• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la [documentazione di Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Monitoraggio delle modifiche di stato di Systems Manager utilizzando le notifiche Amazon SNS
Puoi configurare Amazon Simple Notification Service (Amazon SNS) per inviare notifiche sullo stato dei comandi inviati utilizzando Run Command o Maintenance Windows, che sono strumenti di AWS Systems Manager. Amazon SNS coordina e gestisce l'invio e la consegna delle notifiche ai clienti o agli endpoint che sono iscritti agli argomenti di Amazon SNS. È possibile ricevere una notifica ogni volta che un comando cambia di stato o passa a uno stato specifico, ad esempio *Failed (Non riuscito)* o *Timed Out (Sottoposto a timeout)*. Quando si invia un comando a più nodi, è possibile ricevere una notifica per ciascuna copia del comando inviato a un determinato nodo. Ogni copia è denominata *invocazione*.
Amazon SNS può consegnare notifiche come HTTP o HTTPS POST, e-mail (SMTP, in testo normale o in formato JSON) oppure come messaggio inviato a una coda Amazon Simple Queue Service (Amazon SQS). Per ulteriori informazioni, consulta [Che cos'è Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/) nella *Guida per gli sviluppatori di Amazon Simple Notification Service*. Per esempi della struttura dei dati JSON inclusi nella notifica Amazon SNS fornita da Run Command e Maintenance Windows, si veda [Esempi di notifiche Amazon SNS per AWS Systems Manager](monitoring-sns-examples.md).
**Importante**
Prendi nota delle seguenti informazioni importanti.
Gli argomenti FIFO di Amazon Simple Notification Service non sono supportati.
Amazon Q Developer nelle applicazioni di chat non è supportato per il monitoraggio di Systems Manager con Amazon SNS. Se desideri utilizzare Amazon Q Developer nelle applicazioni di chat per monitorare Systems Manager, devi utilizzarlo con Amazon EventBridge. Per informazioni sul monitoraggio tramite Systems Manager EventBridge, vedere[Monitoraggio degli eventi di Systems Manager con Amazon EventBridge](monitoring-eventbridge-events.md). Per informazioni su Amazon EventBridge e Amazon Q Developer nelle applicazioni di chat, consulta [Tutorial: Creazione di una EventBridge regola che invia notifiche a Amazon Q Developer nelle applicazioni di chat nella](https://docs.aws.amazon.com/chatbot/latest/adminguide/create-eventbridge-rule.html) *Guida per amministratori delle applicazioni di chat di Amazon Q Developer in chat*.
## Configurare le notifiche Amazon SNS per AWS Systems Manager
Le attività di Run Command e Maintenance Windows registrate in una finestra di manutenzione possono inviare notifiche Amazon SNS relative alle attività del comando che passano negli stati seguenti:
+ In Progress (In corso)
+ Completato
+ Non riuscito
+ Timed Out (Timeout)
+ Annullato
Per informazioni sulle condizioni che determinano il passaggio di un comando a uno di questi stati, si veda [Informazioni sugli stati dei comandi](monitor-commands.md).
**Nota**
I comandi inviati mediante Run Command indicano anche gli stati In fase di eliminazione e In attesa. Questi stati non vengono acquisiti dalle notifiche Amazon SNS.
### Riepilogo dei comandi delle notifiche Amazon SNS
Se si configura Run Command o un'attività Run Command nella finestra di manutenzione per le notifiche Amazon SNS, Amazon SNS invia messaggi di riepilogo che includono le informazioni seguenti.
****
| Campo | Tipo | Description |
| --- | --- | --- |
| eventTime | Stringa | Ora di inizio dell'evento. Il timestamp è importante perché Amazon SNS non garantisce l'ordine di recapito dei messaggi. Esempio: 2016-04-26 T13:15:30Z |
| documentName | Stringa | Il nome del documento SSM usato per eseguire il comando. |
| commandId | Stringa | L'ID generato da Run Command dopo l'invio del comando. |
| expiresAfter | Data | Se si raggiunge questo istante prima che inizi l'esecuzione del comando, il comando non viene eseguito. |
| uscita S3BucketName | Stringa | Il bucket Amazon Simple Storage Service (Amazon S3) in cui devono essere archiviate le risposte all'esecuzione del comando. |
| uscita S3KeyPrefix | Stringa | Il percorso della directory di Amazon S3 all'interno del bucket in cui devono essere archiviate le risposte all'esecuzione del comando. |
| richiesto DateTime | Stringa | Data e ora di invio della richiesta a questo nodo specifico. |
| instanceIds | StringList | I nodi a cui è destinato il comando. Gli ID di istanza sono inclusi nel messaggio di riepilogo solo se l'attività Run Command vi fa riferimento direttamente. Gli ID di istanza non sono inclusi nel messaggio di riepilogo se l'attività Run Command è stata eseguita con destinazioni basate su tag. |
| status | Stringa | Lo stato del comando. |
### Invocation-based Notifiche Amazon SNS
Se si invia un comando a più nodi, Amazon SNS può inviare messaggi relativi a ogni copia o chiamata del comando. I messaggi includono le informazioni riportate di seguito.
