• El panel de AWS Systems Manager CloudWatch dejará de estar disponible después del 30 de abril de 2026. Los clientes pueden seguir utilizando la consola de Amazon CloudWatch para ver, crear y administrar sus paneles de Amazon CloudWatch, tal y como lo hacen actualmente. Para obtener más información, consulte la [documentación del panel de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
# Cómo monitorear los cambios de estado de Systems Manager mediante las notificaciones de Amazon SNS
Puede configurar Amazon Simple Notification Service (Amazon SNS) para que envíe notificaciones sobre el estado de los comandos que envía a través de Run Command o Maintenance Windows, que son herramientas de AWS Systems Manager. Amazon SNS coordina y administra el envío y la entrega de las notificaciones a los clientes o puntos de enlace que estén suscritos a temas de Amazon SNS. Puede recibir una notificación siempre que un comando cambie a un estado nuevo o cambie a un estado específico como, por ejemplo, *Failed (Error)* o *Timed Out (Tiempo de espera agotado)*. En los casos en que un comando se envía a varios nodos, puede recibir una notificación por cada copia del comando enviada a un nodo concreto. Cada copia se denomina una *invocación*.
Amazon SNS puede entregar las notificaciones como HTTP o HTTPS POST, por email (SMTP, con texto sin formato o con formato JSON) o como mensaje publicado en una cola de Amazon Simple Queue Service (Amazon SQS). Para obtener más información, consulte [¿Qué es Amazon SNS?](https://docs.aws.amazon.com/sns/latest/dg/) en la *Guía para desarrolladores de Amazon Simple Notification Service*. Para ver ejemplos de la estructura de los datos JSON incluidos en la notificación de Amazon SNS que proporciona Run Command y el Maintenance Windows, consulte [Ejemplo de notificaciones de Amazon SNS para AWS Systems Manager](monitoring-sns-examples.md).
**importante**
Tenga en cuenta la siguiente información importante.
Los temas FIFO de Amazon Simple Notification Service no son compatibles.
No se puede usar Amazon Q Developer en aplicaciones de chat para monitorear Systems Manager con Amazon SNS. Si quiere usar Amazon Q Developer en aplicaciones de chat para monitorear Systems Manager, debe usarlo con Amazon EventBridge. Para obtener información acerca de cómo utilizar EventBridge para supervisar los eventos de Systems Manager, consulte [Cómo monitorear eventos de Systems Manager con Amazon EventBridge](monitoring-eventbridge-events.md). Para obtener información sobre Amazon EventBridge y Amazon Q Developer en aplicaciones de chat, consulte [Tutorial: Creating an EventBridge rule that sends notifications to Amazon Q Developer in chat applications](https://docs.aws.amazon.com/chatbot/latest/adminguide/create-eventbridge-rule.html) en *Amazon Q Developer in chat applications Administrator Guide*.
## Cómo configurar notificaciones de Amazon SNS para AWS Systems Manager
Run Command y las tareas de Maintenance Windows registradas en un periodo de mantenimiento pueden enviar notificaciones de Amazon SNS para tareas de comandos que introducen los siguientes estados:
+ En curso
+ Success
+ Failed
+ Tiempo de espera agotado
+ Cancelado
Para obtener información sobre las condiciones que causan que un comando pase a tener uno de estos estados, consulte [Descripción de los estados del comando](monitor-commands.md).
**nota**
Los comandos que se envían cuando se utiliza Run Command también notifican los estados Canceling (Cancelando) y Pending (Pendiente). Estos estados no se capturan en las notificaciones de Amazon SNS.
### Notificaciones de Amazon SNS de resumen de comandos
Si configura Run Command o una tarea de Run Command en su periodo de mantenimiento para notificaciones de Amazon SNS, Amazon SNS envía mensajes de resumen que contienen la siguiente información.
