• AWS Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息，请参阅 [Amazon CloudWatch 控制面板文档](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。

# 使用 Amazon S3 存储桶和 Systems Manager 的存储桶策略
<a name="systems-manager-diagnosis-metadata-bucket"></a>

在 AWS Systems Manager 的[载入过程](systems-manager-setting-up-console.md)中，Quick Setup会在委派管理员账户中为组织设置创建一个 Amazon Simple Storage Service (Amazon S3) 存储桶。对于单账户设置，存储桶会存储在正在设置的账户中。

您可以使用 Systems Manager 对您的实例集运行诊断操作，以识别部署失败和偏差配置情况。Systems Manager 还可以检测配置问题导致 Systems Manager 无法管理您账户或组织中的 EC2 实例的情况。这些诊断操作的结果存储在此 Amazon S3 存储桶中，受加密方法和 S3 存储桶策略的保护。有关将数据输出到此存储桶的诊断操作的信息，请参阅[诊断并修复](diagnose-and-remediate.md)。

**更改存储桶加密方法**  
默认情况下，S3 存储桶使用具有 Amazon S3 托管密钥的服务器端加密 (SSE-S3)。

您可以改用具有 AWS KMS keys的服务器端加密 (SSE-KMS)，并使用客户自主管理型密钥 (CMK) 代替 Amazon S3 托管密钥，如 [更改为 AWS KMS 客户自主管理型密钥以加密 S3 资源](remediate-s3-bucket-encryption.md) 中所述。

**存储桶策略的内容**  
存储桶策略可防止组织内的成员账户相互发现。仅为 Systems Manager 创建的诊断和修复角色允许对存储桶具有读写权限。[Systems Manager 统一控制台的 S3 存储桶策略](remediate-s3-bucket-policies.md)中介绍了这些系统生成的策略的内容。

**警告**  
修改默认存储桶策略可能允许组织内的成员账户相互发现，或者读取另一个账户中实例的诊断输出。如果您选择修改此策略，建议您小心谨慎。

**Topics**
+ [更改为 AWS KMS 客户自主管理型密钥以加密 S3 资源](remediate-s3-bucket-encryption.md)
+ [Systems Manager 统一控制台的 S3 存储桶策略](remediate-s3-bucket-policies.md)