• 2026 年 4 月 30 日之後, AWS Systems Manager CloudWatch Dashboard 將不再可用。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。 本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 為 Linux 和 macOS 受管節點開啟執行身分支援 依預設,Session Manager 會使用系統產生之 `ssm-user` 帳戶 (帳戶在受管節點上建立) 的憑證來驗證連線。在 Linux 和 macOS 機器上,帳戶新增到 `/etc/sudoers/`。如果可以選擇,您可以改為使用作業系統 (OS) 使用者帳戶的憑證,或是加入了 Active Directory 的執行個體的網域使用者來驗證工作階段。在此情況下,Session Manager 會在啟動工作階段之前,驗證您指定的作業系統帳戶是否存在於節點上或網域中。如果您嘗試使用節點上或網域中不存在的作業系統帳戶來啟動工作階段,則連線將會失敗。 **注意** Session Manager 不支援使用作業系統的 `root` 使用者帳戶來驗證連線。對於使用作業系統使用者帳戶驗證的工作階段,節點的作業系統層級和目錄政策 (如登入限制或系統資源使用限制) 可能不適用。 **運作方式** 如果您為工作階段開啟執行身分支援,系統會如下檢查存取許可: 1. 啟動工作階段的使用者的 IAM 實體 (使用者或角色) 是否都已使用 `SSMSessionRunAs = os user account name` 標記? 如果是,該受管節點上是否存在作業系統使用者名稱? 如果有,就開始工作階段。如果沒有,則不允許工作階段開始。 如果 IAM 實體尚*未*使用 `SSMSessionRunAs = os user account name` 標記,請繼續執行步驟 2。 1. 如果 IAM 實體尚未標記 `SSMSessionRunAs = os user account name`,是否已在 AWS 帳戶的Session Manager偏好設定中指定作業系統使用者名稱? 如果是,該受管節點上是否存在作業系統使用者名稱? 如果有,就開始工作階段。如果沒有,則不允許工作階段開始。 **注意** 如果啟動執行身分支援,它會防止 Session Manager 使用受管理節點上的 `ssm-user` 帳戶啟動工作階段。這表示如果 Session Manager 無法使用指定的作業系統使用者帳戶進行連線,則不會返回使用預設方法進行連線。 如果您在未指定作業系統帳戶或標記 IAM 實體的情況下啟用執行身分,且尚未在 Session Manager 偏好設定中指定作業系統帳戶,則工作階段連線嘗試將會失敗。 **為 Linux 和 macOS 受管節點開啟執行身分支援** 1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。 1. 在導覽窗格中,選擇 **Session Manager**。 1. 選擇 **Preferences (偏好)** 標籤,然後選擇 **Edit (編輯)**。 1. 選取 **為 Linux 執行個體啟用執行身分支援**旁的核取方塊。 1. 執行以下任意一項: + **選項 1**:在**作業系統使用者名稱**欄位,輸入您想要用來啟動工作階段的作業系統使用者帳戶名稱。使用此選項,所有工作階段都會由使用 AWS 帳戶 連線的 中所有使用者的相同作業系統使用者執行Session Manager。 + **選項 2** (建議):選擇**開啟 IAM 主控台**連結。在導覽窗格中,選擇 **Users (使用者)** 或者 **Roles (角色)**。選擇要新增標籤的實體 (使用者或角色),然後選擇 **Tags** (標籤) 標籤。在金鑰名稱輸入 `SSMSessionRunAs`。在鍵值中輸入作業系統使用者帳戶的名稱。選擇**儲存變更**。 使用此選項,您可以視需要為不同的 IAM 實體指定唯一的作業系統使用者。如需有關標記 IAM 實體 (使用者或角色) 的詳細資訊,請參閱 *IAM User Guide* 中的 [Tagging IAM resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。 下列是 範例。 ![\[指定 Session Manager 執行身分許可標籤的螢幕擷取畫面。\]](http://docs.aws.amazon.com/zh_tw/systems-manager/latest/userguide/images/ssn-run-as-tags.png) 1. 選擇**儲存**。