****
| Campo | Tipo | Descripción |
| --- | --- | --- |
| eventTime | Cadena | La hora a la que se inició el evento. La marca temporal es importante porque Amazon SNS no garantiza el orden de entrega de los mensajes. Ejemplo: 2016-04-26T13:15:30Z |
| documentName | Cadena | El nombre del documento de SSM utilizado para ejecutar este comando. |
| commandId | Cadena | El ID generado por Run Command después de haber enviado el comando. |
| expiresAfter | Date | Si se llega a esta hora y el comando aún no ha empezado a ejecutarse, no se ejecutará. |
| outputS3BucketName | Cadena | El bucket de Amazon Simple Storage Service (Amazon S3) donde deben almacenarse las respuestas a la ejecución de comandos. |
| outputS3KeyPrefix | Cadena | La ruta del directorio de Amazon S3 dentro del bucket donde deben guardarse las respuestas a la ejecución de comandos. |
| requestedDateTime | Cadena | La hora y la fecha en la que se envió la solicitud a este nodo específico. |
| instanceIds | StringList | Los nodos a los que se dirige el comando. Los ID de instancia solo se incluyen en el mensaje de resumen si la tarea Run Command dirigió a sus destinos los ID de instancia directamente. Los ID de instancia no se incluyen en el mensaje de resumen si la tarea Run Command se emitió con destino basado en etiquetas. |
| status | Cadena | El estado del comando. |
### Notificaciones de Amazon SNS basadas en invocaciones
Si envía un comando a varios nodos, Amazon SNS puede enviar mensajes sobre cada copia o invocación del comando. Los mensajes incluyen la siguiente información.
****
| Campo | Tipo | Descripción |
| --- | --- | --- |
| eventTime | Cadena | La hora a la que se inició el evento. La marca temporal es importante porque Amazon SNS no garantiza el orden de entrega de los mensajes. Ejemplo: 2016-04-26T13:15:30Z |
| documentName | Cadena | El nombre del documento de Systems Manager (documento SSM) utilizado para ejecutar este comando. |
| requestedDateTime | Cadena | La hora y la fecha en la que se envió la solicitud a este nodo específico. |
| commandId | Cadena | El ID generado por Run Command después de haber enviado el comando. |
| instanceId | Cadena | La instancia que el comando tiene como destino. |
| status | Cadena | Estado del comando para esta invocación. |
Para configurar las notificaciones de Amazon SNS cuando un comando cambie el estado, realice las siguientes tareas.
**nota**
Si no va a configurar las notificaciones de Amazon SNS para su periodo de mantenimiento, puede omitir la tarea 5 que se encuentra más adelante en este tema.
**Topics**
+ [Notificaciones de Amazon SNS de resumen de comandos](#monitoring-sns-configure-summary)
+ [Notificaciones de Amazon SNS basadas en invocaciones](#monitoring-sns-configure-invocation)
+ [Tarea 1: crear y suscribirse a un tema de Amazon SNS](#monitoring-configure-sns)
+ [Tarea 2: crear una política de IAM para notificaciones de Amazon SNS](#monitoring-iam-policy)
+ [Tarea 3: crear un rol de IAM para notificaciones de Amazon SNS](#monitoring-iam-notifications)
+ [Tarea 4: configurar el acceso del usuario](#monitoring-sns-passpolicy)
+ [Tarea 5: asociar la política iam:PassRole al rol de periodo de mantenimiento](#monitoring-sns-passpolicy-mw)
### Tarea 1: crear y suscribirse a un tema de Amazon SNS
Un *Tema* de Amazon SNS es un canal de comunicación queRun Command y las tareas de Run Command registradas en un periodo de mantenimiento utilizan para enviar notificaciones sobre el estado de sus comandos. Amazon SNS admite diferentes protocolos de comunicación, incluidos HTTP/S, email y otros Servicios de AWS, como Amazon Simple Queue Service (Amazon SQS). Para comenzar, le recomendamos que empiece con el protocolo de email. Para obtener más información acerca de la creación de un tema, consulte [Creating an Amazon SNS topic](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) (Creación de un tema de Amazon SNS) en la *Guía para desarrolladores de Amazon Simple Notification Service*.
**nota**
Después de crear el tema, copie o anote el valor de **Topic ARN**. Tendrá que especificar este ARN al enviar un comando que está configurado para devolver notificaciones de estado.
Después de crear el tema, suscríbase a él especificando un **punto de enlace**. Si eligió el protocolo de correo electrónico el punto de enlace es la dirección de correo electrónico donde desea recibir las notificaciones. Para obtener más información acerca de cómo se suscribe a un tema, consulte [Subscribing to an Amazon SNS topic](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html) (Suscripción a un tema de Amazon SNS) en la *Guía para desarrolladores de Amazon Simple Notification Service*.