****
| Campo | Tipo | Description |
| --- | --- | --- |
| eventTime | Stringa | Ora di inizio dell'evento. Il timestamp è importante perché Amazon SNS non garantisce l'ordine di recapito dei messaggi. Esempio: 2016-04-26 T13:15:30Z |
| documentName | Stringa | Il nome del documento Systems Manager (documento SSM) usato per eseguire il comando. |
| richiesto DateTime | Stringa | Data e ora di invio della richiesta a questo nodo specifico. |
| commandId | Stringa | L'ID generato da Run Command dopo l'invio del comando. |
| instanceId | Stringa | L'istanza di destinazione per il comando. |
| status | Stringa | Lo stato del comando per questa invocazione. |
Per configurare le notifiche di Amazon SNS quando un comando cambia di stato, eseguire le attività seguenti.
**Nota**
Se non si sta configurando le notifiche Amazon SNS per la finestra di manutenzione, è possibile saltare l'attività 5 più avanti in questo argomento.
**Topics**
+ [Riepilogo dei comandi delle notifiche Amazon SNS](#monitoring-sns-configure-summary)
+ [Invocation-based Notifiche Amazon SNS](#monitoring-sns-configure-invocation)
+ [Attività 1: Creazione e iscrizione a un argomento Amazon SNS](#monitoring-configure-sns)
+ [Attività 2: creazione di una policy IAM per le notifiche di Amazon SNS](#monitoring-iam-policy)
+ [Attività 3: creazione di un ruolo IAM per le notifiche di Amazon SNS](#monitoring-iam-notifications)
+ [Attività 4: configurazione dell'accesso utente](#monitoring-sns-passpolicy)
+ [Attività 5: allega la PassRole policy iam: al ruolo della finestra di manutenzione](#monitoring-sns-passpolicy-mw)
### Attività 1: Creazione e iscrizione a un argomento Amazon SNS
Un*Argomento* Amazon SNS è un canale di comunicazione che le attività Run Command e Run Command, registrate in una finestra di manutenzione, usano per inviare notifiche sullo stato dei comandi. Amazon SNS supporta diversi protocolli di comunicazione, tra cui HTTP/S e-mail e altri, Servizi AWS come Amazon Simple Queue Service (Amazon SQS). Per iniziare rapidamente, consigliamo di scegliere il protocollo e-mail. Per ulteriori informazioni su come creare un argomento, consulta la pagina [Creazione di un argomento Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) nella *Guida per gli sviluppatori di Amazon Simple Notification Service*.
**Nota**
Dopo aver creato l'argomento, copiare o prendere nota del valore dell'**ARN dell' argomento)**. Questo ARN dovrà essere specificato quando si invia un comando configurato per restituire le notifiche di stato.
Dopo aver creato l'argomento, effettuare la sottoscrizione specificando un **Endpoint**. Se si sceglie il protocollo e-mail, l'endpoint è l'indirizzo e-mail a cui si desidera ricevere le notifiche. Per ulteriori informazioni su come effettuare la sottoscrizione a un argomento, consultare [Sottoscrizione a un argomento di Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html) nella *Guida per sviluppatori di Amazon Simple Notification Service*.
Amazon SNS invia una e-mail di conferma da *Notifiche AWS * all'indirizzo e-mail specificato. Aprire la e-mail e selezionare il collegamento **Confirm subscription (Conferma sottoscrizione)**.
Riceverai un messaggio di conferma da. AWS Amazon SNS è ora configurato per ricevere notifiche e inviare la notifica come e-mail all'indirizzo specificato.
