

• AWS Systems Manager CloudWatch Dasbor tidak akan lagi tersedia setelah 30 April 2026. Pelanggan dapat terus menggunakan CloudWatch konsol Amazon untuk melihat, membuat, dan mengelola CloudWatch dasbor Amazon mereka, seperti yang mereka lakukan hari ini. Untuk informasi selengkapnya, lihat [dokumentasi CloudWatch Dasbor Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Buat peran layanan IAM yang diperlukan untuk Systems Manager di lingkungan hybrid dan multicloud
<a name="hybrid-multicloud-service-role"></a>

Non-EC2 Mesin (Amazon Elastic Compute Cloud) dalam lingkungan [hybrid dan multicloud](operating-systems-and-machine-types.md#supported-machine-types) memerlukan peran layanan AWS Identity and Access Management (IAM) untuk berkomunikasi dengan layanan. AWS Systems Manager Memberikan kepercayaan peran AWS Security Token Service (AWS STS)[https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) untuk layanan Systems Manager. Anda hanya perlu membuat peran layanan untuk lingkungan hybrid dan multicloud sekali untuk masing-masing. Akun AWS Namun, Anda dapat memilih untuk membuat beberapa peran layanan untuk aktivasi hibrida yang berbeda jika mesin di lingkungan hybrid dan multicloud Anda memerlukan izin yang berbeda.

Prosedur berikut menjelaskan cara membuat peran layanan yang diperlukan menggunakan konsol Systems Manager atau alat baris perintah pilihan Anda.

## Menggunakan Konsol Manajemen AWS untuk membuat peran layanan IAM untuk aktivasi hybrid Systems Manager
<a name="create-service-role-hybrid-activation-console"></a>

Gunakan prosedur berikut untuk membuat peran layanan untuk aktivasi hibrida. Prosedur ini menggunakan `AmazonSSMManagedInstanceCore` kebijakan untuk fungsionalitas inti Systems Manager. Bergantung pada kasus penggunaan, Anda mungkin perlu menambahkan kebijakan tambahan ke peran layanan agar mesin lokal dapat mengakses alat Systems Manager lainnya atau Layanan AWS. Misalnya, tanpa akses ke bucket Patch Manager Amazon Simple Storage Service (Amazon S3) AWS terkelola yang diperlukan, operasi penambalan gagal.

**Untuk membuat peran layanan (konsol)**

1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Peran**, lalu pilih **Buat peran**.

1. Untuk **Pilih entitas tepercaya**, buat pilihan berikut:

   1. Untuk **jenis entitas Tepercaya**, pilih **Layanan AWS**.

   1. **Untuk kasus Penggunaan lainnya Layanan AWS**, pilih **Systems Manager**.

   1. Pilih **Systems Manager**.

      Gambar berikut menyoroti lokasi opsi Systems Manager.  
![Systems Manager adalah salah satu opsi untuk kasus Use.](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/iam_use_cases_for_MWs.png)

1. Pilih **Berikutnya**. 

1. Pada halaman **Tambahkan izin**, lakukan hal berikut: 
   + Gunakan kolom **Pencarian** untuk menemukan **AmazonSSMManagedInstanceCore**kebijakan. Pilih kotak centang di samping namanya, seperti yang ditunjukkan pada ilustrasi berikut.   
![Kotak centang dipilih di AmazonSSMManagedInstanceCorebaris.](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/setup-instance-profile-2.png)
**catatan**  
Konsol mempertahankan pilihan Anda bahkan jika Anda mencari kebijakan lain.
   + Jika Anda membuat kebijakan bucket S3 kustom dalam prosedur[(Opsional) Buat kebijakan khusus untuk akses bucket S3](setup-instance-permissions.md#instance-profile-custom-s3-policy), cari kebijakan tersebut dan pilih kotak centang di samping namanya.
   + Jika Anda berencana untuk bergabung dengan mesin non-EC2 ke Active Directory yang dikelola oleh Directory Service, cari **AmazonSSMDirectoryServiceAccess**dan pilih kotak centang di samping namanya.
   + Jika Anda berencana untuk menggunakan EventBridge atau CloudWatch Log untuk mengelola atau memantau node terkelola Anda, cari **CloudWatchAgentServerPolicy**dan pilih kotak centang di samping namanya.

