• O AWS Systems Manager CloudWatch Dashboard não estará mais disponível a partir de 30 de abril de 2026. Os clientes podem continuar usando o console do Amazon CloudWatch para visualizar, criar e gerenciar os painéis do Amazon CloudWatch exatamente como fazem hoje. Para obter mais informações, consulte a [documentação do Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
# Monitorar alterações de status do Systems Manager usando as notificações do Amazon SNS
É possível configurar o Amazon Simple Notification Service (Amazon SNS) para enviar notificações sobre o status dos comandos que você envia usando o Run Command ou Maintenance Windows, ambos ferramentas do AWS Systems Manager. O Amazon SNS coordena e gerencia a entrega e o envio de notificações a clientes e endpoints que assinam tópicos do Amazon SNS. Você pode receber uma notificação sempre que um comando muda para um novo estado ou atinge um estado específico, como *Failed (Falha)* ou *Timed out (Tempo limite)*. Nos casos em que você envia um comando para vários nós, você pode receber uma notificação para cada cópia do comando enviado para um nó específico. Cada cópia é chamada de uma *invocação*.
O Amazon SNS pode entregar notificações como HTTP ou HTTPS POST, e-mail (SMTP, texto sem formatação ou no formato JSON) ou como uma mensagem postada em uma fila do Amazon Simple Queue Service (Amazon SQS). Para obter mais informações, consulte [O que é o Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/) no *Guia do desenvolvedor do Amazon Simple Notification Service*. Para obter exemplos da estrutura dos dados JSON incluídos na notificação do Amazon SNS fornecida pelo Run Command e Maintenance Windows, consulte [Exemplo de notificações do Amazon SNS para AWS Systems Manager](monitoring-sns-examples.md).
**Importante**
Observe as seguintes informações importantes:
Não há suporte para tópicos FIFO do Amazon Simple Notification Service.
O Amazon Q Developer em aplicações de chat não é compatível com o monitoramento do Systems Manager com o Amazon SNS. Caso deseje usar o Amazon Q Developer para monitorar o Systems Manager, será necessário usá-lo com o Amazon EventBridge. Para obter informações sobre como monitorar o Systems Manager usando o EventBridge, consulte [Monitorar eventos do Systems Manager com o Amazon EventBridge](monitoring-eventbridge-events.md). Para obter informações sobre o Amazon EventBridge e o Amazon Q Developer em aplicações de chat, consulte [Tutorial: criação de uma regra do EventBridge que envia notificações para o Amazon Q Developer em aplicações de chat](https://docs.aws.amazon.com/chatbot/latest/adminguide/create-eventbridge-rule.html) no *Guia do administrador do Amazon Q Developer em aplicações de chat*.
## Configurar notificações do Amazon SNS para o AWS Systems Manager
As tarefas Run Command e Maintenance Windows, registradas para uma janela de manutenção, podem enviar notificações do Amazon SNS para tarefas de comando que entram nos seguintes status:
+ Em andamento
+ Bem-sucedida
+ Failed
+ Timed Out
+ Cancelado
Para obter informações sobre as condições que fazem com que um comando entre em um desses status, consulte [Noções básicas sobre status de comando](monitor-commands.md).
**nota**
Os comandos enviados usando o Run Command também relatam o status Cancelando e Pendente. Esses status não são capturados pelas notificações do Amazon SNS.
### Notificações do Amazon SNS de resumo de comandos
Se você configurar o Run Command ou uma tarefa do Run Command na janela de manutenção para notificações do Amazon SNS, o Amazon SNS enviará mensagens de resumo que incluem as informações a seguir.
****
| Campo | Tipo | Descrição |
| --- | --- | --- |
| eventTime | String | A hora em que o evento foi iniciado. O carimbo de hora é importante, pois o Amazon SNS não garante a ordem de entrega das mensagens. Exemplo: 2016-04-26T13:15:30Z |
| documentName | String | O nome do documento do SSM usado para executar esse comando. |
| commandId | String | O ID gerado pelo Run Command após o envio do comando. |
| expiresAfter | Data | Se esse tempo for atingido e o comando ainda não tiver iniciado a execução, ele não executará. |
| outputS3BucketName | String | O bucket do Amazon Simple Storage Service (Amazon S3) em que respostas para a execução do comando devem ser armazenadas. |
| outputS3KeyPrefix | String | O caminho de diretório do Amazon S3 dentro do bucket no qual as respostas para a execução do comando devem ser armazenadas. |
| requestedDateTime | String | A data e a hora em que a solicitação foi enviada para esse nó específico. |
| instanceIds | StringList | Os nós que foram selecionados pelo comando. Os IDs de instância só serão incluídos na mensagem de resumo se a tarefa do Run Command direcionar IDs de instância diretamente. Os IDs de instância não serão incluídos na mensagem de resumo se a tarefa Run Command tiver sido emitida usando o direcionamento com base em tags. |
| status | String | Status do comando para o comando. |
### Notificações do Amazon SNS com base em invocação
Se você enviar um comando para vários nós, o Amazon SNS poderá enviar mensagens sobre cada cópia ou invocação desse comando. As mensagens incluem as seguintes informações.
