• 2026 年 4 月 30 日之後將不再提供 AWS Systems Manager CloudWatch Dashboard。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板，就像現在一樣。如需詳細資訊，請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 步驟 3：控制工作階段對受管節點的存取權
<a name="session-manager-getting-started-restrict-access"></a>

您可以使用 AWS Identity and Access Management (IAM) 政策授予或撤銷受管節點的Session Manager存取權。您可以建立政策並將其連接到某個 IAM 使用者或群組，以指定該使用者或群組可連線到哪些受管節點。您也可以指定該使用者或群組可在這些受管節點上執行的 Session Manager API 操作。

為了協助您開始使用 Session Manager 的 IAM 許可政策，我們建立了適用於最終使用者和管理員使用者的範例政策。您只需對這些政策稍做變更便可加以利用。您也可以將它們用作建立自訂 IAM 政策時的指南。如需詳細資訊，請參閱[適用於 Session Manager 的範例 IAM 政策](getting-started-restrict-access-quickstart.md)。如需有關如何建立 IAM 政策並將其連接至使用者或群組的相關資訊，請參閱《IAM 使用者指南》**中的[建立 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)和[新增和移除 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。

**關於工作階段 ID ARN 格式**  
為 Session Manager 存取權建立 IAM 政策時，您需要將工作階段 ID 指定為 Amazon Resource Name (ARN) 的一部分。該工作階段 ID 包含使用者名稱做為變數。為了更好地說明，以下是 Session Manager ARN 的格式和一個範例：

```
arn:aws:ssm:{{region-id}}:{{account-id}}:session/{{session-id}}
```

例如：

```
arn:aws:ssm:us-east-2:123456789012:session/JohnDoe-1a2b3c4d5eEXAMPLE
```

如需有關在 IAM 政策中使用變數的詳細資訊，請參閱 [IAM 政策元素：變數](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)。

**Topics**
+ [透過在 IAM 政策中指定預設的工作階段文件來啟動預設 Shell 工作階段](getting-started-default-session-document.md)
+ [透過在 IAM 政策中指定工作階段文件使用文件啟動預工作階段](getting-started-specify-session-document.md)
+ [適用於 Session Manager 的範例 IAM 政策](getting-started-restrict-access-quickstart.md)
+ [Session Manager 的其他 IAM 政策範例](getting-started-restrict-access-examples.md)