• AWS Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息,请参阅 [Amazon CloudWatch 控制面板文档](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
# 更改为 AWS KMS 客户自主管理型密钥以加密 S3 资源
在 Systems Manager 统一控制台的载入过程中,Quick Setup会在委派管理员账户中创建一个 Amazon Simple Storage Service(Amazon S3)存储桶。此存储桶用于存储在修复运行手册执行期间生成的诊断输出数据。默认情况下,存储桶使用具有 Amazon S3 托管密钥的服务器端加密 (SSE-S3)。
您可以在 [Systems Manager 统一控制台的 S3 存储桶策略](remediate-s3-bucket-policies.md) 中查看这些策略的内容。
但是,您可以改用具有 AWS KMS keys的服务器端加密 (SSE-KMS),并使用客户自主管理型密钥 (CMK) 代替 AWS KMS key。
请完成以下任务,以将 Systems Manager 配置为使用您的 CMK。
## 任务 1:向现有 CMK 添加标签
仅当使用以下键值对进行标记时,AWS Systems Manager 才会使用您的 CMK:
+ 键:`SystemsManagerManaged`
+ 值:`true`
使用以下过程来提供使用您的 CMK 加密 S3 存储桶的访问权限。
**向现有 CMK 添加标签**
1. 从 [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 打开 AWS KMS 控制台。
1. 在左侧导航中,选择**客户管理的密钥**。
1. 选择要与 AWS Systems Manager 一起使用的 AWS KMS key。
1. 选择**标签**选项卡,然后选择**编辑**。
1. 选择 **Add tag(添加标签)**。
1. 执行以下操作:
1. 在 **Tag key**(标签键)中输入 **SystemsManagerManaged**。
1. 对于**标签值**,输入 **true**。
1. 选择**保存**。
## 任务 2:修改现有 CMK 密钥政策
使用以下过程来更新您的 CMK 的 [KMS 密钥政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html),以允许 AWS Systems Manager 角色代表您加密 S3 存储桶。
**修改现有 CMK 密钥政策**
1. 从 [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 打开 AWS KMS 控制台。
1. 在左侧导航中,选择**客户管理的密钥**。
1. 选择要与 AWS Systems Manager 一起使用的 AWS KMS key。
1. 在**密钥策略**选项卡上,选择**编辑**。
1. 在 `Statement` 字段中添加下面的 JSON 语句,然后将{{占位符值}}替换为您自己的信息。
确保在 `Principal` 字段中添加已载入您组织中的 AWS Systems Manager 的所有 AWS 账户 ID。
要在 Amazon S3 控制台中找到正确的存储桶名称,请在委派管理员账户中找到格式为 `do-not-delete-ssm-{{operational-account-id}}-{{home-region}}-{{disambiguator}}` 的存储桶。
```
{
"Sid": "EncryptionForSystemsManagerS3Bucket",
"Effect": "Allow",
"Principal": {
"AWS": [
"{{account-id-1}}",
"{{account-id-2}}",
...
]
},
"Action": ["kms:Decrypt", "kms:GenerateDataKey"],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::{{amzn-s3-demo-bucket}}"
},
"StringLike": {
"kms:ViaService": "s3.*.amazonaws.com"
},
"ArnLike": {
"aws:PrincipalArn": "arn:aws:iam::*:role/AWS-SSM-*"
}
}
}
```
**提示**
或者,您可以使用 [aws:PrincipalOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) 条件键更新 CMK 密钥政策,以授予 AWS Systems Manager 对您的 CMK 的访问权限。
## 任务 3:在 Systems Manager 设置中指定 CMK
完成前两个任务后,请使用以下过程来更改 S3 存储桶加密。此更改可确保关联的Quick Setup配置过程可以为 Systems Manager 添加接受 CMK 的权限。
1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/),打开 AWS Systems Manager 控制台。
1. 在导航窗格中,选择**设置**。
1. 在**诊断并修复**选项卡上的**更新 S3 存储桶加密**部分中,选择**编辑**。
1. 选中**自定义加密设置(高级)**复选框。
1. 在搜索 () 框中,选择现有密钥的 ID 或粘贴现有密钥的 ARN。
1. 选择**保存**。