

• Amazon Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息，请参阅 [Amazon CloudWatch 控制面板文档](https://docs.amazonaws.cn/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。

# 使用 Amazon S3 记录会话数据（控制台）
<a name="session-manager-logging-s3"></a>

您可以选择将会话日志数据存储在指定的 Amazon Simple Storage Service (Amazon S3) 存储桶中，以便用于调试和故障排除。默认选项是将日志发送到加密的 Amazon S3 存储桶。系统将使用为存储桶指定的密钥执行加密，可以是 Amazon KMS key或 Amazon S3 服务器端加密 (SSE) 密钥 (AES-256)。

**重要**  
当通过安全套接字 (SSL) 使用虚拟托管类型存储桶时，SSL 通配符证书仅匹配不包含句点的存储桶。要解决此问题，请使用 HTTP 或编写自己的证书验证逻辑。在使用虚拟托管类型存储桶时，建议您不要在存储桶名称中使用句点（“.”）。

**Amazon S3 存储桶加密**  
要将日志发送到 Amazon S3 存储桶并进行加密，必须在存储桶上允许加密。有关 Amazon S3 存储桶加密的更多信息，请参阅 [Amazon S3 默认 S3 存储桶加密](https://docs.amazonaws.cn/AmazonS3/latest/dev/bucket-encryption.html)。

**客户托管密钥**  
如果使用自己管理的 KMS 密钥来加密存储桶，则附加到实例的 IAM 实例配置文件必须具有读取此密钥的显式权限。如果使用 Amazon 托管式密钥，则实例不需要此显式权限。有关为实例配置文件提供使用密钥的权限的更多信息，请参阅《Amazon Key Management Service 开发人员指南》中的[允许密钥用户使用密钥](https://docs.amazonaws.cn/kms/latest/developerguide/key-policies.html#key-policy-default-allow-users)。**

请按照以下步骤配置 Session Manager，以将会话日志存储在 Amazon S3 存储桶中。

**注意**  
您也可以使用 Amazon CLI 指定或更改将会话数据发送到的 Amazon S3 存储桶。有关信息，请参阅[更新 Session Manager 首选项（命令行）](getting-started-configure-preferences-cli.md)。

**要使用 Amazon S3 记录会话数据（控制台），请执行以下步骤：**

1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.amazonaws.cn/systems-manager/)，打开 Amazon Systems Manager 控制台。

1. 在导航窗格中，请选择 **Session Manager**。

1. 选择**首选项**选项卡，然后选择**编辑**。

1. 选中 **S3 logging (S3 日志记录)** 下 **Enable (启用)** 旁边的复选框。

1. （推荐）选中 **Allow only encrypted S3 buckets (仅允许加密的 S3 存储桶)** 旁边的复选框。开启此选项后，将使用为存储桶指定的服务器端加密密钥对日志数据进行加密。如果不需要加密发送到 Amazon S3 的日志数据，请清除此复选框。如果 S3 存储桶不允许加密，也必须清除此复选框。

1. 对于 **S3 bucket name (S3 存储桶名称)**，请选择以下选项之一：
**注意**  
在使用虚拟托管类型存储桶时，建议您不要在存储桶名称中使用句点（“.”）。有关 Amazon S3 存储桶命名约定的更多信息，请参阅 *Amazon Simple Storage Service 用户指南*中的[存储桶限制和局限性](https://docs.amazonaws.cn/AmazonS3/latest/dev/BucketRestrictions.html#bucketnamingrules)。
   + **Choose a bucket name from the list (从列表中选择存储桶名称)**：选择已在账户中创建的用于存储会话日志数据的 Amazon S3 存储桶。
   + **Enter a bucket name in the text box (在文本框中输入存储桶名称)**：输入已在账户中创建的用于存储会话日志数据的 Amazon S3 存储桶名称。

1. （可选）对于 **S3 key prefix (S3 键前缀)**，输入现有或新文件夹的名称，以便将日志存储在所选的存储桶中。

1. 选择**保存**。

有关使用 Amazon S3 和 Amazon S3 存储桶的更多信息，请参阅 *[Amazon Simple Storage Service 用户指南](https://docs.amazonaws.cn/AmazonS3/latest/userguide/)*和 *[Amazon Simple Storage Service 用户指南](https://docs.amazonaws.cn/AmazonS3/latest/userguide/)*。