• AWS Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息，请参阅 [Amazon CloudWatch 控制面板文档](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。

# AWS Systems Manager 中的数据边界
<a name="data-perimeters"></a>

数据边界是 AWS 环境中的一组预防性防护机制，可帮助确保只有来自预期网络和资源的可信身份才能访问您的数据。在实施数据边界控制时，可能需要包括 Systems Manager 代表您访问的 AWS 服务自有资源的例外情况。

**示例场景：SSM 文档类别 S3 存储桶**  
Systems Manager 访问 AWS 托管的 S3 存储桶，以检索 [AWS Systems Manager 文档](documents.md) 的文档类别信息。此存储桶包含有关文档类别的元数据，可帮助在控制台中组织和分类 SSM 文档。

资源 ARN 模式  
`arn:aws:s3:::ssm-document-categories-region`  
区域示例：  
+ `arn:aws:s3:::ssm-document-categories-us-east-1`
+ `arn:aws:s3:::ssm-document-categories-us-west-2`
+ `arn:aws:s3:::ssm-document-categories-eu-west-1`
+ `arn:aws:s3:::ssm-document-categories-ap-northeast-1`

访问时  
当您在 Systems Manager 控制台中查看 SSM 文档或使用检索文档元数据和类别的 API 时，可以访问此资源。

存储的数据  
存储桶包含带有文档类别定义和元数据的 JSON 文件。此数据为只读数据，不包含客户特定信息。

使用的身份  
Systems Manager 使用 AWS 服务凭证代表您的请求访问此资源。

所需的权限  
对存储桶内容的 `s3:GetObject`。

**数据边界策略注意事项**  
使用具有 `aws:ResourceOrgID` 等条件的服务控制策略（SCP）或 VPC 端点策略实施数据边界控制时，需要为 Systems Manager 所需的 AWS 服务自有资源创建例外情况。

例如，如果您使用具有 `aws:ResourceOrgID` 的 SCP 来限制对组织外部资源的访问，则需要为 SSM 文档类别存储桶添加例外情况。

该策略需要访问组织外部的资源，但要包含对相应 S3 存储桶的例外情况，以便 Systems Manager 能够继续正常运行。

同样，如果您使用 VPC 端点策略来限制 S3 访问，则需要确保可通过您的 VPC 端点访问 SSM 文档类别存储桶。

**更多信息**  
有关 AWS 中的数据边界的更多信息，请参阅以下主题：
+ [AWS 上的数据边界](https://aws.amazon.com/identity/data-perimeters-on-aws/)。
+ 《IAM 用户指南》**中的[使用数据边界建立权限防护机制](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_data-perimeters.html)
+ GitHub 上的 *AWS Samples* 存储库中的 [Service-specific guidance: AWS Systems Manager](https://github.com/aws-samples/data-perimeter-policy-examples/blob/main/service_specific_guidance/ssm-specific-guidance.md) 和 [Service-owned resources](https://github.com/aws-samples/data-perimeter-policy-examples/blob/main/service_owned_resources.md)