• 2026 年 4 月 30 日之後將不再提供 AWS Systems Manager CloudWatch Dashboard。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。 本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 中的資料周邊 AWS Systems Manager 資料周邊是 AWS 環境中的一組預防性護欄,可協助確保只有來自預期網路和資源的受信任身分才能存取您的資料。當您實作資料周邊控制時,您可能需要包含 Systems Manager 代表您存取 AWS 的服務擁有資源例外狀況。 **範例案例:SSM 文件類別 S3 儲存貯體** Systems Manager 會存取 AWS 受管 S3 儲存貯體,以擷取 的文件類別資訊[AWS Systems Manager Documents](documents.md)。此儲存貯體包含有關文件類別的中繼資料,可協助在主控台中整理和分類 SSM 文件。 資源 ARN 模式 `arn:aws:s3:::ssm-document-categories-region` 區域範例: + `arn:aws:s3:::ssm-document-categories-us-east-1` + `arn:aws:s3:::ssm-document-categories-us-west-2` + `arn:aws:s3:::ssm-document-categories-eu-west-1` + `arn:aws:s3:::ssm-document-categories-ap-northeast-1` 存取時 當您在 Systems Manager 主控台中檢視 SSM 文件,或使用擷取文件中繼資料和類別的 API 時,會存取此資源。 資料已儲存 儲存貯體包含具有文件類別定義和中繼資料的 JSON 檔案。此資料為唯讀,而且不包含客戶特定資訊。 使用的身分 Systems Manager 會代表您的要求,使用 AWS 服務登入資料來存取此資源。 所需的許可 儲存貯體內容中的 `s3:GetObject`。 **資料周界政策考量** 使用具有 等條件的服務控制政策 (SCPs) 或 VPC 端點政策實作資料周邊控制時`aws:ResourceOrgID`,您需要為 Systems Manager 所需的 AWS 服務擁有資源建立例外狀況。 例如,如果您使用 SCP 搭配 `aws:ResourceOrgID` 來限制對組織外部資源的存取,則需要為 SSM 文件類別儲存貯體新增例外狀況。 此政策需要存取組織外部的資源,但包含適當 S3 儲存貯體的例外狀況,允許 Systems Manager 繼續正常運作。 同樣地,如果您使用 VPC 端點政策來限制 S3 存取,則您需要確保可透過 VPC 端點存取 SSM 文件類別儲存貯體。 **其他資訊** 如需 中資料周邊的詳細資訊 AWS,請參閱下列主題: + [資料周邊開啟 AWS](https://aws.amazon.com/identity/data-perimeters-on-aws/)。 + 《*IAM 使用者指南*》中的[使用資料周邊建立許可護欄](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_data-perimeters.html) + GitHub 上*AWS 範例*儲存庫中的[服務特定指引: AWS Systems Manager](https://github.com/aws-samples/data-perimeter-policy-examples/blob/main/service_specific_guidance/ssm-specific-guidance.md) 和服務[擁有的資源](https://github.com/aws-samples/data-perimeter-policy-examples/blob/main/service_owned_resources.md)