Amazon SNS envía un email de confirmación desde *AWSNotifications* a la dirección de email que especifique. Abra el email y elija el enlace **Confirm subscription (Confirmar la suscripción)**.
Recibirá un mensaje de confirmación de AWS. Amazon SNS estará ahora configurado para recibir notificaciones y enviar la notificación como un email a la dirección especificada.
### Tarea 2: crear una política de IAM para notificaciones de Amazon SNS
Utilice el siguiente procedimiento para crear una política de AWS Identity and Access Management (IAM) personalizada que proporcione permisos para iniciar notificaciones de Amazon SNS.
**Cómo crear una política personalizada de IAM para notificaciones de Amazon SNS**
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, seleccione **Policies** y, a continuación, seleccione **Create Policy**. (Si aparece el botón **Get Started** [Empezar], elíjalo y, a continuación, elija **Create Policy** [Crear política]).
1. Seleccione la pestaña **JSON**.
1. Sustituya el contenido predeterminado por uno de los siguientes, en función de si el tema de Amazon SNS utiliza cifrado de AWS KMS:
------
#### [ SNS topic not encrypted ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": "arn:aws:sns:{{us-east-1}}:{{111122223333}}:{{sns-topic-name}}"
}
]
}
```
------
{{region}} representa el identificador de Región de AWS compatible con AWS Systems Manager, como `us-east-2` para la región EE. UU. Este (Ohio). Para ver una lista de los valores de {{regiones}} admitidos, consulte la columna **Región** en [Puntos de conexión de servicio de Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) en la *Referencia general de Amazon Web Services*.
{{{{account-id}}}} representa el identificador de 12 dígitos de su Cuenta de AWS en el formato `123456789012`.
{{sns-topic-name}} representa el nombre del tema de Amazon SNS que desea utilizar para la publicación de notificaciones.
------
#### [ SNS topic encrypted ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": "arn:aws:sns:{{us-east-1}}:{{111122223333}}:{{sns-topic-name}}"
},
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:{{us-east-1}}:{{111122223333}}:key/{{kms-key-id}}"
}
]
}
```
------
{{region}} representa el identificador de Región de AWS compatible con AWS Systems Manager, como `us-east-2` para la región EE. UU. Este (Ohio). Para ver una lista de los valores de {{regiones}} admitidos, consulte la columna **Región** en [Puntos de conexión de servicio de Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) en la *Referencia general de Amazon Web Services*.
{{{{account-id}}}} representa el identificador de 12 dígitos de su Cuenta de AWS en el formato `123456789012`.
{{sns-topic-name}} representa el nombre del tema de Amazon SNS que desea utilizar para la publicación de notificaciones.
{{kms-key-id}} representa el ID de la clave de KMS de cifrado simétrico en AWS KMS que se utilizará para cifrar y descifrar el tema, en el formato `1234abcd-12ab-34cd-56ef-12345EXAMPLE`.
**nota**
El uso del cifrado de AWS KMS conlleva un costo. Para obtener más información, consulte [Administración de las claves de cifrado y los costos de Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-key-management.html) en la *Guía para desarrolladores de AWS Key Management Service*.
------
1. Elija **Siguiente: etiquetas**.
1. (Opcional) Agregue uno o varios pares de valor etiqueta-clave para organizar, realizar un seguimiento o controlar el acceso a esta política.
1. Elija **Siguiente: Revisar**.
1. En la página **Review Policy (Revisar política)**, en **Name (Nombre)**, escriba un nombre para la política insertada. Por ejemplo: **my-sns-publish-permissions**.
1. (Opcional) En **Descripción**, escriba una descripción para la política.
1. Elija **Crear política**.
### Tarea 3: crear un rol de IAM para notificaciones de Amazon SNS
Utilice el siguiente procedimiento para crear un rol de IAM para las notificaciones de Amazon SNS. Systems Manager utiliza este rol de servicio para dar comienzo a las notificaciones de Amazon SNS. En todos los procedimientos siguientes, este rol se denomina rol de IAM de Amazon SNS.
**Cómo crear un rol de servicio de IAM para las notificaciones de Amazon SNS**
1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación de la consola de IAM, seleccione **Roles** y, a continuación, elija **Crear rol**.
