• AWS Systems Manager CloudWatch ダッシュボードは、2026 年 4 月 30 日以降は利用できなくなります。お客様は、これまでと同様に Amazon CloudWatch コンソールを使用して、Amazon CloudWatch ダッシュボードの表示、作成、管理を継続できます。詳細については、「[Amazon CloudWatch ダッシュボードのドキュメント](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)」を参照してください。

# Systems Manager での Amazon S3 バケットとバケットポリシーの使用
<a name="systems-manager-diagnosis-metadata-bucket"></a>

AWS Systems Manager の[オンボーディングプロセス](systems-manager-setting-up-console.md)時に、Quick Setup によって組織セットアップ用に Amazon Simple Storage Service (Amazon S3) バケットが委任管理者アカウントに作成されます。シングルアカウントセットアップの場合、バケットはセットアップされるアカウントに保存されます。

Systems Manager を使用してフリートで診断オペレーションを実行することで、デプロイが失敗して設定がドリフトした原因を特定できます。Systems Manager では、設定の問題のために Systems Manager がアカウントや組織の EC2 インスタンスを管理できないケースも検出できます。こうした診断オペレーションの結果は、この Amazon S3 バケットに保存され、暗号化方法と S3 バケットポリシーの両方で保護されます。このバケットにデータを出力する診断オペレーションについては、「[診断と修復](diagnose-and-remediate.md)」を参照してください。

**バケット暗号化方法の変更**  
デフォルトでは、S3 バケットは Amazon S3 マネージドキーによるサーバー側の暗号化 (SSE-S3) を使用します。

「[S3 リソースを暗号化するための AWS KMS カスタマーマネージドキーへの変更](remediate-s3-bucket-encryption.md)」で説明しているように、Amazon S3 マネージドキーの代わりにカスタマーマネージドキー (CMK) を使用して、AWS KMS keys (SSE-KMS) でサーバー側の暗号化を使用することもできます。

**バケットポリシーの内容**  
バケットポリシーを使用すると、組織内のメンバーアカウントが互いに検出することを防ぐことができます。バケットに対する読み取りおよび書き込み許可は、Systems Manager に対して作成された診断および修復ロールにのみ許可されます。こうしたシステム生成のポリシーの内容については、「[Systems Manager 統合コンソールの S3 バケットポリシー](remediate-s3-bucket-policies.md)」を参照してください。

**警告**  
デフォルトのバケットポリシーを変更すると、組織内のメンバーアカウントが相互に発見したり、他のアカウントのインスタンスの診断出力を読み取ったりできるようになる可能性があります。このポリシーを変更する場合は、細心の注意を払うことをお勧めします。

**Topics**
+ [S3 リソースを暗号化するための AWS KMS カスタマーマネージドキーへの変更](remediate-s3-bucket-encryption.md)
+ [Systems Manager 統合コンソールの S3 バケットポリシー](remediate-s3-bucket-policies.md)