• El panel de AWS Systems Manager CloudWatch dejará de estar disponible después del 30 de abril de 2026. Los clientes pueden seguir utilizando la consola de Amazon CloudWatch para ver, crear y administrar sus paneles de Amazon CloudWatch, tal y como lo hacen actualmente. Para obtener más información, consulte la [documentación del panel de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

# (Opcional) Configuración manual de OpsCenter para administrar OpsItems de forma centralizada entre cuentas
<a name="OpsCenter-getting-started-multiple-accounts"></a>

En esta sección se describe cómo configurar manualmente OpsCenter en la administración multicuenta de OpsItem. Si bien este proceso sigue siendo compatible, se ha sustituido por un proceso más reciente que utiliza Quick Setup de Systems Manager. Para obtener más información, consulte [(Opcional) Configuración de OpsCenter para administrar OpsItems en todas las cuentas mediante Quick Setup](OpsCenter-quick-setup-cross-account.md). 

Puede configurar una cuenta central para crear OpsItems manuales para las cuentas de miembros y administrar y corregir esos OpsItems. La cuenta central puede ser la cuenta de administración de AWS Organizations o tanto la cuenta de administración de AWS Organizations como la cuenta de administrador de Systems Manager. Le recomendamos que utilice la cuenta de administrador delegado de Systems Manager como cuenta central. Solo puede utilizar esta función después de configurar AWS Organizations. 

Con AWS Organizations, puede consolidar varias Cuentas de AWS en una organización que puede crear y administrar de forma centralizada. El usuario de la cuenta central puede crear OpsItems simultáneamente en todas las cuentas de los miembros seleccionados y administrar los OpsItems.

Utilice el proceso de esta sección para habilitar la entidad principal del servicio System Manager en Organizations y configure los permisos de AWS Identity and Access Management (IAM) para trabajar con OpsItems entre cuentas. 

**Topics**
+ [Antes de empezar](#OpsCenter-before-you-begin)
+ [Paso 1: creación de una sincronización de datos de recursos](#OpsCenter-getting-started-multiple-accounts-onboarding-rds)
+ [Paso 2: habilitación de la entidad principal del servicio de Systems Manager en AWS Organizations](#OpsCenter-getting-started-multiple-accounts-onboarding-service-principal)
+ [Paso 3: creación del rol vinculado al servicio `AWSServiceRoleForAmazonSSM_AccountDiscovery`](#OpsCenter-getting-started-multiple-accounts-onboarding-SLR)
+ [Paso 4: configuración de permisos para trabajar con OpsItems entre cuentas](#OpsCenter-getting-started-multiple-accounts-onboarding-resource-policy)
+ [Paso 5: configuración de permisos para trabajar con recursos relacionados entre cuentas](#OpsCenter-getting-started-multiple-accounts-onboarding-related-resources-permissions)

**nota**  
Solo se admiten OpsItems de tipo `/aws/issue` cuando se trabaja con OpsCenter entre cuentas.

## Antes de empezar
<a name="OpsCenter-before-you-begin"></a>

Antes de configurar OpsCenter para trabajar con OpsItems entre cuentas, asegúrese de haber configurado lo siguiente:
+ Una cuenta de administrador delegado de Systems Manager. Para obtener más información, consulte [Configurar un administrador delegado para Explorer](Explorer-setup-delegated-administrator.md).
+ Una organización definida y configurada en Organizations. Para obtener más información, consulte [Crear y administrar una organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html) en la *Guía del usuario de AWS Organizations*.
+ Configuró automatización de Systems Manager para ejecutar manuales de procedimientos de automatización en varias Regiones de AWS y cuentas de AWS. Para obtener más información, consulte [Ejecución de automatizaciones en varias cuentas y Regiones de AWS](running-automations-multiple-accounts-regions.md).

## Paso 1: creación de una sincronización de datos de recursos
<a name="OpsCenter-getting-started-multiple-accounts-onboarding-rds"></a>

Después de instalar y configurar AWS Organizations, puede agregar OpsItems en OpsCenter para toda una organización si crea una sincronización de datos de recursos. Para obtener más información, consulte [Creación de una sincronización de datos de recursos](Explorer-resource-data-sync-configuring-multi.md). Cuando se cree la sincronización, en la sección **Agregar cuentas**, seleccione la opción **Incluir todas las cuentas de mi configuración de AWS Organizations**.

