• 2026 年 4 月 30 日之後將不再提供 AWS Systems Manager CloudWatch Dashboard。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 變更為 AWS KMS 客戶受管金鑰以加密 S3 資源
在 Systems Manager 整合式主控台的加入程序期間,Quick Setup 會在委派管理員帳戶中建立 Amazon Simple Storage Service (Amazon S3) 儲存貯體。此儲存貯體用於存放修復執行手冊執行期間產生的診斷輸出資料。依預設,此儲存貯體將伺服器端加密與 Amazon S3 受管金鑰 (SSE-S3) 搭配使用。
您可以在[Systems Manager 整合式主控台的 S3 儲存貯體政策](remediate-s3-bucket-policies.md)中檢閱這些政策的內容。
不過,您可以改為使用伺服器端加密搭配 AWS KMS keys (SSE-KMS),使用客戶受管金鑰 (CMK) 做為 的替代方案 AWS KMS key。
要設定 Systems Manager 來使用 CMK,請完成下列任務。
## 任務 1:將標籤新增至現有 CMK
AWS Systems Manager 只有在 CMK 加上下列鍵值對的標籤時, 才會使用您的 CMK:
+ 索引鍵:`SystemsManagerManaged`
+ 值:`true`
按照下列程序提供使用 CMK 加密 S3 儲存貯體的存取權。
**將標籤新增至現有 CMK**
1. 在 https://[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 開啟 AWS KMS 主控台。
1. 在左側導覽列中,選擇**客戶自管金鑰**。
1. 選取要搭配使用 AWS KMS key 的 AWS Systems Manager。
1. 選擇**標籤**索引標籤,然後選擇**編輯**。
1. 選擇 **Add tag (新增標籤)**。
1. 請執行下列操作:
1. 對於 **Tag key** (標籤索引鍵),輸入 **SystemsManagerManaged**。
1. 在**標籤值**欄位中輸入 **true**。
1. 選擇**儲存**。
## 任務 2:修改現有 CMK 金鑰政策
使用下列程序來更新 CMK 的 [KMS 金鑰政策](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html),以允許 AWS Systems Manager 角色代表您加密 S3 儲存貯體。
**修改現有 CMK 金鑰政策**
1. 在 https://[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 開啟 AWS KMS 主控台。
1. 在左側導覽列中,選擇**客戶自管金鑰**。
1. 選取要搭配使用 AWS KMS key 的 AWS Systems Manager。
1. 在**金鑰政策**標籤中,選擇**編輯**。
1. 將下列 JSON 陳述式新增至 `Statement` 欄位,再使用自己的資訊取代{{預留位置值}}。
請確定您在 AWS Systems Manager `Principal` 欄位中將組織中加入的所有 AWS 帳戶 IDs 新增至 。
若要在 Amazon S3 主控台中找到正確的儲存貯體名稱,請在委派管理員帳戶中找到如下格式的儲存貯體:`do-not-delete-ssm-{{operational-account-id}}-{{home-region}}-{{disambiguator}}`。
```
{
"Sid": "EncryptionForSystemsManagerS3Bucket",
"Effect": "Allow",
"Principal": {
"AWS": [
"{{account-id-1}}",
"{{account-id-2}}",
...
]
},
"Action": ["kms:Decrypt", "kms:GenerateDataKey"],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::{{amzn-s3-demo-bucket}}"
},
"StringLike": {
"kms:ViaService": "s3.*.amazonaws.com"
},
"ArnLike": {
"aws:PrincipalArn": "arn:aws:iam::*:role/AWS-SSM-*"
}
}
}
```
**提示**
或者,您可以使用 [aws:PrincipalOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgid) 條件金鑰來更新 CMK 金鑰政策,以授予 CMK 的 AWS Systems Manager 存取權。
## 任務 3:在 Systems Manager 設定中指定 CMK
完成前兩個任務後,按照下列程序變更 S3 儲存貯體加密。此變更可確保相關聯的 Quick Setup 組態程序可以新增許可,讓 Systems Manager 接受 CMK。
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇**設定**。
1. 在**診斷和修復**索引標籤上,從**更新 S3 儲存貯體加密**區段中選擇**編輯**。
1. 選取**自訂加密設定 (進階)** 核取方塊。
1. 在搜尋 () 方塊中,選擇現有金鑰的 ID,或貼上現有金鑰的 ARN。
1. 選擇**儲存**。