1. Pilih **Berikutnya**.

1. Untuk **nama Peran**, masukkan nama untuk peran server IAM baru Anda, seperti**SSMServerRole**.
**catatan**  
Buat catatan tentang nama peran. Anda akan memilih peran ini ketika Anda mendaftarkan mesin baru yang ingin Anda kelola dengan menggunakan Systems Manager.

1. (Opsional) Untuk **Deskripsi**, perbarui deskripsi untuk peran server IAM ini.

1. (Opsional) Untuk **Tag**, tambahkan satu atau beberapa pasangan nilai tag-key untuk mengatur, melacak, atau mengontrol akses untuk peran ini. 

1. Pilih **Buat peran**. Sistem mengembalikan Anda ke halaman **Peran**.

## Menggunakan AWS CLI untuk membuat peran layanan IAM untuk aktivasi hybrid Systems Manager
<a name="create-service-role-hybrid-activation-cli"></a>

Gunakan prosedur berikut untuk membuat peran layanan untuk aktivasi hibrida. Prosedur ini menggunakan fungsionalitas inti Systems Manager `AmazonSSMManagedInstanceCore` kebijakan. Bergantung pada kasus penggunaan Anda, Anda mungkin perlu menambahkan kebijakan tambahan ke peran layanan Anda untuk mesin non-EC2 Anda di lingkungan [hybrid dan multicloud](operating-systems-and-machine-types.md#supported-machine-types) untuk dapat mengakses alat lain atau. Layanan AWS

**Persyaratan kebijakan bucket S3**  
Jika salah satu dari kasus berikut ini benar, Anda harus membuat kebijakan izin IAM khusus untuk bucket Amazon Simple Storage Service (Amazon S3) sebelum menyelesaikan prosedur ini:
+ **Kasus 1** — Anda menggunakan titik akhir VPC untuk menghubungkan VPC Anda secara pribadi ke layanan endpoint VPC yang didukung Layanan AWS dan didukung oleh VPC. AWS PrivateLink
+ **Kasus 2** - Anda berencana menggunakan bucket Amazon S3 yang Anda buat sebagai bagian dari operasi Systems Manager, seperti untuk menyimpan output untuk Run Command perintah atau Session Manager sesi ke bucket S3. Sebelum melanjutkan, ikuti langkah-langkah di [Membuat kebijakan bucket S3 kustom untuk profil instans](setup-instance-permissions.md#instance-profile-custom-s3-policy). Informasi tentang kebijakan bucket S3 dalam topik tersebut juga berlaku untuk peran layanan Anda.

------
#### [ AWS CLI ]

**Untuk membuat peran layanan IAM untuk lingkungan hybrid dan multicloud ()AWS CLI**

1. Instal dan konfigurasikan AWS Command Line Interface (AWS CLI), jika Anda belum melakukannya.

   Untuk selengkapnya, lihat [Menginstal atau memperbarui versi terbaru AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).

1. Di mesin lokal Anda, buat file teks dengan nama seperti `SSMService-Trust.json` dengan kebijakan kepercayaan berikut. Pastikan Anda menyimpan file dengan ekstensi file `.json`. Pastikan untuk menentukan Anda Akun AWS dan Wilayah AWS di ARN tempat Anda membuat aktivasi hybrid Anda. Ganti ID akun dan Wilayah {{placeholder values}} untuk dengan informasi Anda sendiri.

------
#### [ JSON ]

****  

   ```
   {
      "Version":"2012-10-17",		 	 	 
      "Statement":[
         {
            "Sid":"",
            "Effect":"Allow",
            "Principal":{
               "Service":"ssm.amazonaws.com"
            },
            "Action":"sts:AssumeRole",
            "Condition":{
               "StringEquals":{
                  "aws:SourceAccount":"{{123456789012}}"
               },
               "ArnEquals":{
                  "aws:SourceArn":"arn:aws:ssm:{{us-east-1}}:{{111122223333}}:*"
               }
            }
         }
      ]
   }
   ```

------

1. Buka AWS CLI, dan di direktori tempat Anda membuat file JSON, jalankan perintah [create-role untuk membuat peran](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html) layanan. Contoh ini membuat peran bernama `SSMServiceRole`. Anda dapat memilih nama lain jika Anda suka.