## Paso 2: habilitación de la entidad principal del servicio de Systems Manager en AWS Organizations
<a name="OpsCenter-getting-started-multiple-accounts-onboarding-service-principal"></a>

Para permitir que un usuario trabaje con OpsItems en varias cuentas, la entidad principal de servicio de Systems Manager debe estar habilitada en AWS Organizations. Si anteriormente configuró Systems Manager para escenarios de varias cuentas con otras herramientas, es posible que la entidad principal de servicio de Systems Manager ya esté configurada en Organizations. Ejecute los siguientes comandos desde la AWS Command Line Interface (AWS CLI) para verificarlo. Si *no* ha configurado Systems Manager para otras situaciones de cuentas múltiples, pase al siguiente procedimiento, *Para habilitar la entidad principal del servicio de Systems Manager en AWS Organizations*.

**Para comprobar que la entidad principal de servicio de Systems Manager está activada en AWS Organizations**

1. Descargue la versión más reciente de la [https://aws.amazon.com/cli/](https://aws.amazon.com/cli/)AWS CLI en su máquina local.

1. Abra la AWS CLI y ejecute el siguiente comando para especificar sus credenciales y una Región de AWS.

   ```
   aws configure
   ```

   El sistema le solicita que especifique lo siguiente. En el siguiente ejemplo, reemplace cada {{marcador de posición del usuario}} con su propia información.

   ```
   AWS Access Key ID [None]: {{key_name}}
   AWS Secret Access Key [None]: {{key_name}}
   Default region name [None]: {{region}}
   Default output format [None]: ENTER
   ```

1. Ejecute el siguiente comando para comprobar que la entidad principal de servicio de Systems Manager está habilitada para AWS Organizations.

   ```
   aws organizations list-aws-service-access-for-organization
   ```

   El comando devuelve información similar a la que se muestra en el siguiente ejemplo.

   ```
   {
       "EnabledServicePrincipals": [
           {
               "ServicePrincipal": "member.org.stacksets.cloudformation.amazonaws.com",
               "DateEnabled": "2020-12-11T16:32:27.732000-08:00"
           },
           {
               "ServicePrincipal": "opsdatasync.ssm.amazonaws.com",
               "DateEnabled": "2022-01-19T12:30:48.352000-08:00"
           },
           {
               "ServicePrincipal": "ssm.amazonaws.com",
               "DateEnabled": "2020-12-11T16:32:26.599000-08:00"
           }
       ]
   }
   ```

**Para habilitar la entidad principal de servicio de Systems Manager en AWS Organizations**

Si no ha configurado la entidad principal de servicio de Systems Manager para Organizations, utilice el siguiente procedimiento. Para obtener más información sobre este comando, consulte [enable-aws-service-access](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/enable-aws-service-access.html) en la *Referencia de comandos de la AWS CLI*.

1. Si aún no lo ha hecho, instale y configure la AWS Command Line Interface (AWS CLI). Para obtener más información, consulte [Instalación de la CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) y [Configuración de la CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html). 

1. Descargue la versión más reciente de la [https://aws.amazon.com/cli/](https://aws.amazon.com/cli/)AWS CLI en su máquina local.

1. Abra la AWS CLI y ejecute el siguiente comando para especificar sus credenciales y una Región de AWS.

   ```
   aws configure
   ```

   El sistema le solicita que especifique lo siguiente. En el siguiente ejemplo, reemplace cada {{marcador de posición del usuario}} con su propia información.

   ```
   AWS Access Key ID [None]: {{key_name}}
   AWS Secret Access Key [None]: {{key_name}}
   Default region name [None]: {{region}}
   Default output format [None]: ENTER
   ```

1. Ejecute el siguiente comando para habilitar la entidad principal de servicio de Systems Manager para AWS Organizations.

   ```
   aws organizations enable-aws-service-access --service-principal "ssm.amazonaws.com"
   ```

## Paso 3: creación del rol vinculado al servicio `AWSServiceRoleForAmazonSSM_AccountDiscovery`
<a name="OpsCenter-getting-started-multiple-accounts-onboarding-SLR"></a>

Un rol vinculado a servicios, como el rol `AWSServiceRoleForAmazonSSM_AccountDiscovery`, es un tipo único de rol de IAM que está vinculado directamente a un Servicio de AWS, como Systems Manager. El servicio predefine los roles vinculados a servicios, que incluyen todos los permisos que el servicio requiere para llamar a otros Servicios de AWS en su nombre. Para obtener más información sobre el rol vinculado al servicio de `AWSServiceRoleForAmazonSSM_AccountDiscovery`, consulte [Permisos de roles vinculados al servicio de detección de cuentas de Systems Manager](using-service-linked-roles-service-action-2.md#service-linked-role-permissions-service-action-2).

