• O AWS Systems Manager CloudWatch Dashboard não estará mais disponível a partir de 30 de abril de 2026. Os clientes podem continuar usando o console do Amazon CloudWatch para visualizar, criar e gerenciar os painéis do Amazon CloudWatch exatamente como fazem hoje. Para obter mais informações, consulte a [documentação do Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

# Migrar para o acesso a nós just-in-time do Session Manager
<a name="systems-manager-just-in-time-node-access-moving-from-session-manager"></a>

Quando você habilita o acesso a nós just-in-time, o Systems Manager não faz nenhuma alteração em seus recursos existentes do Session Manager. Isso garante que não haja interrupções em seu ambiente atual e que os usuários possam continuar iniciando sessões enquanto você cria e valida políticas de aprovação. Quando tudo estiver pronto para você testar as políticas de aprovação, você deve modificar as políticas existentes do IAM para concluir a transição para o acesso a nós just-in-time. Isso inclui adicionar as permissões necessárias para o acesso a nós just-in-time às identidades e remover a permissão da operação da API `StartSession` do Session Manager. Recomendamos testar as políticas de aprovação com um subconjunto de identidades e nós em uma Conta da AWS e Região da AWS.

Para obter mais informações sobre as permissões necessárias para o acesso a nós just-in-time, consulte [Configurar o acesso just-in-time com o Systems Manager](systems-manager-just-in-time-node-access-setting-up.md).

Para obter mais informações sobre como modificar e as permissões do IAM da identidade, consulte [Adicionar e remover permissões de identidade do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) no *Guia do usuário do IAM*.

A seguir, descrevemos um método detalhado de como você pode migrar para o acesso a nós just-in-time do Session Manager.

Migrar do Session Manager para o acesso a nós just-in-time exige planejamento e testes cuidadosos para garantir uma transição tranquila sem interromper suas operações. As seções a seguir descrevem como você pode concluir esse processo.

## Pré-requisitos
<a name="migration-prerequisites"></a>

Antes de começar, certifique-se de ter concluído as seguintes tarefas:
+ Configure o console unificado do Systems Manager.
+ Verifique se você tem permissões para modificar as políticas do IAM em sua conta.
+ Identificou todas as políticas e perfis do IAM que atualmente concedem permissões do Session Manager.
+ Documentou sua configuração atual do Session Manager, incluindo preferências de sessão e configurações de registros em log.

## Avaliação
<a name="environment-assessment"></a>

Avalie seu ambiente atual e descreva os comportamentos de aprovação desejados concluindo as seguintes tarefas:

1. **Faça o inventário de seus nós**: identifique todos os nós que os usuários acessam atualmente por meio do Session Manager.

1. **Identifique padrões de acesso do usuário**: documente quais usuários ou perfis precisam acessar quais nós e sob quais circunstâncias.

1. **Mapeie fluxos de trabalho de aprovação**: determine quem deve aprovar solicitações de acesso para diferentes tipos de nós.

1. **Revise a estratégia de marcação**: garanta que seus nós estejam devidamente marcados para apoiar suas políticas de aprovação planejadas.

1. **Audite as políticas existentes do IAM**: identifique todas as políticas que incluem permissões do Session Manager.

## Planejamento
<a name="migration-planning"></a>

### Estratégia em fases
<a name="migration-planning-strategy"></a>

Ao migrar do Session Manager para o acesso a nós just-in-time, recomendamos usar uma abordagem em fases, como a seguinte:

1. **Fase 1: configuração**: habilite o acesso a nós just-in-time sem modificar as permissões existentes do Session Manager.

1. **Fase 2: desenvolvimento de políticas**: crie e teste políticas de aprovação para seus nós.

1. **Fase 3: migração piloto**: modifique um pequeno grupo de nós não críticos e usuários ou perfis do Session Manager para o acesso a nós just-in-time.

1. **Fase 4: migração completa**: migre gradualmente todos os nós, usuários ou perfis restantes.

### Considerações sobre o cronograma
<a name="migration-planning-timeline"></a>

Considere os seguintes fatores ao criar seu cronograma para migrar do Session Manager para o acesso a nós just-in-time:
+ Reserve um tempo para o treinamento do usuário e a adaptação ao novo fluxo de trabalho de aprovação.
+ Agende as migrações durante períodos de menor atividade operacional.
+ Inclua tempo de buffer para a solução de problemas e ajustes.
+ Planeje um período de operação paralela em que ambos os sistemas estejam disponíveis.