****
| Campo | Tipo | Descrição |
| --- | --- | --- |
| eventTime | String | A hora em que o evento foi iniciado. O carimbo de hora é importante, pois o Amazon SNS não garante a ordem de entrega das mensagens. Exemplo: 2016-04-26T13:15:30Z |
| documentName | String | O nome do documento SSM usado para executar esse comando. |
| requestedDateTime | String | A data e a hora em que a solicitação foi enviada para esse nó específico. |
| commandId | String | O ID gerado pelo Run Command após o envio do comando. |
| instanceId | String | A instância que foi direcionada pelo comando. |
| status | String | Status do comando para essa invocação. |
Para configurar notificações do Amazon SNS quando um comando mudar de status, conclua as tarefas a seguir.
**nota**
Se você não estiver configurando notificações do Amazon SNS para sua janela de manutenção, poderá ignorar a Tarefa 5 apresentada posteriormente neste tópico.
**Topics**
+ [Notificações do Amazon SNS de resumo de comandos](#monitoring-sns-configure-summary)
+ [Notificações do Amazon SNS com base em invocação](#monitoring-sns-configure-invocation)
+ [Tarefa 1: Criar e assinar um tópico do Amazon SNS](#monitoring-configure-sns)
+ [Tarefa 2: Criar uma política do IAM para notificações do Amazon SNS](#monitoring-iam-policy)
+ [Tarefa 3: Criar uma função do IAM para notificações do Amazon SNS](#monitoring-iam-notifications)
+ [Tarefa 4: Configurar o acesso do usuário](#monitoring-sns-passpolicy)
+ [Tarefa 5: Anexar a política iam:PassRole à função da janela de manutenção](#monitoring-sns-passpolicy-mw)
### Tarefa 1: Criar e assinar um tópico do Amazon SNS
Um *tópico* do Amazon SNS é um canal de comunicação que o Run Command e as tarefas do Run Command registradas em uma janela de manutenção usam para enviar notificações sobre o status dos comandos. O Amazon SNS é compatível com diferentes protocolos de comunicação, incluindo HTTP/S, e-mail e outros Serviços da AWS, como o Amazon Simple Queue Service (Amazon SQS). Para começar rapidamente, recomendamos que você comece com o protocolo de e-mail. Para obter informações sobre como criar um tópico, consulte [Criar um tópico do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) no *Guia do desenvolvedor do Amazon Simple Notification Service*.
**nota**
Depois de criar o tópico, copie ou anote o **ARN do tópico**. Você especifica esse ARN ao enviar um comando que esteja configurado para retornar notificações de status.
Após criar o tópico, inscreva-se nele especificando um **Endpoint**. Se você selecionou o protocolo de e-mail, o endpoint é o endereço de e-mail no qual você deseja receber notificações. Para obter mais informações sobre como se inscrever em um tópico, consulte [Inscrever-se em um tópico do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html) no *Guia do desenvolvedor do Amazon Simple Notification Service*.
O Amazon SNS envia um e-mail de confirmação de *Notificações AWS* para o endereço de e-mail que você especificar. Abra o e-mail e selecione o link **Confirm subscription (Confirmar assinatura)**.
Você receberá uma mensagem de confirmação da AWS. O Amazon SNS agora está configurado para receber notificações e enviar a notificação como um e-mail para o endereço de e-mail que você especificou.
### Tarefa 2: Criar uma política do IAM para notificações do Amazon SNS
Use o procedimento a seguir para criar uma política personalizada do AWS Identity and Access Management (IAM) que forneça permissões para acionar notificações do Amazon SNS.
**Para criar uma política do IAM personalizada SNS para notificações do Amazon SNS**
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, escolha **Policies** e, em seguida, **Create Policy**. (Se aparecer um botão **Get Started**, selecione-o e, em seguida, clique em **Create Policy**).
1. Selecione a guia **JSON**.
1. Substitua o conteúdo padrão por um dos seguintes, dependendo se o tópico do Amazon SNS usa a criptografia do AWS KMS:
------
#### [ SNS topic not encrypted ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": "arn:aws:sns:us-east-1:111122223333:sns-topic-name"
}
]
}
```
------
A *região* representa o identificador da região para uma região da Região da AWS compatível com o AWS Systems Manager, como `us-east-2` para a região Leste dos EUA (Ohio). Para ver uma lista dos valores de *região* com suporte, consulte a coluna **Region** em [Systems Manager service endpoints](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) no *Referência geral da Amazon Web Services*.
**account-id** representa o identificador de 12 dígitos para a Conta da AWS, no formato `123456789012`.
*sns-topic-name* representa o nome do tópico do Amazon SNS que você deseja usar para publicar notificações.