Utilice el siguiente procedimiento para crear el rol vinculado al servicio de `AWSServiceRoleForAmazonSSM_AccountDiscovery` mediante AWS CLI. Para obtener más información sobre el comando que se utilizó en este procedimiento, consulte [create-service-linked-role](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-service-linked-role.html) en la *AWS CLIreferencia de comandos.*

**Para crear el rol vinculado al servicio de `AWSServiceRoleForAmazonSSM_AccountDiscovery`**

1. Inicie sesión en la consola de administración de AWS Organizations.

1. Mientras su sesión está iniciada en la cuenta de administración de Organizations, ejecute el siguiente comando.

   ```
   aws iam create-service-linked-role \
       --aws-service-name accountdiscovery.ssm.amazonaws.com \
       --description "Systems Manager account discovery for AWS Organizations service-linked role"
   ```

## Paso 4: configuración de permisos para trabajar con OpsItems entre cuentas
<a name="OpsCenter-getting-started-multiple-accounts-onboarding-resource-policy"></a>

Utilice conjuntos de pilas de AWS CloudFormation para crear una política de recursos de `OpsItemGroup` y un rol de ejecución de IAM que otorgue a los usuarios permisos para trabajar con OpsItems entre cuentas. Para comenzar, descargue y descomprima el archivo [https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountMembers.zip](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountMembers.zip). Este archivo contiene el archivo de plantilla `OpsCenterCrossAccountMembers.yaml` de CloudFormation. Cuando crea un conjunto de pilas con esta plantilla, CloudFormation genera automáticamente la política de recursos `OpsItemCrossAccountResourcePolicy` y el rol de ejecución `OpsItemCrossAccountExecutionRole` en la cuenta. Para obtener más información acerca de la creación de conjuntos de pilas, consulte [crear un grupo de pilas](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html) en la *guía del usuario de AWS CloudFormation*.

**importante**  
Tenga en cuenta la siguiente información importante sobre esta tarea:  
Debe implementar el conjunto de pilas mientras tenga abierta la sesión de la cuenta de administración de AWS Organizations.
Debe repetir este procedimiento mientras tenga abierta la sesión en *todas* las cuentas que desee *utilizar* para trabajar con OpsItems en todas ellas, incluida la cuenta de administrador delegada.
Si desea habilitar la administración OpsItems entre cuentas en diferentes Regiones de AWS, elija **agregar todas las regiones** en la sección **especificar regiones** de la plantilla. La administración de OpsItem entre cuentas no es compatible con las regiones habilitadas.

## Paso 5: configuración de permisos para trabajar con recursos relacionados entre cuentas
<a name="OpsCenter-getting-started-multiple-accounts-onboarding-related-resources-permissions"></a>

Un OpsItem puede incluir información detallada sobre recursos afectados, por ejemplo, instancias de Amazon Elastic Compute Cloud (Amazon EC2) o buckets de Amazon Simple Storage Service (Amazon S3). El rol de ejecución de `OpsItemCrossAccountExecutionRole` que creó en el Paso 4 anterior otorga a OpsCenter permisos de solo lectura para que las cuentas miembro vean los recursos relacionados. También debe crear un rol de IAM para proporcionar cuentas de administración con permiso para ver e interactuar con recursos relacionados, que completará en esta tarea. 

Para comenzar, descargue y descomprima el archivo [https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountManagementRole.zip](https://docs.aws.amazon.com/systems-manager/latest/userguide/samples/OpsCenterCrossAccountManagementRole.zip). Este archivo contiene el archivo de plantilla `OpsCenterCrossAccountManagementRole.yaml` de CloudFormation. Al crear una pila con esta plantilla, CloudFormation crea automáticamente el rol de IAM `OpsCenterCrossAccountManagementRole` en la cuenta. Para obtener más información sobre la creación de pilas, consulte [Crear pilas en la consola AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) en la *Guía del usuario de AWS CloudFormation*.

**importante**  
Tenga en cuenta la siguiente información importante sobre esta tarea:  
Si planea especificar una cuenta como administrador delegado para OpsCenter, asegúrese de especificar esa Cuenta de AWS cuando cree la pila. 
Debe realizar este procedimiento mientras tenga abierta la sesión en la cuenta de administración de AWS Organizations y nuevamente mientras esté conectado a la cuenta de administrador delegada.