• Amazon Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息，请参阅 [Amazon CloudWatch 控制面板文档](https://docs.amazonaws.cn/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。

# 步骤 3：控制会话对托管式节点的访问
<a name="session-manager-getting-started-restrict-access"></a>

您可以使用 Amazon Identity and Access Management（IAM）policy 授予或撤消对托管式节点的 Session Manager 访问权限。您可以创建策略并将其附加到 IAM 用户或群组，以指定此用户或群组可以连接到哪些托管式节点。您还可以指定用户或群组可以在这些托管式节点上执行的 Session Manager API 操作。

为了帮助您开始使用 Session Manager 的 IAM 权限策略，我们为最终用户和管理员用户创建了示例策略。您只需稍作修改即可使用这些策略。或者，将这些策略用作创建自定义 IAM policy 的指南。有关更多信息，请参阅 [Session Manager 的 IAM policy 示例](getting-started-restrict-access-quickstart.md)。有关如何创建 IAM policy 并将策略附加到用户或组的信息，请参阅**《IAM 用户指南》中的[创建 IAM policy](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_create.html) 及[添加和移除 IAM policy](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。

**关于会话 ID ARN 格式**  
为 Session Manager 访问权限创建 IAM policy 时，您可以指定会话 ID 作为 Amazon 资源名称（ARN）的一部分。会话 ID 包括作为变量的用户名。为了帮助说明这一点，以下是 Session Manager ARN 的格式和示例：

```
arn:aws:ssm:region-id:account-id:session/session-id
```

例如：

```
arn:aws:ssm:us-east-2:123456789012:session/JohnDoe-1a2b3c4d5eEXAMPLE
```

有关在 IAM policy 中使用变量的更多信息，请参阅 [IAM policy 元素：变量](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_variables.html)。

**Topics**
+ [通过在 IAM policy 中指定默认会话文档来启动默认 Shell 会话](getting-started-default-session-document.md)
+ [通过在 IAM policy 中指定会话文档来启动与文档的会话](getting-started-specify-session-document.md)
+ [Session Manager 的 IAM policy 示例](getting-started-restrict-access-quickstart.md)
+ [Session Manager 的其他示例 IAM policy](getting-started-restrict-access-examples.md)