• AWS Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息，请参阅 [Amazon CloudWatch 控制面板文档](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。

# 通过在 IAM policy 中指定会话文档来启动与文档的会话
<a name="getting-started-specify-session-document"></a>

如果使用默认会话文档的 [start-session](https://docs.aws.amazon.com/cli/latest/reference/ssm/start-session.html) AWS CLI 命令，则可以省略文档名称。系统会自动调用 `SSM-SessionManagerRunShell` 会话文档。

在所有其他情况下，您必须为 `document-name` 参数指定一个值。当用户在命令中指定会话文档的名称时，系统会检查其 IAM policy，以验证他们是否有权访问该文档。如果他们没有权限，连接请求就会失败。以下示例包括 `AWS-StartPortForwardingSession` 会话文档中的 `document-name` 参数。

```
aws ssm start-session \
    --target i-02573cafcfEXAMPLE \
    --document-name AWS-StartPortForwardingSession \
    --parameters '{"portNumber":["80"], "localPortNumber":["56789"]}'
```

有关在 IAM 策略中指定 Session Manager 会话文档的示例，请参阅 [Session Manager 的快速入门最终用户策略](getting-started-restrict-access-quickstart.md#restrict-access-quickstart-end-user)。

**注意**  
要使用 SSH 启动会话，必须在目标托管式节点*和*用户的本地计算机上完成配置步骤。有关信息，请参阅[（可选）通过 Session Manager 允许和控制 SSH 连接的权限](session-manager-getting-started-enable-ssh-connections.md)。