• AWS Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息，请参阅 [Amazon CloudWatch 控制面板文档](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。

# 向现有 IAM 角色添加 Session Manager 权限
<a name="getting-started-add-permissions-to-existing-profile"></a>

使用以下过程为现有 AWS Identity and Access Management（IAM）角色添加 Session Manager 权限。通过向现有角色添加权限，您可以增强计算环境的安全性，而不必使用 AWS`AmazonSSMManagedInstanceCore` 策略来获得实例权限。

**注意**  
请注意以下信息：  
此过程假设现有角色已包含您希望允许访问的操作的其他 Systems Manager `ssm` 权限。要使用 Session Manager，只有此策略是不够的。
以下策略示例包括一项 `s3:GetEncryptionConfiguration` 操作。如果您在 Session Manager 日志首选项中选择了**强制 S3 日志加密**选项，则需要执行此操作。
如果从附加到 IAM 实例配置文件或 IAM 服务角色的策略中移除 `ssmmessages:OpenControlChannel` 权限，则托管节点上的 SSM Agent 将失去与云端 Systems Manager 服务的连接。但是，移除权限后，连接最多可能需要 1 小时才能终止。这与删除 IAM 实例角色或 IAM 服务角色时的行为相同。

**向现有角色添加 Session Manager 权限（控制台）**

1. 登录 AWS 管理控制台，然后通过以下网址打开 IAM 控制台：[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

1. 在导航窗格中，选择**角色**。

1. 选择要向其添加权限的角色的名称。

1. 选择**权限**选项卡。

1. 选择**添加权限**，然后选择**创建内联策略**。

1. 选择 **JSON** 选项卡。

1. 将默认策略内容替换为以下内容。将 {{key-name}} 替换为您要使用的 AWS Key Management Service 密钥（AWS KMS key）的 Amazon 资源名称（ARN）。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "ssmmessages:CreateControlChannel",
                   "ssmmessages:CreateDataChannel",
                   "ssmmessages:OpenControlChannel",
                   "ssmmessages:OpenDataChannel"
               ],
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "s3:GetEncryptionConfiguration"
               ],
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "kms:Decrypt"
               ],
               "Resource": "arn:aws:kms:{{us-east-1}}:{{111122223333}}:key/{{key-name}}"
           }
       ]
   }
   ```

------

   有关使用 KMS 密钥加密会话数据的信息，请参阅 [启用会话数据的 KMS 密钥加密（控制台）](session-preferences-enable-encryption.md)。

   如果您不为会话数据使用 AWS KMS 加密，可以从策略中删除以下内容。

   ```
   ,
           {
               "Effect": "Allow",
               "Action": [
                   "kms:Decrypt"
               ],
               "Resource": "{{key-name}}"
           }
   ```

1. 选择**下一步：标签**。

1. （可选）通过选择 **Add tag**（添加标签）并输入策略的首选标签来添加标签。

1. 选择**下一步：审核**。

1. 在**查看策略**页面上，对于**名称**，输入内联策略的名称，例如 **SessionManagerPermissions**。

1. （可选）对于**描述**，输入策略的描述。

   选择 **Create policy (创建策略)**。

有关 `ssmmessages` 操作的信息，请参阅 [参考：ec2messages、ssmmessages 和其他 API 操作](systems-manager-setting-up-messageAPIs.md)。