------
#### [ SNS topic encrypted ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": "arn:aws:sns:us-east-1:111122223333:sns-topic-name"
},
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/kms-key-id"
}
]
}
```
------
A *região* representa o identificador da região para uma região da Região da AWS compatível com o AWS Systems Manager, como `us-east-2` para a região Leste dos EUA (Ohio). Para ver uma lista dos valores de *região* com suporte, consulte a coluna **Region** em [Systems Manager service endpoints](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) no *Referência geral da Amazon Web Services*.
**account-id** representa o identificador de 12 dígitos para a Conta da AWS, no formato `123456789012`.
*sns-topic-name* representa o nome do tópico do Amazon SNS que você deseja usar para publicar notificações.
*kms-key-id* representa o ID da chave do KMS de criptografia simétrica no AWS KMS a ser usada para criptografar e descriptografar o tópico, no formato `1234abcd-12ab-34cd-56ef-12345EXAMPLE`.
**nota**
Há uma taxa pelo uso da criptografia do AWS KMS. Para obter mais informações, consulte [Managing Amazon SNS encryption keys and costs](https://docs.aws.amazon.com/sns/latest/dg/sns-key-management.html) no *Guia do desenvolvedor do AWS Key Management Service*.
------
1. Escolha **Próximo: etiquetas**.
1. (Opcional) Adicione um ou mais pares de chave-valor de etiqueta para organizar, monitorar ou controlar acesso para essa política.
1. Escolha **Próximo: revisar**.
1. Na página **Revisar política**, em **Nome**, digite um nome para a política em linha. Por exemplo: **my-sns-publish-permissions**.
1. (Opcional) Em **Descrição**, digite uma descrição para a política.
1. Escolha **Criar política**.
### Tarefa 3: Criar uma função do IAM para notificações do Amazon SNS
Use o procedimento a seguir para criar uma função de serviço do IAM para notificações do Amazon SNS. Essa função de serviço é usada pelo Systems Manager para iniciar notificações do Amazon SNS. Em todos os procedimentos subsequentes, essa função é chamada de função do IAM do Amazon SNS.
**Para criar uma função de serviço do IAM para notificações do Amazon SNS**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação do console do IAM, escolha **Perfis** e, em seguida, **Criar perfil**.
1. Escolha o tipo de perfil de **AWS service (Serviço da AWS)** e, em seguida, selecione o Systems Manager.
1. Escolha o caso de uso do Systems Manager. Em seguida, escolha **Próximo**.
1. Na página **Attach permissions policies (Anexar políticas de permissões)**, marque a caixa à esquerda do nome da política personalizada criada na Tarefa 2. Por exemplo: **my-sns-publish-permissions**.
1. (Opcional) Defina um [limite de permissões](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html). Esse é um atributo avançado que está disponível para perfis de serviço, mas não para perfis vinculados ao serviço.
Expanda a seção **Limite de permissões** e escolha **Usar um limite de permissões para controlar o número máximo de permissões de funções**. O IAM inclui uma lista das políticas gerenciadas pela AWS e pelo cliente em sua conta. Selecione a política a ser usada para o limite de permissões ou escolha **Criar política** para abrir uma nova guia no navegador e criar uma nova política a partir do zero. Para obter mais informações, consulte [Criar políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) no *Guia do usuário do IAM*. Depois de criar a política, feche essa guia e retorne à guia original para selecionar a política a ser usada para o limite de permissões.
1. Escolha **Próximo**.
1. Se possível, insira um nome de função ou sufixo de nome de função para ajudar a identificar o propósito desta função. Os nomes de função devem ser exclusivos em sua Conta da AWS. Eles não são diferenciados por letras maiúsculas e minúsculas. Por exemplo, não é possível criar perfis denominados **PRODROLE** e **prodrole**. Como várias entidades podem fazer referência à função, não é possível editar o nome da função depois que ela é criada.
1. (Opcional) Em **Descrição da função**, insira uma descrição para a nova função.
1. Selecione **Editar** nas seções **Etapa 1: selecionar entidades confiáveis** ou **Etapa 2: selecionar permissões** para editar os casos de uso e as permissões para a função.
1. (Opcional) Adicione metadados ao usuário anexando tags como pares de chave-valor. Para obter mais informações sobre o uso de tags no IAM, consulte [Marcar recursos do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) no *Guia do usuário do IAM*.
1. Revise a função e escolha **Criar função**.
1. Escolha o nome da função e depois copie ou anote o valor do **Role ARN** (ARN da função). Esse nome do recurso da Amazon (ARN) para a função é usado quando você envia um comando que foi configurado para retornar notificações do Amazon SNS.
1. A página **Summary** (Resumo) é aberta.
### Tarefa 4: Configurar o acesso do usuário
Se uma entidade do IAM (usuário, perfil ou grupo) receber permissões de administrador, o usuário ou o perfil terá acesso a Run Command e Maintenance Windows, que são ferramentas do AWS Systems Manager.
