• Amazon Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息，请参阅 [Amazon CloudWatch 控制面板文档](https://docs.amazonaws.cn/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。

# 步骤 6：（可选）使用 Amazon PrivateLink 为 Session Manager 设置 VPC 端点
<a name="session-manager-getting-started-privatelink"></a>

您可以通过将 Amazon Systems Manager 配置为使用接口 Virtual Private Cloud (VPC) 终端节点来进一步提高托管式节点的安保状况。接口端点由 Amazon PrivateLink 提供支持，该技术使您能够通过使用私有 IP 地址私下访问 Amazon Elastic Compute Cloud (Amazon EC2) 和 Systems Manager API。

Amazon PrivateLink 将托管式节点、Systems Manager 和 Amazon EC2 之间的所有网络流量限制在 Amazon 网络以内。（托管式节点无法访问互联网。） 而且，您无需 Internet 网关、NAT 设备或虚拟专用网关。

有关创建 VPC 端点的信息，请参阅[使用适用于 Systems Manager 的 VPC 终端节点提高 EC2 实例的安全性](setup-create-vpc.md)。

使用 VPC 终端节点的替代方法是，在托管式节点上允许出站互联网访问。在这种情况下，托管式节点还必须允许到以下端点的 HTTPS（端口 443）出站流量：
+  `ec2messages.{{region}}.amazonaws.com` 
+  `ssm.{{region}}.amazonaws.com` 
+  `ssmmessages.{{region}}.amazonaws.com` 

Systems Manager 使用上述最后一个端点（即 `ssmmessages.{{region}}.amazonaws.com`）从 SSM Agent 对云中的 Session Manager 服务进行调用。

要使用可选功能，例如 Amazon Key Management Service (Amazon KMS) 加密、将日志流式传输至 Amazon CloudWatch Logs (CloudWatch Logs) 以及将日志发送到 Amazon Simple Storage Service (Amazon S3)，您必须允许到以下端点的 HTTPS（端口 443）出站流量：
+  `kms.{{region}}.amazonaws.com` 
+  `logs.{{region}}.amazonaws.com` 
+  `s3.{{region}}.amazonaws.com` 

有关 Systems Manager 所需的端点的更多信息，请参阅[参考：ec2messages、ssmmessages 和其他 API 操作](systems-manager-setting-up-messageAPIs.md)。