferencias de sesión de acceso a los nodos justo a tiempo](systems-manager-just-in-time-node-access-session-preferences.md).

1. Configure las preferencias de notificación para las solicitudes de acceso. Para obtener más información, consulte [Cómo configurar las notificaciones para las solicitudes de acceso justo a tiempo](systems-manager-just-in-time-node-access-notifications.md).

1. Si utiliza conexiones con el protocolo para escritorios remotos (RDP) a nodos de Windows Server, configure la grabación RDP. Para obtener más información, consulte [Cómo grabar conexiones RDP](systems-manager-just-in-time-node-access-rdp-recording.md).

### Fase 2: desarrollo de políticas
<a name="migration-implementation-phase2"></a>

1. Cree políticas de IAM para los administradores del acceso a los nodos justo a tiempo y los usuarios.

1. Desarrolle políticas de aprobación basadas en sus requisitos de seguridad y caso de uso.

1. Pruebe las políticas en un entorno que no sea de producción para asegurarse de que funcionen como se espera.

### Fase 3: migración piloto
<a name="migration-implementation-phase3"></a>

1. Seleccione un pequeño grupo de usuarios y nodos no críticos para la prueba piloto.

1. Cree nuevas políticas de IAM para los usuarios piloto que incluyan permisos de acceso a los nodos justo a tiempo.

1. Elimine los permisos de Session Manager (`ssm:StartSession`) de las políticas de IAM de los usuarios piloto.

1. Capacite a los usuarios piloto sobre el nuevo flujo de trabajo de solicitudes de acceso.

1. Supervise el piloto para detectar problemas y recopile comentarios.

1. Ajuste las políticas y los procedimientos en función de los resultados del piloto.

**Ejemplo de modificación de la política de IAM para los usuarios piloto**  
Política original con permisos de Session Manager:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:StartSession",
        "ssm:ResumeSession",
        "ssm:TerminateSession"
      ],
      "Resource": "*"
    }
  ]
}
```

------

Política modificada para el acceso a los nodos justo a tiempo:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:StartAccessRequest",
        "ssm:GetAccessToken",
        "ssm:ResumeSession",
        "ssm:TerminateSession"
      ],
      "Resource": "*"
    }
  ]
}
```

------

### Fase 4: migración completa
<a name="migration-implementation-phase4"></a>

Desarrolle un cronograma para migrar los usuarios y nodos restantes en lotes.

## Metodología de pruebas
<a name="migration-testing"></a>

Durante todo el proceso de migración, realice las siguientes pruebas:
+ **Validación de las políticas**: verifique que las políticas de aprobación se apliquen correctamente a los nodos y usuarios previstos.
+ **Flujo de trabajo de la solicitud de acceso**: pruebe el flujo de trabajo completo, desde la solicitud de acceso hasta el establecimiento de la sesión, tanto para situaciones de aprobación automática como de aprobación manual.
+ **Notificaciones**: verifique que los aprobadores reciban las notificaciones a través de los canales configurados (correo electrónico, Slack, Microsoft Teams).
+ **Registro y supervisión**: verifique que los registros de las sesiones y las solicitudes de acceso se capturan y almacenan correctamente.

## Prácticas recomendadas para una migración exitosa
<a name="migration-best-practices"></a>
+ **Comunicación a tiempo y frecuente**: informe a los usuarios sobre el cronograma de migración y las ventajas del acceso a los nodos justo a tiempo.
+ **Comience con sistemas no críticos**: inicie la migración con entornos de desarrollo o prueba antes de pasar a la producción.
+ **Documente todo**: mantenga registros detallados de las políticas de aprobación, los cambios en las políticas de IAM y los ajustes en la configuración.
+ **Supervise y ajuste**: supervise continuamente las solicitudes de acceso y los flujos de trabajo de aprobación, y ajuste las políticas según sea necesario.
+ **Establezca la gobernanza**: cree un proceso para revisar y actualizar periódicamente las políticas de aprobación a medida que cambie el entorno.