Para entidades que não têm permissões de administrador, um administrador deve conceder as permissões a seguir à entidade do IAM:
+ A política gerenciada `AmazonSSMFullAccess` ou uma política que forneça permissões comparáveis.
+ As permissões `iam:PassRole` para o perfil criado em [Tarefa 3: Criar uma função do IAM para notificações do Amazon SNS](#monitoring-iam-notifications). Por exemplo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/sns-role-name",
"Condition": {
"StringEquals": {
"iam:PassedToService": "ssm.amazonaws.com"
}
}
}
]
}
```
------
Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
+ Usuários e grupos no Centro de Identidade do AWS IAM:
Crie um conjunto de permissões. Siga as instruções em [Criação de um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) no *Guia do usuário do Centro de Identidade do AWS IAM*.
+ Usuários gerenciados no IAM com provedor de identidades:
Crie um perfil para a federação de identidades. Siga as instruções em [Criando um perfil para um provedor de identidades de terceiros (federação)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) no *Guia do Usuário do IAM*.
+ Usuários do IAM:
+ Crie um perfil que seu usuário possa assumir. Siga as instruções em [Criação de um perfil para um usuário do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) no *Guia do usuário do IAM*.
+ (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em [Adição de permissões a um usuário (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
**Para configurar acesso de usuário e anexar a política `iam:PassRole` a uma conta de usuário**
1. No painel de navegação do IAM, escolha **Users** (Usuários) e selecione a conta de usuário que deseja configurar.
1. Na guia **Permissions** (Permissões), na lista de políticas, verifique se a política **AmazonSSMFullAccess** está listada ou se existe uma política comparável que conceda à conta permissão para acessar o Systems Manager.
1. Escolha **Add inline policy** (Adicionar política em linha).
1. Na página **Create policy** (Criar política), selecione a guia **Visual editor** (Editor visual).
1. Selecione **Choose a service** (Escolher um serviço) e, em seguida, **IAM**.
1. Para **Actions** (Ações), na caixa de texto **Filter actions** (Filtrar ações), insira **PassRole** e selecione a caixa de verificação ao lado de **PassRole**.
1. Em **Resources** (Recursos), verifique se **Specific** (Específico) está selecionado e, em seguida, selecione **Add ARN** (Adicionar ARN).
1. No campo **Specify ARN for role** (Especificar ARN para função), cole o ARN da função do IAM do Amazon SNS que você copiou no final da Tarefa 3. O sistema preenche automaticamente os campos **Account (Conta)** e **Role name with path (Nome de função com caminho)**.
1. Escolha **Add** (Adicionar).
1. Escolha **Review policy** (Revisar política).
1. Na página **Review Policy** (Revisar política), insira um nome e depois escolha **Create Policy** (Criar política).
### Tarefa 5: Anexar a política iam:PassRole à função da janela de manutenção
Ao registrar uma tarefa do Run Command em uma janela de manutenção, você especifica o nome de recurso da Amazon (ARN) de uma função de serviço. Essa função de serviço é usada pelo Systems Manager para executar tarefas registradas para a janela de manutenção. Para configurar notificações do Amazon SNS para uma tarefa registrada do Run Command, anexe uma política `iam:PassRole` à função de serviço da janela de manutenção especificada. Se você não pretende configurar a tarefa registrada para notificações do Amazon SNS, essa tarefa pode ser ignorada.
A política `iam:PassRole` permite que a função de serviço do Maintenance Windows transmita a função do IAM do Amazon SNS criada na Tarefa 3 ao serviço Amazon SNS. O procedimento a seguir mostra como anexar a política `iam:PassRole` à função de serviço do Maintenance Windows.
**nota**
Use uma função de serviço personalizada para sua janela de manutenção para enviar notificações relacionadas às tarefas do Run Command registradas. Para mais informações, consulte [Configurar o Maintenance Windows](setting-up-maintenance-windows.md).
Se for necessário criar um perfil de serviço personalizado para tarefas de janela de manutenção, consulte [Configurar o Maintenance Windows](setting-up-maintenance-windows.md).
**Para anexar sua política `iam:PassRole` à função do Maintenance Windows**
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, escolha **Roles** (Funções) e selecione a função do IAM do Amazon SNS criada na Tarefa 3.
1. Copie ou anote o **Role ARN** (ARN da função) e retorne à seção **Roles** (Funções) do console do IAM.
1. Selecione a função de serviço personalizada Maintenance Windows que você criou na lista **Role name** (Nome da função).
1. Na guia **Permissions** (Permissões), verifique se a política `AmazonSSMMaintenanceWindowRole` está listada ou se existe uma política comparável que dê permissão de janelas de manutenção à API do Systems Manager. Se não estiver, escolha **Adicionar permissões, Anexar políticas** para anexá-la.
