Usar perfis para criar OpsData e OpsItems para o Explorer - AWS Systems Manager
Permissões de função vinculada ao serviço para sincronização de OpsData do Systems ManagerCriar uma função vinculada ao serviço AWSServiceRoleForSystemsManagerOpsDataSync para o Systems ManagerEditar uma função vinculada ao serviço AWSServiceRoleForSystemsManagerOpsDataSync para o Systems ManagerExcluir uma função vinculada ao serviço AWSServiceRoleForSystemsManagerOpsDataSync para o Systems ManagerRegiões compatíveis com o perfil vinculado ao serviço AWSServiceRoleForSystemsManagerOpsDataSync do Systems Manager

Usar perfis para criar OpsData e OpsItems para o Explorer

O Systems Manager usa o perfil vinculado ao serviço chamado AWSServiceRoleForSystemsManagerOpsDataSync. O AWS Systems Manager usa esse perfil de serviço do IAM para o Explorer, visando criar o OpsData e OpsItems.

Permissões de função vinculada ao serviço para sincronização de OpsData do Systems Manager

O perfil vinculado ao serviço AWSServiceRoleForSystemsManagerOpsDataSync confia nos seguintes serviços para aceitar o perfil:

  • opsdatasync.ssm.amazonaws.com

A política de permissões da função permite que o Systems Manager conclua as seguintes ações nos recursos especificados:

  • O Systems Manager Explorer exige que uma função vinculada ao serviço conceda permissão para atualizar uma descoberta de segurança quando um OpsItem é atualizado, criar e atualizar um OpsItem, e desativar a origem dos dados do Security Hub CSPM quando uma regra gerenciada do SSM é excluída pelos clientes.

A política gerida que é utilizada para fornecer permissões para oAWSServiceRoleForSystemsManagerOpsDataSyncfunção éAWSSystemsManagerOpsDataSyncServiceRolePolicy. Para obter detalhes sobre as permissões necessárias, consulte Política gerenciada pela AWS: AWSSystemsManagerOpsDataSyncServiceRolePolicy.

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte Permissões de perfil vinculado a serviços no Guia do usuário do IAM.

Criar uma função vinculada ao serviço AWSServiceRoleForSystemsManagerOpsDataSync para o Systems Manager

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você habilita o Explorer no Console de gerenciamento da AWS, o Systems Manager cria a função vinculada ao serviço para você.

Importante

Essa função vinculada ao serviço pode ser exibida em sua conta se você concluiu uma ação em outro serviço que usa os recursos compatíveis com essa função. Além disso, se você estava usando o serviço Systems Manager antes de 1º de janeiro de 2017, quando começou a oferecer suporte às funções vinculadas a serviços, o Systems Manager criou a função AWSServiceRoleForSystemsManagerOpsDataSync em sua conta. Para saber mais, consulte Uma nova função apareceu na minha conta do IAM.

Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você pode usar esse mesmo processo para recriar a função na sua conta. Quando você habilita o Explorer no Console de gerenciamento da AWS, o Systems Manager cria a função vinculada ao serviço novamente.

Você também pode usar o console do IAM para criar um perfil vinculado ao serviço com o caso de uso do perfil de serviço da AWS que permite que o Explorer crie OpsData e OpsItems. Na AWS CLI ou na API do AWS, crie um perfil vinculado a serviço com o nome de serviço opsdatasync.ssm.amazonaws.com. Para obter mais informações, consulte Criar uma função vinculada ao serviço no Manual do usuário do IAM. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.

Editar uma função vinculada ao serviço AWSServiceRoleForSystemsManagerOpsDataSync para o Systems Manager

O Systems Manager não permite que você edite a função vinculada a serviço AWSServiceRoleForSystemsManagerOpsDataSync. Depois de criar uma função vinculada a serviço, você não poderá alterar o nome da função, já que várias entidades poderão fazer referência à função. No entanto, você poderá editar a descrição do perfil usando o IAM. Para saber mais, consulte Editar um perfil vinculado ao serviço no Guia do usuário do IAM.

Excluir uma função vinculada ao serviço AWSServiceRoleForSystemsManagerOpsDataSync para o Systems Manager

Se você não precisar mais usar um atributo ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-la. Dessa forma, você não terá uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de sua função vinculada ao serviço antes de excluí-la manualmente.

nota

Se o serviço Systems Manager estiver usando a função quando você tenta excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

O procedimento para excluir recursos do Systems Manager usados pelo perfil AWSServiceRoleForSystemsManagerOpsDataSync depende se você configurou o Explorer ou o OpsCenter para se integrar com o Security Hub CSPM.

Para excluir recursos do Systems Manager usados pela função AWSServiceRoleForSystemsManagerOpsDataSync

  • Para impedir que o Explorer crie novos OpsItems para descobertas do Security Hub CSPM, consulte Como parar de receber descobertas.

  • Para impedir que o OpsCenter crie novos OpsItems para descobertas do Security Hub CSPM, consulte

Para excluir manualmente a função vinculada ao serviço AWSServiceRoleForSystemsManagerOpsDataSync usando o IAM

Use o console do IAM, a AWS CLI ou a API da AWS para excluir a função vinculada ao serviço AWSServiceRoleForSystemsManagerOpsDataSync. Para obter mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.

Regiões compatíveis com o perfil vinculado ao serviço AWSServiceRoleForSystemsManagerOpsDataSync do Systems Manager

Systems ManagerO oferece suporte a perfis vinculados a serviços em todas as regiões nas quais o serviço estiver disponível. Para saber mais, consulte Endpoints e cotas do AWS Systems Manager.

Systems ManagerO não oferece suporte ao uso de funções vinculadas a serviços em todas as regiões em que o serviço está disponível. Você pode usar a função AWSServiceRoleForSystemsManagerOpsDataSync nas seguintes regiões.

Nome da Região da AWS Identidade da região Suporte no Systems Manager
Leste dos EUA (Norte da Virgínia) us-east-1 Sim
Leste dos EUA (Ohio) us-east-2 Sim
Oeste dos EUA (N. da Califórnia) us-west-1 Sim
Oeste dos EUA (Oregon) us-west-2 Sim
Ásia-Pacífico (Mumbai) ap-south-1 Sim
Ásia Pacifico (Osaka) ap-northeast-3 Sim
Ásia-Pacífico (Seul) ap-northeast-2 Sim
Ásia-Pacífico (Singapura) ap-southeast-1 Sim
Ásia-Pacífico (Sydney) ap-southeast-2 Sim
Ásia-Pacífico (Tóquio) ap-northeast-1 Sim
Canadá (Central) ca-central-1 Sim
Europa (Frankfurt) eu-central-1 Sim
Europa (Irlanda) eu-west-1 Sim
Europa (Londres) eu-west-2 Sim
Europa (Paris) eu-west-3 Sim
Europa (Estocolmo) eu-north-1 Sim
América do Sul (São Paulo) sa-east-1 Sim
AWS GovCloud (US) us-gov-west-1 Não