• Le AWS Systems Manager CloudWatch tableau de bord ne sera plus disponible après le 30 avril 2026. Les clients peuvent continuer à utiliser CloudWatch la console Amazon pour consulter, créer et gérer leurs CloudWatch tableaux de bord Amazon, comme ils le font aujourd'hui. Pour plus d'informations, consultez la [documentation Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Passage à une clé gérée par le AWS KMS client pour chiffrer les ressources S3
Au cours du processus d’intégration à la console unifiée Systems Manager, Quick Setup crée un compartiment Amazon Simple Storage Service (Amazon S3) dans le compte administrateur délégué. Ce compartiment est utilisé pour stocker les données de sortie de diagnostic générées lors des exécutions de dossier d’exploitation de réparation. Par défaut, le compartiment utilise le chiffrement côté serveur avec des clés gérées par Amazon S3 ()SSE-S3.
Vous pouvez consulter le contenu de ces politique dans [Stratégies de compartiment S3 pour la console unifiée Systems Manager](remediate-s3-bucket-policies.md).
Cependant, vous pouvez plutôt utiliser le chiffrement côté serveur avec AWS KMS keys (SSE-KMS) à l'aide d'une clé gérée par le client (CMK) comme alternative à un. AWS KMS key
Effectuez les tâches suivantes afin de configurer Systems Manager pour qu’il utilise votre clé CMK.
## Tâche 1 : ajouter une balise à une clé CMK existante
AWS Systems Manager utilise votre clé CMK uniquement si elle est étiquetée avec la paire clé-valeur suivante :
+ Clé : `SystemsManagerManaged`
+ Valeur : `true`
Utilisez la procédure suivante pour fournir un accès permettant de chiffrer le compartiment S3 avec votre clé CMK.
**Pour ajouter une balise à votre clé CMK existante**
1. Ouvrez la AWS KMS console à l'adresse [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Dans le volet de navigation de gauche, choisissez **Clés gérées par le client**.
1. Sélectionnez le avec lequel AWS KMS key vous souhaitez l'utiliser AWS Systems Manager.
1. Choisissez l’onglet **Balises**, et ensuite **Modifier**.
1. Choisissez **Ajouter une balise**.
1. Procédez comme suit :
1. Pour le champ **Tag key (Clé de balise)**, entrez **SystemsManagerManaged**.
1. Pour **Valeur de la balise**, saisissez **true**.
1. Choisissez **Enregistrer**.
## Tâche 2 : modifier une stratégie de clé CMK existante
Utilisez la procédure suivante pour mettre à jour la [politique de clé KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) de votre clé CMK afin de permettre aux AWS Systems Manager rôles de chiffrer le compartiment S3 en votre nom.
**Pour modifier une stratégie de clé CMK existante**
1. Ouvrez la AWS KMS console à l'adresse [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Dans le volet de navigation de gauche, choisissez **Clés gérées par le client**.
1. Sélectionnez le avec lequel AWS KMS key vous souhaitez l'utiliser AWS Systems Manager.
1. Dans l'onglet **Stratégie de clé** choisissez **Modifier**.
1. Ajoutez l'instruction JSON suivante au `Statement` champ et remplacez-la {{placeholder values}} par vos propres informations.
Assurez-vous d'ajouter tous les Compte AWS identifiants intégrés dans votre organisation sur le AWS Systems Manager `Principal` terrain.
Pour trouver le nom du compartiment correct dans la console Amazon S3, dans le compte d’administrateur délégué, localisez le compartiment au format `do-not-delete-ssm-{{operational-account-id}}-{{home-region}}-{{disambiguator}}`.
```
{
"Sid": "EncryptionForSystemsManagerS3Bucket",
"Effect": "Allow",
"Principal": {
"AWS": [
"{{account-id-1}}",
"{{account-id-2}}",
...
]
},
"Action": ["kms:Decrypt", "kms:GenerateDataKey"],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::{{amzn-s3-demo-bucket}}"
},
"StringLike": {
"kms:ViaService": "s3.*.amazonaws.com"
},
"ArnLike": {
"aws:PrincipalArn": "arn:aws:iam::*:role/AWS-SSM-*"
}
}
}
```
**Astuce**
Vous pouvez également mettre à jour la politique relative aux clés CMK à l'aide de la clé de condition [aws : PrincipalOrg ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) pour autoriser l' AWS Systems Manager accès à votre clé CMK.
## Tâche 3 : spécifier le CMK dans les paramètres de Systems Manager
Après avoir effectué les deux tâches précédentes, suivez la procédure suivante pour modifier le chiffrement du compartiment S3. Cette modification garantit que le processus de configuration Quick Setup associé peut ajouter des autorisations permettant à Systems Manager d’accepter votre clé CMK.
1. Ouvrez la AWS Systems Manager console à l'adresse [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).
1. Dans le panneau de navigation, sélectionnez **Settings** (Paramètres).
1. Dans l’onglet **Diagnostiquer et corriger**, dans la section **Mettre à jour le chiffrement du compartiment S3**, sélectionnez **Modifier**.
1. Cochez la case **Personnaliser les paramètres de chiffrement (avancé)**.
1. Dans la zone de recherche (), sélectionnez l’ID d’une clé existante ou collez l’ARN d’une clé existante.
1. Choisissez **Enregistrer**.