• Amazon Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息，请参阅 [Amazon CloudWatch 控制面板文档](https://docs.amazonaws.cn/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。

# Amazon Systems Manager 中的数据保护
<a name="data-protection"></a>

数据保护指在数据*传输*（发往和离开 Systems Manager 时）和*处于静态*（存储 Amazon 数据中心内）期间保护数据。

Amazon [责任共担模式](https://www.amazonaws.cn/compliance/shared-responsibility-model/)适用于 Amazon Systems Manager 中的数据保护。如该模式中所述，Amazon 负责保护运行所有 Amazon Web Services 云 的全球基础架构。您负责维护对托管在此基础结构上的内容的控制。您还负责您所使用的 Amazon Web Services 服务 的安全配置和管理任务。有关数据隐私的更多信息，请参阅[数据隐私常见问题](https://www.amazonaws.cn/compliance/data-privacy-faq/)。

出于数据保护目的，建议您保护 Amazon Web Services 账户 凭证并使用 Amazon IAM Identity Center 或 Amazon Identity and Access Management（IAM）设置单个用户。这样，每个用户只获得履行其工作职责所需的权限。还建议您通过以下方式保护数据：
+ 对每个账户使用多重身份验证（MFA）。
+ 使用 SSL/TLS 与 Amazon 资源进行通信。我们要求使用 TLS 1.2，建议使用 TLS 1.3。
+ 使用 Amazon CloudTrail 设置 API 和用户活动日记账记录。有关使用 CloudTrail 跟踪来捕获 Amazon 活动的信息，请参阅《Amazon CloudTrail 用户指南》**中的[使用 CloudTrail 跟踪](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 Amazon 加密解决方案以及 Amazon Web Services 服务中的所有默认安全控制。
+ 使用高级托管安全服务（例如 Amazon Macie），它有助于发现和保护存储在 Amazon S3 中的敏感数据。
+ 如果在通过命令行界面或 API 访问 Amazon 时需要经过 FIPS 140-3 验证的加密模块，请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息，请参阅[《美国联邦信息处理标准（FIPS）第 140-3 版》](https://www.amazonaws.cn/compliance/fips/)。

强烈建议您切勿将机密信息或敏感信息（如您客户的电子邮件地址）放入标签或自由格式文本字段（如**名称**字段）。这包括使用控制台、API、Amazon CLI 或 Amazon SDK 处理 Systems Manager 或其他 Amazon Web Services 服务时。在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供网址，强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。

## 数据加密
<a name="data-encryption"></a>

### 静态加密
<a name="encryption-at-rest"></a>

**Parameter Store 参数**  
您可以在 Parameter Store（Amazon Systems Manager 中的一项工具）中创建的参数类型包括 `String`、`StringList` 和 `SecureString`。

所有参数，无论其类型如何，传输过程中和静止状态下都会加密。在传输过程中，使用传输层安全性协议（TLS）对参数进行加密，以便为 API 请求创建安全的 HTTPS 连接。在静态状态下，使用 Amazon Key Management Service（Amazon KMS）中的 Amazon 拥有的密钥 对参数进行加密。有关 Amazon 拥有的密钥 加密的更多信息，请参阅《Amazon Key Management Service Developer Guide》**中的 [Amazon 拥有的密钥](https://docs.amazonaws.cn/kms/latest/developerguide/concepts.html#aws-owned-cmk)。

`SecureString` 类型支持其他加密选项，建议用于所有敏感数据。您可以从以下类型的 Amazon KMS 密钥中进行选择，用于加密和解密 `SecureString` 参数的值：
+ 您账户的 Amazon 托管式密钥
+ 您在账户中创建的客户自主管理型密钥（CMK）
+ 其他 Amazon Web Services 账户 与您共享的 CMK

有关 Amazon KMS 加密的更多信息，请参阅《Amazon Key Management Service Developer Guide》[https://docs.amazonaws.cn/kms/latest/developerguide/](https://docs.amazonaws.cn/kms/latest/developerguide/)。

**S3 存储桶中的内容**  
作为 Systems Manager 操作的一部分，您可以选择将数据上传或存储到一个或多个 Amazon Simple Storage Service (Amazon S3) 存储桶中。

有关 S3 存储桶加密的信息，请参阅 *Amazon Simple Storage Service 用户指南*中的[使用加密保护数据](https://docs.amazonaws.cn/AmazonS3/latest/userguide/UsingEncryption.html)和 [Amazon S3 中的数据保护](https://docs.amazonaws.cn/AmazonS3/latest/userguide/DataDurability.html)。