1. Escolha **Add permissions, Create inline policy** (Adicionar permissões, Criar política em linha).
1. Selecione a guia **Visual Editor** (Editor visual).
1. Para **Service** (Serviço), selecione **IAM**.
1. Para **Actions** (Ações), na caixa de texto **Filter actions** (Filtrar ações), insira **PassRole** e selecione a caixa de verificação ao lado de **PassRole**.
1. Em **Resources (Recursos)**, escolha **Specific (Específico)** e **Add ARN (Adicionar ARN)**.
1. Na caixa **Specify ARN for role** (Especificar ARN para função), cole o ARN da função do IAM do Amazon SNS criada na Tarefa 3 e escolha **Add** (Adicionar).
1. Selecione **Revisar política**.
1. Na página **Revisar política**, especifique um nome para a política `PassRole` e, em seguida, escolha **Criar política**.
# Exemplo de notificações do Amazon SNS para AWS Systems Manager
É possível configurar o Amazon Simple Notification Service (Amazon SNS) para enviar notificações sobre o status dos comandos que você envia usando o Run Command ou Maintenance Windows, ambos ferramentas do AWS Systems Manager.
**nota**
Este guia não aborda como configurar notificações usando o Run Command ou a Maintenance Windows. Para obter informações sobre como configurar o Run Command ou o Maintenance Windows para enviar notificações do Amazon SNS sobre o status dos comandos, consulte [Configurar notificações do Amazon SNS para o AWS Systems Manager](monitoring-sns-notifications.md#monitoring-sns-configure).
Os exemplos a seguir mostram a estrutura da saída JSON retornada por notificações do Amazon SNS, quando estas estão configuradas para o Run Command ou o Maintenance Windows.
**Exemplo de saída JSON para mensagens de resumo de comandos usando o direcionamento de IDs de instância**
```
{
"commandId": "a8c7e76f-15f1-4c33-9052-0123456789ab",
"documentName": "AWS-RunPowerShellScript",
"instanceIds": [
"i-1234567890abcdef0",
"i-9876543210abcdef0"
],
"requestedDateTime": "2019-04-25T17:57:09.17Z",
"expiresAfter": "2019-04-25T19:07:09.17Z",
"outputS3BucketName": "amzn-s3-demo-bucket",
"outputS3KeyPrefix": "runcommand",
"status": "InProgress",
"eventTime": "2019-04-25T17:57:09.236Z"
}
```
**Exemplo de saída JSON para mensagens de resumo de comandos usando o direcionamento com base em tags**
```
{
"commandId": "9e92c686-ddc7-4827-b040-0123456789ab",
"documentName": "AWS-RunPowerShellScript",
"instanceIds": [],
"requestedDateTime": "2019-04-25T18:01:03.888Z",
"expiresAfter": "2019-04-25T19:11:03.888Z",
"outputS3BucketName": "",
"outputS3KeyPrefix": "",
"status": "InProgress",
"eventTime": "2019-04-25T18:01:05.825Z"
}
```
**Exemplo de saída JSON para mensagens de invocação**
```
{
"commandId": "ceb96b84-16aa-4540-91e3-925a9a278b8c",
"documentName": "AWS-RunPowerShellScript",
"instanceId": "i-1234567890abcdef0",
"requestedDateTime": "2019-04-25T18:06:05.032Z",
"status": "InProgress",
"eventTime": "2019-04-25T18:06:05.099Z"
}
```
# Usar o Run Command para enviar um comando que retorna notificações de status
Os procedimentos a seguir mostram como usar a AWS Command Line Interface (AWS CLI) ou o console do AWS Systems Manager para enviar um comando por meio do Run Command, uma ferramenta do AWS Systems Manager, que é configurado para retornar notificações de status.
## Enviar um Run Command que retorna notificações (console)
Use o procedimento a seguir para enviar um comando por meio do Run Command que esteja configurado para retornar notificações de status usando o console do Systems Manager.
**Como enviar um comando que retorne notificações (console)**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Run Command**.
1. Selecione **Run command**.
1. Na lista **Command document** (Documento de comando), escolha um documento do Systems Manager.
1. Na seção **Command parameters**, especifique valores para os parâmetros necessários.
1. Na seção **Targets** (Destinos), escolha os nós gerenciados nos quais você quer executar essa operação, especificando as etiquetas, selecionando as instâncias ou dispositivos de borda manualmente ou especificando um grupo de recursos.
**dica**
Se um nó gerenciado que você espera ver não estiver listado, consulte [Solução de problemas de disponibilidade do nó gerenciado](fleet-manager-troubleshooting-managed-nodes.md) para obter dicas de solução de problemas.
1. Para **Other parameters (Outros parâmetros)**:
+ Em **Comment** (Comentário), digite as informações sobre esse comando.