### Attività 2: creazione di una policy IAM per le notifiche di Amazon SNS
Utilizza la seguente procedura per creare una policy personalizzata AWS Identity and Access Management (IAM) che fornisca le autorizzazioni per avviare le notifiche di Amazon SNS.
**Per creare una policy IAM personalizzata per le notifiche di Amazon SNS**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, seleziona **Policies (Policy)** e **Create Policy (Crea policy)**. (Se viene visualizzato il pulsante **Get Started (Inizia)**, sceglierlo, quindi scegliere **Create Policy (Crea policy)**).
1. Scegliere la scheda **JSON**.
1. Sostituisci il contenuto predefinito con uno dei seguenti, a seconda che l'argomento Amazon SNS utilizzi AWS KMS la crittografia:
------
#### [ SNS topic not encrypted ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": "arn:aws:sns:{{us-east-1}}:{{111122223333}}:{{sns-topic-name}}"
}
]
}
```
------
{{region}}rappresenta l'identificatore di una regione Regione AWS supportata da AWS Systems Manager, ad esempio `us-east-2` per la regione Stati Uniti orientali (Ohio). Per un elenco dei {{region}} valori supportati, vedere la colonna **Regione** negli [endpoint del servizio Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) in. *Riferimenti generali di Amazon Web Services*
{{{{account-id}}}}rappresenta l'identificatore a 12 cifre del tuo Account AWS, nel formato. `123456789012`
{{sns-topic-name}}rappresenta il nome dell'argomento Amazon SNS che desideri utilizzare per la pubblicazione delle notifiche.
------
#### [ SNS topic encrypted ]
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": "arn:aws:sns:{{us-east-1}}:{{111122223333}}:{{sns-topic-name}}"
},
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:{{us-east-1}}:{{111122223333}}:key/{{kms-key-id}}"
}
]
}
```
------
{{region}}rappresenta l'identificatore di una regione Regione AWS supportata da AWS Systems Manager, ad esempio `us-east-2` per la regione Stati Uniti orientali (Ohio). Per un elenco dei {{region}} valori supportati, vedere la colonna **Regione** negli [endpoint del servizio Systems Manager](https://docs.aws.amazon.com/general/latest/gr/ssm.html#ssm_region) in. *Riferimenti generali di Amazon Web Services*
{{{{account-id}}}}rappresenta l'identificatore a 12 cifre del tuo Account AWS, nel formato. `123456789012`
{{sns-topic-name}}rappresenta il nome dell'argomento Amazon SNS che desideri utilizzare per la pubblicazione delle notifiche.
{{kms-key-id}}rappresenta l'ID della chiave KMS di crittografia simmetrica AWS KMS da utilizzare per crittografare e decrittografare l'argomento, nel formato. `1234abcd-12ab-34cd-56ef-12345EXAMPLE`
**Nota**
L'utilizzo della crittografia è a pagamento. AWS KMS Per ulteriori informazioni, consulta [Gestire le chiavi e i costi di crittografia di Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-key-management.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.
------
1. Scegli **Successivo: Tag**.
1. (Facoltativo) Aggiungere una o più coppie tag chiave-valore per organizzare, monitorare o controllare l'accesso per questa policy.
1. Scegli **Prossimo: Rivedi**.
1. Nella pagina **Rivedi policy**, per **Nome** inserisci un nome per la policy in linea. Ad esempio: **my-sns-publish-permissions**.
1. (Facoltativo) In **Description (Descrizione)**, inserire una descrizione per la policy.
1. Scegliere **Create Policy (Crea policy)**.
### Attività 3: creazione di un ruolo IAM per le notifiche di Amazon SNS
La seguente procedura consente di creare un ruolo IAM per le notifiche di Amazon SNS. Questo ruolo di servizio viene utilizzato da Systems Manager per avviare le notifiche Amazon SNS. In tutte le procedure successive, questo ruolo viene chiamato ruolo IAM Amazon SNS.
**Per creare un ruolo di servizio IAM per le notifiche di Amazon SNS**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel pannello di navigazione della console IAM, scegliere **Ruoli** e quindi **Crea ruolo**.
1. Scegli il tipo di ruolo **Servizio AWS**, quindi scegli Systems Manager.
1. Scegli il caso d'uso Systems Manager. Quindi, seleziona **Successivo**.
1. Nella pagina **Attach permissions policies (Collega policy di autorizzazioni)**, selezionare la casella a sinistra del nome della policy personalizzata creata nell'attività 2. Ad esempio: **my-sns-publish-permissions**.