1. Elija el tipo de rol **Servicio de AWS** y, a continuación, seleccione Systems Manager.
1. Elija el caso de uso de Systems Manager. A continuación, elija **Siguiente**.
1. En la página **Attach permissions policies (Adjuntar políticas de permisos)**, seleccione la casilla situada a la izquierda del nombre de la política personalizada creada en la tarea 2. Por ejemplo: **my-sns-publish-permissions**.
1. (Opcional) Configure un [límite de permisos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html). Se trata de una característica avanzada que está disponible para los roles de servicio, pero no para los roles vinculados a servicios.
Amplíe la sección **Límite de permisos** y seleccione **Usar un límite de permisos para controlar los permisos máximos de la función**. IAM incluye una lista de las políticas administradas por AWS y de las políticas administradas por el cliente de cada cuenta. Seleccione la política que desea utilizar para el límite de permisos o elija **Crear política** para abrir una pestaña nueva del navegador y crear una política nueva desde cero. Para obtener más información, consulte [Creación de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) en la *Guía del usuario de IAM*. Una vez creada la política, cierre la pestaña y vuelva a la pestaña original para seleccionar la política que va a utilizar para el límite de permisos.
1. Elija **Siguiente**.
1. De ser posible, escriba un nombre o sufijo de nombre para el rol, que pueda ayudarle a identificar su finalidad. Los nombres de rol deben ser únicos en su Cuenta de AWS. No distinguen entre mayúsculas y minúsculas. Por ejemplo, no puede crear funciones denominado tanto **PRODROLE** como **prodrole**. Dado que varias entidades pueden hacer referencia al rol, no puede editar el nombre del rol después de crearlo.
1. (Opcional) En **Descripción**, ingrese una descripción para el nuevo rol.
1. Seleccione **Editar** en las secciones **Paso 1: seleccionar entidades de confianza** o **Paso 2: seleccionar permisos** para editar los casos de uso y los permisos del rol.
1. (Opcional) Asocie etiquetas como pares de clave-valor para agregar metadatos al rol. Para obtener más información sobre el uso de etiquetas en IAM, consulte [Etiquetado de recursos de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) en la *Guía de usuario de IAM* .
1. Revise el rol y, a continuación, seleccione **Crear rol**.
1. Elija el nombre del rol y copie o anote el valor de **Role ARN** (ARN del rol). Este nombre de recurso de Amazon (ARN) para el rol se utiliza cuando envía un comando que está configurado para devolver notificaciones de Amazon SNS.
1. Mantenga la página **Resumen** abierta.
### Tarea 4: configurar el acceso del usuario
Si a una entidad de IAM (usuario, rol o grupo) se le asignan permisos de administrador, el usuario o el rol tiene acceso a Run Command y Maintenance Windows, que son herramientas de AWS Systems Manager.
Para las entidades sin permisos de administrador, el administrador debe conceder los siguientes permisos a la entidad de IAM:
+ La política administrada `AmazonSSMFullAccess`, o una política que proporcione permisos comparables.
+ Permisos `iam:PassRole` para el rol creado en [Tarea 3: crear un rol de IAM para notificaciones de Amazon SNS](#monitoring-iam-notifications). Por ejemplo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::{{111122223333}}:role/{{sns-role-name}}",
"Condition": {
"StringEquals": {
"iam:PassedToService": "ssm.amazonaws.com"
}
}
}
]
}
```
------
Para dar acceso, agregue permisos a los usuarios, grupos o roles:
+ Usuarios y grupos en AWS IAM Identity Center:
Cree un conjunto de permisos. Siga las instrucciones de [Creación de un conjunto de permisos](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) en la *Guía del usuario de AWS IAM Identity Center*.
+ Usuarios gestionados en IAM a través de un proveedor de identidades:
Cree un rol para la federación de identidades. Siga las instrucciones descritas en [Creación de un rol para un proveedor de identidad de terceros (federación)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) en la *Guía del usuario de IAM*.
+ Usuarios de IAM:
+ Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en [Creación de un rol para un usuario de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) en la *Guía del usuario de IAM*.
+ (No recomendado) Adjunte una política directamente a un usuario o agregue un usuario a un grupo de usuarios. Siga las instrucciones descritas en [Adición de permisos a un usuario (consola)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) de la *Guía del usuario de IAM*.
**Cómo configurar el acceso de los usuarios y adjuntar la política `iam:PassRole` a una cuenta de usuario**
1. En el panel de navegación de IAM, elija **Users** (Usuarios) y, a continuación, seleccione la cuenta de usuario que desea configurar.