------
#### [ Linux & macOS ]

   ```
   aws iam create-role \
       --role-name SSMServiceRole \
       --assume-role-policy-document file://SSMService-Trust.json
   ```

------
#### [ Windows ]

   ```
   aws iam create-role ^
       --role-name SSMServiceRole ^
       --assume-role-policy-document file://SSMService-Trust.json
   ```

------

1. Jalankan perintah [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html) sebagai berikut untuk memungkinkan peran layanan yang baru saja Anda buat untuk membuat token sesi. Token sesi memberikan izin node terkelola Anda untuk menjalankan perintah menggunakan Systems Manager.
**catatan**  
Kebijakan yang Anda tambahkan untuk profil layanan untuk node terkelola di lingkungan hybrid dan multicloud adalah kebijakan yang sama yang digunakan untuk membuat profil instans untuk instans Amazon Elastic Compute Cloud (Amazon EC2). Untuk informasi selengkapnya tentang AWS kebijakan yang digunakan dalam perintah berikut, lihat [Mengonfigurasi izin instans yang diperlukan untuk Systems Manager](setup-instance-permissions.md).

   (Wajib) Jalankan perintah berikut untuk memungkinkan node terkelola menggunakan fungsionalitas inti AWS Systems Manager layanan.

------
#### [ Linux & macOS ]

   ```
   aws iam attach-role-policy \
       --role-name SSMServiceRole \
       --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
   ```

------
#### [ Windows ]

   ```
   aws iam attach-role-policy ^
       --role-name SSMServiceRole ^
       --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
   ```

------

   Jika Anda membuat kebijakan bucket S3 khusus untuk peran layanan Anda, jalankan perintah berikut untuk mengizinkan AWS Systems Manager Agent (SSM Agent) mengakses bucket yang Anda tentukan dalam kebijakan. Ganti {{account-id}} dan {{amzn-s3-demo-bucket}} dengan Akun AWS ID dan nama bucket Anda. 

------
#### [ Linux & macOS ]

   ```
   aws iam attach-role-policy \
       --role-name SSMServiceRole \
       --policy-arn arn:aws:iam::{{account-id}}:policy/{{amzn-s3-demo-bucket}}
   ```

------
#### [ Windows ]

   ```
   aws iam attach-role-policy ^
       --role-name SSMServiceRole ^
       --policy-arn arn:aws:iam::{{account-id}}:policy/{{amzn-s3-demo-bucket}}
   ```

------

   (Opsional) Jalankan perintah berikut SSM Agent untuk mengizinkan akses Directory Service atas nama Anda untuk permintaan bergabung dengan domain oleh node terkelola. Peran layanan Anda memerlukan kebijakan ini hanya jika Anda menggabungkan node ke direktori Microsoft AD.

------
#### [ Linux & macOS ]

   ```
   aws iam attach-role-policy \
       --role-name SSMServiceRole \
       --policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
   ```

------
#### [ Windows ]

   ```
   aws iam attach-role-policy ^
       --role-name SSMServiceRole ^
       --policy-arn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
   ```

------

   (Opsional) Jalankan perintah berikut untuk memungkinkan CloudWatch agen berjalan di node terkelola Anda. Perintah ini memungkinkan untuk membaca informasi pada node dan menuliskannya ke CloudWatch. Profil layanan Anda memerlukan kebijakan ini hanya jika Anda akan menggunakan layanan seperti Amazon EventBridge atau Amazon CloudWatch Logs.

   ```
   aws iam attach-role-policy \
       --role-name SSMServiceRole \
       --policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
   ```

------
#### [ Tools for PowerShell ]

**Untuk membuat peran layanan IAM untuk lingkungan hybrid dan multicloud ()AWS Tools for Windows PowerShell**

1. Instal dan konfigurasikan Alat AWS untuk PowerShell (Alat untuk Windows PowerShell), jika Anda belum melakukannya.

   Untuk selengkapnya, lihat [Menginstal Alat AWS untuk PowerShell](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up.html).

