• Amazon Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息，请参阅 [Amazon CloudWatch 控制面板文档](https://docs.amazonaws.cn/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。

# 启用会话数据的 KMS 密钥加密（控制台）
<a name="session-preferences-enable-encryption"></a>

使用 Amazon Key Management Service（Amazon KMS）创建和管理加密密钥。借助 Amazon KMS，您可以控制各个 Amazon Web Services 服务之间以及应用程序中对加密的使用。您可以指定使用 KMS 密钥加密方式对在托管式节点与 Amazon Web Services 账户 中用户的本地计算机之间传输的会话数据进行加密。（这是对 Amazon 默认提供的 TLS 1.2/1.3 加密的补充）。要加密 Session Manager 会话数据，请使用 Amazon KMS 创建*对称* KMS 密钥。

Amazon KMS 加密适用于 `Standard_Stream`、`InteractiveCommands` 和 `NonInteractiveCommands` 会话类型。要通过该选项使用在 Amazon KMS 中创建的密钥加密会话数据，必须在托管式节点上安装 2.3.539.0 版本或更高版本的 Amazon Systems Manager SSM Agent。

**注意**  
您必须允许 Amazon KMS 加密，才能从 Amazon Systems Manager 控制台重置托管式节点上的密码。有关更多信息，请参阅 [在托管式节点上重置密码](fleet-manager-reset-password.md#managed-instance-reset-a-password)。

您可以使用您在 Amazon Web Services 账户中创建的密钥。您还可以使用在其他 Amazon Web Services 账户中创建的密钥。其他 Amazon Web Services 账户中密钥的创建者必须为您提供使用密钥所需的权限。

在您为会话数据启用 KMS 密钥加密后，启动会话的用户及其所连接的托管式节点都必须具有使用密钥的权限。您可以通过 Amazon Identity and Access Management (IAM) 策略向 Session Manager 提供使用 KMS 密钥的权限。有关更多信息，请参阅以下主题：
+ 为您账户中的用户添加 Amazon KMS 权限：[Session Manager 的 IAM policy 示例](getting-started-restrict-access-quickstart.md)。
+ 为您账户中的托管式节点添加 Amazon KMS 权限：[步骤 2：验证或添加 Session Manager 的实例权限](session-manager-getting-started-instance-profile.md)。

有关创建和管理 KMS 密钥的更多信息，请参阅 [Amazon Key Management Service 开发人员指南](https://docs.amazonaws.cn/kms/latest/developerguide/)。**

有关使用 Amazon CLI 在您的账户中启用会话数据的 KMS 密钥加密的信息，请参阅 [创建 Session Manager 首选项文档（命令行）](getting-started-create-preferences-cli.md) 或 [更新 Session Manager 首选项（命令行）](getting-started-configure-preferences-cli.md)。

**注意**  
使用 KMS 密钥需支付费用。有关更多信息，请参阅 [Amazon Key Management Service 定价](https://www.amazonaws.cn/kms/pricing/)。

**要启用会话数据的 KMS 密钥加密（控制台），请执行以下步骤：**

1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.amazonaws.cn/systems-manager/)，打开 Amazon Systems Manager 控制台。

1. 在导航窗格中，请选择 **Session Manager**。

1. 选择**首选项**选项卡，然后选择**编辑**。

1. 选中 **Enable KMS encryption**（启用 KMS 加密）旁边的复选框。

1. 请执行以下操作之一：
   + 选择 **Select a KMS key in my current account (选择我当前账户中的 KMS 密钥)** 旁边的按钮，然后从列表中选择一个密钥。

     -或者-

     选择**输入 KMS 密钥别名或 KMS 密钥 ARN **旁边的按钮。手动输入在您的当前账户中创建的密钥的 KMS 密钥别名，或输入另一账户中的密钥的密钥 Amazon Resource Name (ARN)。示例如下：
     + 密钥别名：`alias/my-kms-key-alias`
     + 密钥 ARN：`arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE`

     -或者-

     选择 **Create new key (创建新密钥)**，在您的账户中创建新 KMS 密钥。在创建新密钥后，返回到 **Preferences (首选项)** 选项卡，然后选择用于在您的账户中加密会话数据的密钥。

   有关共享密钥的更多信息，请参阅《Amazon Key Management Service 开发人员指南》中的[允许外部 Amazon Web Services 账户 访问密钥](https://docs.amazonaws.cn/kms/latest/developerguide/key-policy-modifying.html#key-policy-modifying-external-accounts)。

1. 选择**保存**。