• O AWS Systems Manager CloudWatch Dashboard não estará mais disponível a partir de 30 de abril de 2026. Os clientes podem continuar usando o console do Amazon CloudWatch para visualizar, criar e gerenciar os painéis do Amazon CloudWatch exatamente como fazem hoje. Para obter mais informações, consulte a [documentação do Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
# (Opcional) Configuração do OpsCenter para gerenciar OpsItems de forma centralizada entre contas
Esta seção descreve como configurar manualmente o OpsCenter para gerenciamento de OpsItem entre contas. Embora ainda haja suporte para esse processo, ele foi substituído por um processo mais novo que usa a Quick Setup do Systems Manager. Para obter mais informações, consulte [(Opcional) Configurar o OpsCenter para gerenciar OpsItems entre contas usando a Quick Setup](OpsCenter-quick-setup-cross-account.md).
É possível configurar uma conta central para criar OpsItems de forma manual para contas de membros, e gerenciar e corrigir esses OpsItems. A conta central pode ser a conta de gerenciamento do AWS Organizations ou a conta de gerenciamento do AWS Organizations e a conta de administrador delegado do Systems Manager. É recomendável usar a conta de administrador delegado do Systems Manager como conta central. É possível usar esse recurso somente depois que você configura o AWS Organizations.
Com o AWS Organizations, é possível consolidar diversas Contas da AWS em uma organização que você cria e gerencia de forma centralizada. O usuário da conta central pode criar OpsItems para todas as contas de membro selecionadas simultaneamente e gerenciar os OpsItems.
Use o processo nesta seção para habilitar a entidade principal de serviço do Systems Manager no Organizations e configurar as permissões do AWS Identity and Access Management (IAM) para trabalhar com OpsItems entre contas.
**Topics**
+ [Antes de começar](#OpsCenter-before-you-begin)
+ [Etapa 1: criar uma sincronização de dados de recursos](#OpsCenter-getting-started-multiple-accounts-onboarding-rds)
+ [Etapa 2: habilitar a entidade principal de serviço do Systems Manager no AWS Organizations](#OpsCenter-getting-started-multiple-accounts-onboarding-service-principal)
+ [Etapa 3: criar o perfil vinculado ao serviço `AWSServiceRoleForAmazonSSM_AccountDiscovery`](#OpsCenter-getting-started-multiple-accounts-onboarding-SLR)
+ [Etapa 4: configurar permissões para trabalhar com OpsItems entre contas](#OpsCenter-getting-started-multiple-accounts-onboarding-resource-policy)
+ [Etapa 5: configurar permissões para trabalhar com recursos relacionados entre contas](#OpsCenter-getting-started-multiple-accounts-onboarding-related-resources-permissions)
**nota**
Há suporte somente para OpsItems do tipo `/aws/issue` para operação com o OpsCenter entre contas.
## Antes de começar
Antes de configurar o OpsCenter para trabalhar com OpsItems entre contas, certifique-se de ter configurado o seguinte:
+ Uma conta de administrador delegado do Systems Manager. Para obter mais informações, consulte [Configuração de um administrador delegado para Explorer](Explorer-setup-delegated-administrator.md).
+ Uma organização definida e configurada no Organizations. Para obter mais informações, consulte [Criando e gerenciando uma organização](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html) no * Guia do UsuárioAWS Organizations*.
+ Você configurou o Systems Manager Automation para executar runbooks de automação entre Regiões da AWS e contas da AWS. Para obter mais informações, consulte [Executar automações em várias regiões e contas da Regiões da AWS](running-automations-multiple-accounts-regions.md).
## Etapa 1: criar uma sincronização de dados de recursos
Depois de instalar e configurar o AWS Organizations, será possível agregar OpsItems ao OpsCenter para uma organização inteira criando uma sincronização de dados de recursos. Para obter mais informações, consulte [Criar uma sincronização de dados de recursos](Explorer-resource-data-sync-configuring-multi.md). Ao criar a sincronização, na seção **Adicionar contas**, escolha a opção **Incluir todas as contas da minha configuração do AWS Organizations**.