1. Di mesin lokal Anda, buat file teks dengan nama seperti `SSMService-Trust.json` dengan kebijakan kepercayaan berikut. Pastikan Anda menyimpan file dengan ekstensi file `.json`. Pastikan untuk menentukan Anda Akun AWS dan Wilayah AWS di ARN tempat Anda membuat aktivasi hybrid Anda.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Sid": "",
               "Effect": "Allow",
               "Principal": {
                   "Service": "ssm.amazonaws.com"
               },
               "Action": "sts:AssumeRole",
               "Condition": {
                   "StringEquals": {
                       "aws:SourceAccount": "{{123456789012}}"
                   },
                   "ArnEquals": {
                       "aws:SourceArn": "arn:aws:ssm:{{us-east-1}}:{{123456789012}}:*"
                   }
               }
           }
       ]
   }
   ```

------

1. Buka PowerShell dalam mode administratif, dan di direktori tempat Anda membuat file JSON, jalankan [New-IAMRole](https://docs.aws.amazon.com//powershell/latest/reference/items/Register-IAMRolePolicy.html)sebagai berikut untuk membuat peran layanan. Contoh ini membuat peran bernama `SSMServiceRole`. Anda dapat memilih nama lain jika Anda suka.

   ```
   New-IAMRole `
       -RoleName SSMServiceRole `
       -AssumeRolePolicyDocument (Get-Content -raw SSMService-Trust.json)
   ```

1. Gunakan [Register-IAMRolePolicy](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-IAMRolePolicy.html)sebagai berikut untuk mengizinkan peran layanan yang Anda buat untuk membuat token sesi. Token sesi memberikan izin node terkelola Anda untuk menjalankan perintah menggunakan Systems Manager.
**catatan**  
Kebijakan yang Anda tambahkan untuk profil layanan untuk node terkelola di lingkungan hybrid dan multicloud adalah kebijakan yang sama yang digunakan untuk membuat profil instans untuk instans EC2. Untuk informasi selengkapnya tentang AWS kebijakan yang digunakan dalam perintah berikut, lihat [Mengonfigurasi izin instans yang diperlukan untuk Systems Manager](setup-instance-permissions.md).

   (Wajib) Jalankan perintah berikut untuk memungkinkan node terkelola menggunakan fungsionalitas inti AWS Systems Manager layanan.

   ```
   Register-IAMRolePolicy `
       -RoleName SSMServiceRole `
       -PolicyArn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
   ```

   Jika Anda membuat kebijakan bucket S3 khusus untuk peran layanan Anda, jalankan perintah berikut SSM Agent untuk memungkinkan mengakses bucket yang Anda tentukan dalam kebijakan. Ganti {{account-id}} dan {{my-bucket-policy-name}} dengan Akun AWS ID dan nama bucket Anda. 

   ```
   Register-IAMRolePolicy `
       -RoleName SSMServiceRole `
       -PolicyArn arn:aws:iam::{{account-id}}:policy/{{my-bucket-policy-name}}
   ```

   (Opsional) Jalankan perintah berikut SSM Agent untuk mengizinkan akses Directory Service atas nama Anda untuk permintaan bergabung dengan domain oleh node terkelola. Peran server Anda memerlukan kebijakan ini hanya jika Anda menggabungkan node ke direktori Microsoft AD.

   ```
   Register-IAMRolePolicy `
       -RoleName SSMServiceRole `
       -PolicyArn arn:aws:iam::aws:policy/AmazonSSMDirectoryServiceAccess
   ```

   (Opsional) Jalankan perintah berikut untuk memungkinkan CloudWatch agen berjalan di node terkelola Anda. Perintah ini memungkinkan untuk membaca informasi pada node dan menuliskannya ke CloudWatch. Profil layanan Anda memerlukan kebijakan ini hanya jika Anda akan menggunakan layanan seperti Amazon EventBridge atau Amazon CloudWatch Logs.

   ```
   Register-IAMRolePolicy `
       -RoleName SSMServiceRole `
       -PolicyArn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy
   ```

------

Lanjutkan ke [Buat aktivasi hybrid untuk mendaftarkan node dengan Systems Manager](hybrid-activation-managed-nodes.md).