• AWS Systems Manager CloudWatch Dasbor tidak akan lagi tersedia setelah 30 April 2026. Pelanggan dapat terus menggunakan CloudWatch konsol Amazon untuk melihat, membuat, dan mengelola CloudWatch dasbor Amazon mereka, seperti yang mereka lakukan hari ini. Untuk informasi selengkapnya, lihat [dokumentasi CloudWatch Dasbor Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Mengubah ke kunci yang dikelola AWS KMS pelanggan untuk mengenkripsi sumber daya S3
<a name="remediate-s3-bucket-encryption"></a>

Selama proses orientasi untuk konsol Systems Manager terpadu, Quick Setup buat bucket Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) di akun administrator yang didelegasikan. Bucket ini digunakan untuk menyimpan data keluaran diagnosis yang dihasilkan selama eksekusi runbook remediasi. Secara default, bucket menggunakan enkripsi sisi server dengan kunci terkelola Amazon S3 (). SSE-S3

Anda dapat meninjau konten kebijakan ini di[Kebijakan bucket S3 untuk konsol Systems Manager terpadu](remediate-s3-bucket-policies.md).

Namun, Anda dapat menggunakan enkripsi sisi server dengan AWS KMS keys (SSE-KMS) menggunakan kunci terkelola pelanggan (CMK) sebagai alternatif untuk file. AWS KMS key

Selesaikan tugas-tugas berikut untuk mengonfigurasi Systems Manager untuk menggunakan CMK Anda.

## Tugas 1: Tambahkan tag ke CMK yang ada
<a name="remediate-s3-bucket-encryption-add-kms-tag"></a>

AWS Systems Manager menggunakan CMK Anda hanya jika ditandai dengan pasangan kunci-nilai berikut:
+ Kunci: `SystemsManagerManaged`
+ Nilai: `true`

Gunakan prosedur berikut untuk menyediakan akses untuk mengenkripsi bucket S3 dengan CMK Anda.

**Untuk menambahkan tag ke CMK yang ada**

1. Buka AWS KMS konsol di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Di navigasi kiri, pilih **Kunci yang dikelola pelanggan**.

1. Pilih yang AWS KMS key akan digunakan dengan AWS Systems Manager.

1. Pilih tab **Tag**, lalu pilih **Edit**.

1. Pilih **Tambahkan tanda**.

1. Lakukan hal-hal berikut:

   1. Untuk **Kunci tag**, masukkan **SystemsManagerManaged**.

   1. Untuk **nilai Tag**, masukkan**true**.

1. Pilih **Simpan**.

## Tugas 2: Ubah kebijakan kunci CMK yang ada
<a name="remediate-s3-bucket-encryption-update-kms-policy"></a>

Gunakan prosedur berikut untuk memperbarui [kebijakan kunci KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) CMK Anda untuk mengizinkan AWS Systems Manager peran mengenkripsi bucket S3 atas nama Anda.

**Untuk memodifikasi kebijakan kunci CMK yang ada**

1. Buka AWS KMS konsol di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Di navigasi kiri, pilih **Kunci yang dikelola pelanggan**.

1. Pilih yang AWS KMS key akan digunakan dengan AWS Systems Manager.

1. Di tab **Kebijakan kunci**, pilih **Edit**.

1. Tambahkan pernyataan JSON berikut ke `Statement` bidang, dan ganti {{placeholder values}} dengan informasi Anda sendiri.

   Pastikan Anda menambahkan semua Akun AWS ID yang dionboard di organisasi Anda ke AWS Systems Manager dalam bidang. `Principal`

   Untuk menemukan nama bucket yang benar di konsol Amazon S3, di akun administrator yang didelegasikan, cari bucket dalam format. `do-not-delete-ssm-{{operational-account-id}}-{{home-region}}-{{disambiguator}}`

   ```
   {
        "Sid": "EncryptionForSystemsManagerS3Bucket",
        "Effect": "Allow",
        "Principal": {
            "AWS": [
                "{{account-id-1}}",
                "{{account-id-2}}",
                ...
            ]
        },
        "Action": ["kms:Decrypt", "kms:GenerateDataKey"],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::{{amzn-s3-demo-bucket}}"
            },
            "StringLike": {
                "kms:ViaService": "s3.*.amazonaws.com"
            },
            "ArnLike": {
                "aws:PrincipalArn": "arn:aws:iam::*:role/AWS-SSM-*"
            }
        }
    }
   ```

**Tip**  
Atau, Anda dapat memperbarui kebijakan kunci CMK menggunakan [aws: PrincipalOrg ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) condition key untuk memberikan AWS Systems Manager akses ke CMK Anda.

## Tugas 3: Tentukan CMK di pengaturan Systems Manager
<a name="remediate-s3-bucket-encryption-update-setting"></a>

Setelah menyelesaikan dua tugas sebelumnya, gunakan prosedur berikut untuk mengubah enkripsi bucket S3. Perubahan ini memastikan bahwa proses Quick Setup konfigurasi terkait dapat menambahkan izin bagi Systems Manager untuk menerima CMK Anda.

1. Buka AWS Systems Manager konsol di [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/).

1. Pada panel navigasi, silakan pilih **Pengaturan**.

1. **Pada tab **Diagnosa dan remediasi**, di bagian **enkripsi bucket Update S3**, pilih Edit.**

1. Pilih kotak centang **Sesuaikan pengaturan enkripsi (lanjutan)**.

1. Di kotak search (![The search icon](http://docs.aws.amazon.com/id_id/systems-manager/latest/userguide/images/search-icon.png)), pilih ID kunci yang ada, atau tempel ARN dari kunci yang ada.

1. Pilih **Simpan**.