## Etapa 2: habilitar a entidade principal de serviço do Systems Manager no AWS Organizations
Para permitir que um usuário trabalhe com OpsItems entre contas, a entidade principal de serviço do Systems Manager deve estar habilitada no AWS Organizations. Se você configurou anteriormente o Systems Manager para cenários de várias contas usando outras ferramentas, talvez a entidade principal de serviço do Systems Manager já esteja configurada no Organizations. Execute os comandos a seguir a partir da AWS Command Line Interface (AWS CLI) para verificar. Se você *não* configurou o Systems Manager para outros cenários de diversas contas, vá para o próximo procedimento, *Para habilitar a entidade principal de serviço do Systems Manager no AWS Organizations*.
**Para verificar se a entidade principal de serviço do Systems Manager está habilitada no AWS Organizations**
1. [Faça download](https://aws.amazon.com/cli/) da versão mais recente da AWS CLI para sua máquina local.
1. Abra a AWS CLI e execute o seguinte comando para especificar suas credenciais e uma Região da AWS.
```
aws configure
```
O sistema solicita que você especifique o seguinte. No exemplo a seguir, substitua cada {{espaço reservado para entrada do usuário}} por suas próprias informações.
```
AWS Access Key ID [None]: {{key_name}}
AWS Secret Access Key [None]: {{key_name}}
Default region name [None]: {{region}}
Default output format [None]: ENTER
```
1. Execute o comando a seguir para verificar se a entidade principal de serviço do Systems Manager está ativada para o AWS Organizations.
```
aws organizations list-aws-service-access-for-organization
```
O comando retorna informações semelhantes às mostradas no exemplo a seguir.
```
{
"EnabledServicePrincipals": [
{
"ServicePrincipal": "member.org.stacksets.cloudformation.amazonaws.com",
"DateEnabled": "2020-12-11T16:32:27.732000-08:00"
},
{
"ServicePrincipal": "opsdatasync.ssm.amazonaws.com",
"DateEnabled": "2022-01-19T12:30:48.352000-08:00"
},
{
"ServicePrincipal": "ssm.amazonaws.com",
"DateEnabled": "2020-12-11T16:32:26.599000-08:00"
}
]
}
```
**Para habilitar a entidade principal de serviço do Systems Manager no AWS Organizations**
Se você não configurou previamente a entidade principal de serviço do Systems Manager para o Organizations, use o procedimento a seguir para fazer isso. Para obter mais informações sobre este comando, consulte [enable-aws-service-access](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/enable-aws-service-access.html) na *Referência de comandos da AWS CLI*.
1. Instale e configure a AWS Command Line Interface (AWS CLI), caso ainda não o tenha feito. Para obter informações, consulte [Instalar a CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) e [Configurar a CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html).
1. [Faça download](https://aws.amazon.com/cli/) da versão mais recente da AWS CLI para sua máquina local.
1. Abra a AWS CLI e execute o seguinte comando para especificar suas credenciais e uma Região da AWS.
```
aws configure
```
O sistema solicita que você especifique o seguinte. No exemplo a seguir, substitua cada {{espaço reservado para entrada do usuário}} por suas próprias informações.
```
AWS Access Key ID [None]: {{key_name}}
AWS Secret Access Key [None]: {{key_name}}
Default region name [None]: {{region}}
Default output format [None]: ENTER
```
1. Execute o comando a seguir para habilitar a entidade principal de serviço do Management Manager para o AWS Organizations.
```
aws organizations enable-aws-service-access --service-principal "ssm.amazonaws.com"
```
## Etapa 3: criar o perfil vinculado ao serviço `AWSServiceRoleForAmazonSSM_AccountDiscovery`
Uma função vinculada ao serviço como a função `AWSServiceRoleForAmazonSSM_AccountDiscovery` é um tipo exclusivo de perfil do IAM vinculado diretamente a um AWS service (Serviço da AWS), como o Systems Manager. As funções vinculadas a serviços são predefinidas pelo serviço e incluem todas as permissões que o serviço requer para chamar outros Serviços da AWS em seu nome. Para obter mais informações sobre a função vinculada ao serviço do `AWSServiceRoleForAmazonSSM_AccountDiscovery`, consulte [Permissões de função vinculada ao serviço para detecção de conta do Systems Manager](using-service-linked-roles-service-action-2.md#service-linked-role-permissions-service-action-2).