+ Em **Timeout (seconds) (Tempo limite [segundos])**, especifique o número de segundos para o sistema aguardar até a falha de execução do comando total.
1. Para **Rate control** (Controle de taxa):
+ Em **Concurrency** (Concorrência), especifique um número ou uma porcentagem de nós gerenciados nos quais executar o comando ao mesmo tempo.
**nota**
Se você selecionou destinos especificando tags aplicadas a instâncias a nós gerenciados ou especificando grupos de recursos da AWS, e não tiver certeza de quantas instâncias são direcionadas, restrinja o número de instâncias que poderão executar o documento ao mesmo tempo, especificando uma porcentagem.
+ Em **Error threshold** (Limite de erro), especifique quando parar de executar o comando em outros nós depois de falhar em alguns ou em uma porcentagem de nós. Por exemplo, se você especificar três erros, o Systems Manager deixará de enviar o comando quando o 4° erro for recebido. Os nós gerenciados que continuam processando o comando também podem enviar erros.
1. (Opcional) Em **Output options (Opções de saída)**, para salvar a saída do comando em um arquivo, selecione a caixa **Write command output to an S3 bucket (Gravar saída do comando em um bucket do S3)**. Digite os nomes de bucket e prefixo (pastas) nas caixas de texto.
**nota**
As permissões do S3 que concedem a possibilidade de gravar os dados em um bucket do S3 são as do perfil de instância (para instâncias do EC2) ou perfil de serviço do IAM (máquinas ativadas para ambientes híbridos) atribuído à instância, e não as do usuário do IAM que realiza essa tarefa. Para obter mais informações, consulte [Configurar permissões de instância obrigatórias para o Systems Manager](setup-instance-permissions.md) ou [Criar um perfil de serviço do IAM para um ambiente híbrido](hybrid-multicloud-service-role.md). Além disso, se o bucket do S3 especificado estiver em uma conta da Conta da AWS diferente, verifique se o perfil da instância ou a função de serviço do IAM associado ao nó gerenciado tenha as permissões necessárias para gravar nesse bucket.
1. Na seção **SNS Notifications**, escolha **Enable SNS notifications**.
1. Em **IAM role** (Função do IAM), escolha o ARN da função do IAM do Amazon SNS que você criou na Tarefa 3 em [Monitorar alterações de status do Systems Manager usando as notificações do Amazon SNS](monitoring-sns-notifications.md).
1. Para **SNS topic** (Tópico do SNS), insira o ARN do tópico do Amazon SNS a ser usado.
1. Em **Event notifications** (Notificações de eventos), escolha os eventos para os quais deseja receber notificações.
1. Em **Change notifications** (Alterar notificações), escolha receber notificações apenas para o resumo do comando (**Command status changes**) (Alterações de status do comando) ou para cada cópia de um comando enviado a vários nós (**Command status on each instance changes**) (O status do comando em cada instância é alterado).
1. Escolha **Executar**.
1. Verifique se há uma mensagem do Amazon SNS em seu e-mail e abra o e-mail. O Amazon SNS pode levar alguns minutos para enviar a mensagem de e-mail.
## Enviar um Run Command que retorna notificações (CLI)
Use o procedimento a seguir para enviar um comando por meio do Run Command que esteja configurado para retornar notificações de status usando a AWS CLI.
**Para enviar um comando que retorne notificações (CLI)**
1. Abra a AWS CLI.
1. Especifique parâmetros no comando a seguir para definir destinos com base nos IDs dos nós gerenciados.
```
aws ssm send-command --instance-ids "ID-1, ID-2" --document-name "Name" --parameters '{"commands":["input"]}' --service-role "SNSRoleARN" --notification-config '{"NotificationArn":"SNSTopicName","NotificationEvents":["All"],"NotificationType":"Command"}'
```
Veja um exemplo a seguir.
```
aws ssm send-command --instance-ids "i-02573cafcfEXAMPLE, i-0471e04240EXAMPLE" --document-name "AWS-RunPowerShellScript" --parameters '{"commands":["Get-Process"]}' --service-role "arn:aws:iam::111122223333:role/SNS_Role" --notification-config '{"NotificationArn":"arn:aws:sns:us-east-1:111122223333:SNSTopic","NotificationEvents":["All"],"NotificationType":"Command"}'
```
**Comandos alternativos**
Especifique parâmetros no comando a seguir para direcionar instâncias gerenciadas usando tags.
```
aws ssm send-command --targets "Key=tag:TagName,Values=TagKey" --document-name "Name" --parameters '{"commands":["input"]}' --service-role "SNSRoleARN" --notification-config '{"NotificationArn":"SNSTopicName","NotificationEvents":["All"],"NotificationType":"Command"}'
```
Veja um exemplo a seguir.