## Etapas de implementação
<a name="migration-implementation"></a>

### Fase 1: configuração
<a name="migration-implementation-phase1"></a>

1. Habilite o acesso a nós just-in-time no console do Systems Manager. Para saber detalhes das etapas, consulte [Configurar o acesso just-in-time com o Systems Manager](systems-manager-just-in-time-node-access-setting-up.md).

1. Configure as preferências da sessão para acesso a nós just-in-time de acordo com suas configurações atuais do Session Manager. Para obter mais informações, consulte [Atualizar as preferências da sessão de acesso a nós just-in-time](systems-manager-just-in-time-node-access-session-preferences.md).

1. Configure as preferências de notificação das solicitações de acesso. Para obter mais informações, consulte [Configurar notificações para solicitações de acesso just-in-time](systems-manager-just-in-time-node-access-notifications.md).

1. Se você usar conexões RDP para nós do Windows Server, configure a gravação RDP. Para obter mais informações, consulte [Gravar conexões RDP](systems-manager-just-in-time-node-access-rdp-recording.md).

### Fase 2: desenvolvimento de políticas
<a name="migration-implementation-phase2"></a>

1. Crie políticas do IAM para administradores e usuários de acesso a nós just-in-time.

1. Desenvolva políticas de aprovação com base nos seus requisitos de segurança e no seu caso de uso.

1. Teste suas políticas em um ambiente de não produção para garantir que funcionem conforme o esperado.

### Fase 3: migração piloto
<a name="migration-implementation-phase3"></a>

1. Selecione um pequeno grupo de usuários e nós não críticos para o piloto.

1. Crie novas políticas do IAM para usuários piloto que incluam permissões de acesso a nós just-in-time.

1. Remova as permissões do Session Manager (`ssm:StartSession`) das políticas do IAM dos usuários piloto.

1. Treine os usuários piloto no novo fluxo de trabalho de solicitação de acesso.

1. Monitore o piloto em busca de problemas e colete feedback.

1. Ajuste as políticas e procedimentos com base nos resultados do piloto.

**Exemplo de modificação da política do IAM para usuários piloto**  
Política original com permissões do Session Manager:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:StartSession",
        "ssm:ResumeSession",
        "ssm:TerminateSession"
      ],
      "Resource": "*"
    }
  ]
}
```

------

Política modificada para acesso a nós just-in-time:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:StartAccessRequest",
        "ssm:GetAccessToken",
        "ssm:ResumeSession",
        "ssm:TerminateSession"
      ],
      "Resource": "*"
    }
  ]
}
```

------

### Fase 4: migração completa
<a name="migration-implementation-phase4"></a>

Desenvolva um cronograma para migrar os usuários e nós restantes em lotes.

## Metodologia de testes
<a name="migration-testing"></a>

Durante todo o processo de migração, realize os seguintes testes:
+ **Validação da política**: verifique se as políticas de aprovação se aplicam corretamente aos nós e usuários pretendidos.
+ **Fluxo de trabalho da solicitação de acesso**: teste o fluxo de trabalho completo, desde a solicitação de acesso até o estabelecimento da sessão, para cenários de aprovação automática e aprovação manual.
+ **Notificações**: verifique se os aprovadores recebem notificações pelos canais configurados (e-mail, Slack, Microsoft Teams).
+ **Registro em log e monitoramento**: verifique se os logs da sessão e as solicitações de acesso são capturados e armazenados adequadamente.

## Práticas recomendadas para uma migração com êxito
<a name="migration-best-practices"></a>
+ **Comunique com antecedência e frequência**: informe os usuários sobre o cronograma de migração e os benefícios do acesso a nós just-in-time.
+ **Comece com sistemas não críticos**: inicie a migração com ambientes de desenvolvimento ou de testes antes de passar para o de produção.
+ **Documente tudo**: mantenha registros detalhados de suas políticas de aprovação, alterações na política do IAM e definições de configuração.
+ **Monitore e ajuste**: monitore continuamente as solicitações de acesso e os fluxos de trabalho de aprovação, ajustando as políticas conforme necessário.
+ **Estabeleça a governança**: crie um processo para revisar e atualizar regularmente as políticas de aprovação à medida que seu ambiente muda.