1. (Facoltativo) Impostare un [limite delle autorizzazioni](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html). Questa è una funzionalità avanzata disponibile per i ruoli di servizio, ma non per i ruoli collegati ai servizi.
Apri la sezione **Permissions boundary** (Limite delle autorizzazioni) e scegli **Use a permissions boundary to control the maximum role permissions** (Usa un limite delle autorizzazioni per controllare il numero massimo di autorizzazioni del ruolo). IAM include un elenco delle politiche AWS gestite e gestite dai clienti nel tuo account. Selezionare la policy da utilizzare per il limite delle autorizzazioni o scegliere **Crea policy** per aprire una nuova scheda del browser e creare una nuova policy da zero. Per ulteriori informazioni, consulta [Creating IAM policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) nella *Guida per l’utente di IAM*. Dopo aver creato la politica, chiudi la scheda e torna alla scheda originale per selezionare la politica da utilizzare per il limite delle autorizzazioni.
1. Scegli **Next (Successivo)**.
1. Se possibile, specifica un nome del ruolo o un suffisso del nome del ruolo per facilitare l'identificazione dello scopo del ruolo. I nomi dei ruoli devono essere univoci all'interno dell' Account AWS. Non vengono distinti per caso. Ad esempio, non è possibile creare ruoli denominati sia **PRODROLE** che **prodrole**. Poiché varie entità possono fare riferimento al ruolo, non è possibile modificare il nome del ruolo dopo averlo creato.
1. (Facoltativo) In **Descrizione**, inserisci una descrizione per il nuovo ruolo.
1. Scegli **Modifica** nelle sezioni **Fase 1: seleziona le entità attendibili** o **Fase 2: seleziona autorizzazioni** per modificare i casi d'uso e le autorizzazioni per il ruolo.
1. (Facoltativo) Aggiungi metadati all'utente collegando i tag come coppie chiave-valore. Per ulteriori informazioni sull'utilizzo di tag in IAM, consulta la sezione [Applicazione di tag alle risorse IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) nella *Guida per l'utente di IAM*.
1. Rivedere il ruolo e scegliere **Crea ruolo**.
1. Selezionare il nome del ruolo, quindi copiare o annotare quanto indicato in **Role ARN (ARN ruolo)**. Questo Amazon Resource Name (ARN) per il ruolo viene utilizzato quando si invia un comando configurato per restituire le notifiche Amazon SNS.
1. Tenere aperta la pagina **Riepilogo**.
### Attività 4: configurazione dell'accesso utente
Se a un'entità IAM (utente, ruolo o gruppo) vengono assegnate le autorizzazioni di amministratore, l'utente o il ruolo hanno l'accesso a Run Command e Maintenance Windows, strumenti di AWS Systems Manager.
Per le entità senza autorizzazioni di amministratore, un amministratore deve concedere le seguenti autorizzazioni all'entità IAM:
+ La policy gestita `AmazonSSMFullAccess` o una policy che fornisce autorizzazioni analoghe.
+ Le autorizzazioni `iam:PassRole` per il ruolo creato in [Attività 3: creazione di un ruolo IAM per le notifiche di Amazon SNS](#monitoring-iam-notifications). Esempio:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::{{111122223333}}:role/{{sns-role-name}}",
"Condition": {
"StringEquals": {
"iam:PassedToService": "ssm.amazonaws.com"
}
}
}
]
}
```
------
Per fornire l’accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:
+ Utenti e gruppi in AWS IAM Identity Center:
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) (Creazione di un set di autorizzazioni) nella *Guida per l’utente di AWS IAM Identity Center *.
+ Utenti gestiti in IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) della *Guida per l’utente IAM*.
+ Utenti IAM:
+ Crea un ruolo che l’utente possa assumere. Segui le istruzioni riportate nella pagina [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) della *Guida per l’utente IAM*.
+ (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina [Aggiunta di autorizzazioni a un utente (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente IAM*.
**Per configurare l'accesso utente e collegare la policy `iam:PassRole` a un account utente**
1. Nel riquadro di navigazione IAM, selezionare **Utenti**, quindi selezionare l'account utente che si desidera configurare.
1. Nella scheda **Autorizzazioni** dell'elenco delle policy, verificare che sia presente la policy **AmazonSSMFullAccess** o una policy equivalente che assegni all'account le autorizzazioni di accesso a Systems Manager.