```
aws ssm send-command --targets "Key=tag:Environment,Values=Dev" --document-name "AWS-RunPowerShellScript" --parameters '{"commands":["Get-Process"]}' --service-role "arn:aws:iam::111122223333:role/SNS_Role" --notification-config '{"NotificationArn":"arn:aws:sns:us-east-1:111122223333:SNSTopic","NotificationEvents":["All"],"NotificationType":"Command"}'
```
1. Pressione **Enter**.
1. Verifique se há uma mensagem do Amazon SNS em seu e-mail e abra o e-mail. O Amazon SNS pode levar alguns minutos para enviar a mensagem de e-mail.
Para ter mais informações, consulte [https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/send-command.html) na *Referência de comandos da AWS CLI*.
# Usar uma janela de manutenção para enviar um comando que retorna notificações de status
Os procedimentos a seguir mostram como registrar uma tarefa do Run Command com sua janela de manutenção usando o console do AWS Systems Manager ou a AWS Command Line Interface (AWS CLI). O Run Command é uma ferramenta do AWS Systems Manager. Os procedimentos também descrevem como configurar a tarefa do Run Command para retornar notificações de status.
**Antes de começar**
Se você não tiver criado uma janela de manutenção ou destinos registrados, consulte [Crie e gerencie janelas de manutenção usando o console](sysman-maintenance-working.md) para obter instruções sobre como criar uma janela de manutenção e registrar destinos.
Para receber notificações do serviço Amazon Simple Notification Service (Amazon SNS), anexe uma política `iam:PassRole` à função de serviço do Maintenance Windows especificada na tarefa registrada. Se você não tiver adicionado as permissões `iam:PassRole` à sua função de serviço do Maintenance Windows, consulte [Tarefa 5: Anexar a política iam:PassRole à função da janela de manutenção](monitoring-sns-notifications.md#monitoring-sns-passpolicy-mw).
## Registrar uma tarefa do Run Command em uma janela de manutenção que retorna notificações (console)
Use o procedimento a seguir para registrar uma tarefa do Run Command que esteja configurada para retornar notificações de status à janela de manutenção usando o console do Systems Manager.
**Como registrar uma tarefa do Run Command na janela de manutenção que retorna notificações (console)**
1. Abra o console AWS Systems Manager em [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. No painel de navegação, escolha **Maintenance Windows**.
1. Selecione a janela de manutenção para a qual você deseja registrar uma tarefa do Run Command configurada para enviar notificações do Amazon Simple Notification Service (Amazon SNS).
1. Selecione **Actions** (Ações) e depois **Register run command task** (Registrar tarefa de comando de execução).
1. No campo **Name** (Nome), insira um nome para a tarefa.
1. (Opcional) No campo **Description** (Descrição), insira uma descrição.
1. Em **Command document** (Documento do comando), escolha um documento do comando.
1. Em **Task priority (Prioridade da tarefa)**, especifique uma prioridade para essa tarefa. Zero (`0`) é a prioridade mais alta. As tarefas em uma janela de manutenção são agendadas em ordem de prioridade. Tarefas que têm a mesma prioridade estão agendadas em paralelo.
1. Na seção **Targets** (Destinos), selecione um grupo de destino registrado ou selecione destinos não registrados.
1. Para **Rate control** (Controle de taxa):
+ Em **Concurrency** (Concorrência), especifique um número ou uma porcentagem de nós gerenciados nos quais executar o comando ao mesmo tempo.
**nota**
Se você selecionou destinos especificando tags aplicadas a instâncias a nós gerenciados ou especificando grupos de recursos da AWS, e não tiver certeza de quantas instâncias são direcionadas, restrinja o número de instâncias que poderão executar o documento ao mesmo tempo, especificando uma porcentagem.
+ Em **Error threshold** (Limite de erro), especifique quando parar de executar o comando em outros nós depois de falhar em alguns ou em uma porcentagem de nós. Por exemplo, se você especificar três erros, o Systems Manager deixará de enviar o comando quando o 4° erro for recebido. Os nós gerenciados que continuam processando o comando também podem enviar erros.
1. Na área **IAM service role** (Função de serviço do IAM), escolha a função de serviço do Maintenance Windows que tenha permissões `iam:PassRole` para a função do SNS.
**nota**
Adicione permissões do `iam:PassRole` a função Maintenance Windows para permitir que o Systems Manager passe a função do SNS ao Amazon SNS. Se você não tiver adicionado permissões `iam:PassRole`, consulte a Tarefa 5, no tópico [Monitorar alterações de status do Systems Manager usando as notificações do Amazon SNS](monitoring-sns-notifications.md).
1. (Opcional) Em **Opções de saída**, para salvar a saída de comando em um arquivo, selecione a caixa **Habilitar a gravação da saída no S3**. Digite os nomes de bucket e prefixo (pastas) nas caixas de texto.