Use o procedimento a seguir para criar a função vinculada ao serviço `AWSServiceRoleForAmazonSSM_AccountDiscovery` usando a AWS CLI. Para obter mais informações sobre o comando usado neste procedimento, consulte [create-service-linked-role](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-service-linked-role.html) na *Referência de comandos da AWS CLI*.
**Para criar a função vinculada ao serviço `AWSServiceRoleForAmazonSSM_AccountDiscovery`**
1. Faça login na conta de gerenciamento do AWS Organizations.
1. Enquanto estiver conectado à conta de gerenciamento do Organizations, execute o comando a seguir.
```
aws iam create-service-linked-role \
--aws-service-name accountdiscovery.ssm.amazonaws.com \
--description "Systems Manager account discovery for AWS Organizations service-linked role"
```
## Etapa 4: configurar permissões para trabalhar com OpsItems entre contas
Use stacksets do AWS CloudFormation para criar uma política de recursos de `OpsItemGroup` e um perfil de execução do IAM que forneça aos usuários permissão para trabalhar com OpsItems entre contas. Para começar, baixe e descompacte o arquivo [https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountMembers.zip](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountMembers.zip). Este arquivo contém o arquivo de modelo do `OpsCenterCrossAccountMembers.yaml` CloudFormation. Quando você cria um conjunto de pilhas usando esse modelo, o CloudFormation cria automaticamente a política de recursos `OpsItemCrossAccountResourcePolicy` e a função de execução `OpsItemCrossAccountExecutionRole` na conta. Para obter mais informações sobre a criação de conjuntos de pilhas, consulte [Criação de um conjunto de pilhas](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html) no *Guia do usuário do AWS CloudFormation*.
**Importante**
Observe as seguintes informações importantes sobre esta tarefa:
O stackset deve ser implantado enquanto você está conectado com a conta de gerenciamento do AWS Organizations.
Você deve repetir esse procedimento enquanto estiver em conexão com *todas* as contas de *destino* com as quais deseja trabalhar com OpsItems entre contas, incluindo a conta de administrador delegado.
Se você quiser habilitar a administração de OpsItems entre contas em diferentes Regiões da AWS, escolha **Add all regions** (Adicionar todas as regiões) na seção **Specify regions** (Especificar regiões) do modelo. Não há suporte para a administração de OpsItem entre contas com regiões opcionais.
## Etapa 5: configurar permissões para trabalhar com recursos relacionados entre contas
Um OpsItem pode incluir informações detalhadas sobre os recursos afetados, como as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) ou os buckets do Amazon Simple Storage Service (Amazon S3). O perfil de execução `OpsItemCrossAccountExecutionRole`, criado na Etapa 4, fornece ao OpsCenter permissões somente de leitura para que as contas de membros visualizem os recursos relacionados. Você também deve criar um perfil do IAM para fornecer às contas de gerenciamento permissão para visualizar e interagir com os recursos relacionados, o que você concluirá nesta tarefa.
Para começar, baixe e descompacte o arquivo [https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountManagementRole.zip](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountManagementRole.zip). Este arquivo contém o arquivo de modelo do `OpsCenterCrossAccountManagementRole.yaml` CloudFormation. Quando você cria uma pilha usando esse modelo, o CloudFormation cria automaticamente o perfil do IAM `OpsCenterCrossAccountManagementRole` na conta. Para obter mais informações sobre a criação de uma pilha, consulte [Criação de uma pilha no console do AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) no *Guia do usuário do AWS CloudFormation*.
**Importante**
Observe as seguintes informações importantes sobre esta tarefa:
Se você planeja especificar uma conta como um administrador delegado para o OpsCenter, certifique-se de especificar essa Conta da AWS ao criar a pilha.
Você deve executar esse procedimento enquanto estiver em conexão com a conta de gerenciamento do AWS Organizations e, novamente, enquanto estiver em conexão com a conta de administrador delegado.