以下是在 Systems Manager 活动中，您可以上传或存储到 S3 存储桶中的数据类型。
+ Run Command（Amazon Systems Manager 中的一项工具）中命令的输出结果
+ Distributor（Amazon Systems Manager 中的一项工具）中的软件包
+ Patch Manager（Amazon Systems Manager 中的一项工具）中的修补操作日志
+ Patch Manager 补丁覆盖列表
+ 要在 Automation（Amazon Systems Manager 中的一项工具）的运行手册工作流中运行的脚本或 Ansible Playbook 
+ 要与 Compliance（Amazon Systems Manager 中的一项工具）中的扫描结合使用的 Chef InSpec 配置文件
+ Amazon CloudTrail 日志
+ Session Manager（Amazon Systems Manager 中的一项工具）中的会话历史记录日志
+ 来自 Explorer（Amazon Systems Manager 中的一项工具）的报告
+ 来自 OpsCenter（Amazon Systems Manager 中的一项工具）的 OpsData
+ 用于自动化工作流的 Amazon CloudFormation 模板
+ 来自资源数据同步扫描的合规性数据
+ 在托管式节点上的State Manager（Amazon Systems Manager 中的一项工具）中创建或编辑关联的请求的输出
+ 可使用 Amazon 托管 SSM 文档 `AWS-RunDocument` 运行的自定义 Systems Manager 文档（SSM 文档）

**CloudWatch Logs 日志组**  
作为 Systems Manager 操作的一部分，您可以选择将数据流式传输到一个或多个 Amazon CloudWatch Logs 日志组。

有关 CloudWatch Logs 日志组加密的信息，请参阅 *Amazon CloudWatch Logs 用户指南*中的[使用 Amazon Key Management Service 加密 CloudWatch Logs 中的日志数据](https://docs.amazonaws.cn/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html)。

以下是在 Systems Manager 活动中，您可以流式传输到 CloudWatch Logs 日志组中的数据类型。
+ Run Command 命令的输出
+ 在自动化运行手册中使用 `aws:executeScript` 操作的脚本运行的输出
+ Session Manager 会话历史记录日志
+ 托管式节点上 SSM Agent 中的日志

### 传输中加密
<a name="encryption-in-transit"></a>

建议您使用传输层安全性 (TLS) 等加密协议加密在客户端和节点之间传输的敏感数据。

Systems Manager 为传输中的数据加密提供以下支持。

**与 Systems Manager API 端点的连接**  
Systems Manager API 端点仅支持基于 HTTPS 的安全连接。使用 Amazon Web Services 管理控制台、Amazon SDK 或 Systems Manager API 管理 Systems Manager 资源时，所有通信都使用传输层安全性 (TLS) 进行加密。有关 API 端点的完整列表，请参阅**《Amazon Web Services 一般参考》中的 [Amazon Web Services 服务 endpoints](https://docs.amazonaws.cn/general/latest/gr/rande.html)。

**托管式实例**  
Amazon 在 Amazon Elastic Compute Cloud (Amazon EC2) 实例之间提供安全的私有连接。此外，我们使用带 256 位加密的 AEAD 算法，自动对同一 Virtual Private Cloud (VPC) 或对等 VPC 中支持实例之间的传输中流量进行加密。此加密功能将使用基础硬件的分载功能，对网络性能不会造成影响。支持的实例包括：C5n、G4、I3en、M5dn、M5n、P3dn、R5dn 和 R5n。

**Session Manager 会话**  
默认情况下，Session Manager 使用 TLS 1.3 来加密您的账户中用户的本地计算机与您的 EC2 实例之间传输的会话数据。您还可以选择使用已经在 Amazon KMS 中创建的 Amazon KMS key 来进一步加密传输中的数据。Amazon KMS 加密支持 `Standard_Stream`、`InteractiveCommands` 和 `NonInteractiveCommands` 会话类型。

**Run Command访问**  
默认情况下，使用 Run Command 对节点进行远程访问所用的加密协议为 TLS 1.3，连接创建请求所用的签名版本为 SigV4。

## 互联网络流量隐私
<a name="internetwork-privacy"></a>

您可以使用 Amazon Virtual Private Cloud (Amazon VPC) 在托管式节点中的资源之间创建边界，并控制它们、本地网络和互联网之间的流量。有关详细信息，请参阅[使用适用于 Systems Manager 的 VPC 端点提高 EC2 实例的安全性](setup-create-vpc.md)。

有关 Amazon Virtual Private Cloud 安全性的更多信息，请参阅 *Amazon VPC 用户指南*中的 [Amazon VPC 中的互联网络流量隐私](https://docs.amazonaws.cn/vpc/latest/userguide/VPC_Security.html)。