**nota**
As permissões do S3 que concedem a possibilidade de gravar os dados em um bucket do S3 são as do perfil da instância atribuído ao nó gerenciado, e não as do usuário do IAM que realiza essa tarefa. Para obter mais informações, consulte [Configurar permissões de instância obrigatórias para o Systems Manager](setup-instance-permissions.md) ou [Criar um perfil de serviço do IAM para um ambiente híbrido](hybrid-multicloud-service-role.md). Além disso, se o bucket do S3 especificado estiver em uma conta da Conta da AWS diferente, verifique se o perfil da instância ou a função de serviço IAM associada ao nó gerenciado tenha as permissões necessárias para gravar nesse bucket.
1. Na seção **SNS notifications** (Notificações do SNS), faça o seguinte:
+ Selecione **Enable SNS Notifications** (Habilitar notificações do SNS).
+ Para **IAM role** (Função do IAM), escolha o nome do recurso da Amazon (ARN) da função do IAM do Amazon SNS que você criou na Tarefa 3 em [Monitorar alterações de status do Systems Manager usando as notificações do Amazon SNS](monitoring-sns-notifications.md) para iniciar o Amazon SNS.
+ Para **SNS topic** (Tópico do SNS), insira o ARN do tópico do Amazon SNS a ser usado.
+ Em **Event type** (Tipo de evento) escolha os eventos para os quais deseja receber notificações.
+ Em **Notification type** (Tipo de notificação), escolha receber notificações para cada cópia de um comando enviado a vários nós (invocações) ou o resumo de comandos.
1. Na seção **Parameters** (Parâmetros), insira os parâmetros necessários com base no documento do Command que você escolheu.
1. Selecione **Register Run command task** (Registrar tarefa do Run Command).
1. Depois da próxima vez que a janela de manutenção for executada, verifique se recebeu um e-mail do Amazon SNS e abra a mensagem de e-mail. O Amazon SNS pode levar alguns minutos para enviar o e-mail.
## Registrar uma tarefa do Run Command em uma janela de manutenção que retorna notificações (CLI)
Use o procedimento a seguir para registrar uma tarefa do Run Command que esteja configurada para retornar notificações de status à janela de manutenção usando a AWS CLI.
**Para registrar uma tarefa do Run Command com a janela de manutenção que retorna notificações (CLI)**
**nota**
Para gerenciar melhor suas opções de tarefas, esse procedimento usa a opção de comando `--cli-input-json`, com valores de opção armazenados em um arquivo JSON.
1. Na sua máquina local, crie um arquivo chamado `RunCommandTask.json`.
1. Cole o conteúdo a seguir no arquivo .
```
{
"Name": "Name",
"Description": "Description",
"WindowId": "mw-0c50858d01EXAMPLE",
"ServiceRoleArn": "arn:aws:iam::account-id:role/MaintenanceWindowIAMRole",
"MaxConcurrency": "1",
"MaxErrors": "1",
"Priority": 3,
"Targets": [
{
"Key": "WindowTargetIds",
"Values": [
"e32eecb2-646c-4f4b-8ed1-205fbEXAMPLE"
]
}
],
"TaskType": "RUN_COMMAND",
"TaskArn": "CommandDocumentName",
"TaskInvocationParameters": {
"RunCommand": {
"Comment": "Comment",
"TimeoutSeconds": 3600,
"NotificationConfig": {
"NotificationArn": "arn:aws:sns:region:account-id:SNSTopicName",
"NotificationEvents": [
"All"
],
"NotificationType": "Command"
},
"ServiceRoleArn": "arn:aws:iam::account-id:role/SNSIAMRole"
}
}
}
```
1. Substitua os valores de exemplo por informações sobre seus próprios recursos.
Você também pode restaurar opções omitidas deste exemplo se quiser usá-las. Por exemplo, você pode salvar a saída do comando em um bucket do S3.
Para ter mais informações, consulte [https://docs.aws.amazon.com/cli/latest/reference/ssm/register-task-with-maintenance-window.html](https://docs.aws.amazon.com/cli/latest/reference/ssm/register-task-with-maintenance-window.html) na *Referência de comandos da AWS CLI*.
1. Salve o arquivo.
1. No diretório da sua máquina local em que você salvou o arquivo, execute o comando a seguir.
```
aws ssm register-task-with-maintenance-window --cli-input-json file://RunCommandTask.json
```
**Importante**
Não se esqueça de incluir `file://` antes do nome de arquivo. Ele é obrigatório nesse comando.
Se houver êxito, o comando retornará informações semelhantes às mostradas a seguir.
```
{
"WindowTaskId": "j2l8d5b5c-mw66-tk4d-r3g9-1d4d1EXAMPLE"
}
```
1. Após a próxima execução da janela de manutenção, verifique se recebeu um e-mail do Amazon SNS e abra a mensagem do e-mail. O Amazon SNS pode levar alguns minutos para enviar o e-mail.
Para obter mais informações sobre como registrar tarefas para uma janela de manutenção na linha de comando, consulte [Registrar tarefas com a janela de manutenção](mw-cli-tutorial-tasks.md).