1. Scegliere **Add inline policy** (Aggiungi policy inline).
1. Nella pagina **Create Policy** (Crea policy), scegliere la scheda **Visual editor (Editor visivo)**.
1. Selezionare **Choose a service (Scegli un servizio)** e quindi **IAM**..
1. Per **Azioni**, nella casella di testo **Filtra azioni****PassRole**, immettete e quindi selezionate la casella di controllo accanto a **PassRole**.
1. Per **Resources (Risorse)**, verificare che l'opzione **Specific (Specifico)** sia selezionata, quindi scegliere **Add ARN (Aggiungi ARN)**.
1. Nel campo **Specify ARN for role (Specifica ARN per il ruolo)**, incollare l'ARN del ruolo IAM Amazon SNS copiato alla fine dell'attività 3. Il sistema popola automaticamente i campi **Account** e **Role name with path (Nome ruolo con percorso)**.
1. Scegliere **Add (Aggiungi)**.
1. Scegliere **Review policy** (Rivedi policy).
1. Nella pagina **Review Policy (Rivedi policy)**, inserire un nome, quindi scegliere **Create Policy (Crea policy)**.
### Attività 5: allega la PassRole policy iam: al ruolo della finestra di manutenzione
Quando si registra un'attività Run Command con una finestra di manutenzione, occorre specificare un Amazon Resource Name (ARN) del ruolo di servizio. Questo ruolo di servizio viene utilizzato da Systems Manager per l'esecuzione di attività registrate nella finestra di manutenzione. Per configurare le notifiche Amazon SNS per un'attività registrata Run Command, collegare una policy `iam:PassRole` al ruolo di servizio della finestra specificato. Se non si intende configurare l'attività registrata per le notifiche Amazon SNS, questa attività può essere ignorata.
La policy `iam:PassRole` consente al ruolo di servizio Maintenance Windows di passare il ruolo IAM Amazon SNS creato nell'attività 3 al servizio Amazon SNS. La procedura seguente mostra come collegare la policy `iam:PassRole` al ruolo di servizio Maintenance Windows.
**Nota**
Per inviare notifiche correlate alle attività Run Command registrate, occorre utilizzare un ruolo di servizio personalizzato per la finestra di manutenzione. Per informazioni, consultare [Configurazione di Maintenance Windows](setting-up-maintenance-windows.md).
Se hai bisogno di creare un ruolo di servizio personalizzato per le attività della finestra di manutenzione, consulta la sezione [Configurazione di Maintenance Windows](setting-up-maintenance-windows.md).
**Per collegare la policy `iam:PassRole` al proprio ruolo Maintenance Windows**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, selezionare **Roles (Ruoli)** e selezionare il ruolo IAM Amazon SNS creato nell'attività 3.
1. Copiare o annotare l'**ARN del ruolo** e tornare alla sezione **Roles (Ruoli)** della console IAM.
1. Selezionare il ruolo di servizio personalizzato Maintenance Windows creato dall'elenco **Nome ruolo**.
1. Nella scheda **Autorizzazioni**, verifica che la policy `AmazonSSMMaintenanceWindowRole` sia elencata o che ce ne sia una analoga che conceda l'autorizzazione alle finestre di manutenzione per l'API di Systems Manager. In caso contrario, scegli **Aggiungi autorizzazioni, Collega policy** per collegarla.
1. Scegli **Add permissions, Create inline policy** (Aggiungi autorizzazioni, Crea policy inline).
1. Scegliere la scheda **Visual Editor (Editor visivo)**.
1. In **Service (Servizio)** scegliere **IAM**.
1. Per **Azioni**, nella casella di testo **Filtra azioni**, inserisci**PassRole**, quindi seleziona la casella di controllo accanto a **PassRole**.
1. Per **Resources (Risorse)**, scegliere **Specific (Specifico)**, quindi scegliere **Add ARN (Aggiungi ARN)**.
1. Nella casella **Specify ARN for role (Specifica ARN per ruolo)**, incollare l'ARN del ruolo IAM Amazon SNS creato nell'attività 3 e quindi scegliere **Add (Aggiungi)**.
1. Scegliere **Esamina policy**.
1. Nella pagina **Rivedi policy**, specifica un nome per la policy `PassRole`, quindi scegli **Crea policy**.