1. En la pestaña **Permissions** (Permisos), en la lista de políticas, verifique que aparece la política **AmazonSSMFullAccess** o que hay una política equivalente que conceda los permisos de cuenta para acceder a Systems Manager.
1. Elija **Agregar política insertada**.
1. En la página **Create policy** (Crear política), elija la pestaña **Visual editor** (Editor visual).
1. Elija **Choose a service** (Elegir un servicio) y después ** IAM**.
1. En **Actions** (Acciones), en el cuadro de texto **Filter actions** (Filtrar acciones), ingrese **PassRole** y, a continuación, elija la casilla junto a **PassRole**.
1. En **Resources** (Recursos), compruebe que esté seleccionado **Specific** (Específicos) y elija **Add ARN** (Agregar ARN).
1. En el campo **Specify ARN for role** (Especificar el ARN del rol), pegue el ARN del rol de IAM de Amazon SNS que copió al final de la tarea 3. El sistema rellena automáticamente los campos **Account (Cuenta)** y **Role name with path (Nombre del rol con ruta)**.
1. Elija **Add (Agregar)**.
1. Elija **Review policy** (Revisar política).
1. En la página **Review Policy** (Revisar política), ingrese un nombre y, a continuación, elija **Create policy** (Crear la política).
### Tarea 5: asociar la política iam:PassRole al rol de periodo de mantenimiento
Al registrar una tarea de Run Command a un periodo de mantenimiento, debe especificar un rol de servicio de nombre de recurso de Amazon (ARN). Systems Manager utiliza este rol de servicio para ejecutar tareas registradas en el periodo de mantenimiento. Para configurar notificaciones de Amazon SNS para una tarea de Run Command registrada, adjunte una política `iam:PassRole` al rol de servicio del periodo de mantenimiento especificado. Si no tiene intención de configurar la tarea registrada para notificaciones de Amazon SNS, puede omitir esta tarea.
La política `iam:PassRole` permite al rol de servicio del Maintenance Windows transferir el rol de IAM de Amazon SNS creado en la tarea 3 al servicio de Amazon SNS. El siguiente procedimiento muestra cómo adjuntar la política `iam:PassRole` al rol de servicio del Maintenance Windows.
**nota**
Debe utilizar un rol de servicio personalizado para que su periodo de mantenimiento envíe notificaciones relacionadas con las tareas de Run Command registradas. Para obtener más información, consulte [Configuración de Maintenance Windows](setting-up-maintenance-windows.md).
Si necesita crear un rol de servicio personalizado para las tareas de periodo de mantenimiento, consulte [Configuración de Maintenance Windows](setting-up-maintenance-windows.md).
**Cómo adjuntar la política de `iam:PassRole` a su rol de Maintenance Windows**
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, seleccione **Roles** (Roles) y seleccione el rol de IAM de Amazon SNS creado en la tarea 3.
1. Copie o anote el valor de **Role ARN** (ARN de rol) y regrese a la sección **Roles** (Roles) de la consola de IAM.
1. Seleccione el rol de servicio del Maintenance Windows personalizado creado de la lista de **Role name** (Nombre del rol).
1. En la pestaña **Permissions** (Permisos), verifique si aparece la política `AmazonSSMMaintenanceWindowRole` o si hay una política equivalente que conceda permisos de periodo de mantenimiento para la API de Systems Manager. Si no es así, elija **Agregar permisos, Adjuntar políticas** para adjuntarla.
1. Elija **Add permissions, Create inline policy** (Agregar permisos, Crear política insertada).
1. Seleccione la pestaña **Visual editor** (Editor visual).
1. En **Service** (Servicio), seleccione **IAM**.
1. En **Actions** (Acciones), en el cuadro de texto **Filter actions** (Filtrar acciones), ingrese **PassRole** y, a continuación, elija la casilla junto a **PassRole**.
1. En **Resources (Recursos)**, elija **Specific (Específico)**, y, a continuación, elija **Add ARN (Agregar ARN)**.
1. En el cuadro **Specify ARN for role** (Especificar ARN para rol) pegue el ARN del rol de IAM de Amazon SNS creado en la tarea 3 y, a continuación, elija **Add** (Agregar).
1. Elija **Revisar política**.
1. En la página **Revisar política**, especifique un nombre para la política `PassRole` y, a continuación, elija **Crear política**.