• 2026 年 4 月 30 日之後將不再提供 AWS Systems Manager CloudWatch Dashboard。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板，就像現在一樣。如需詳細資訊，請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 將 Session Manager 許可新增至現有 IAM 角色
<a name="getting-started-add-permissions-to-existing-profile"></a>

使用以下程序將 Session Manager 許可新增至現有 AWS Identity and Access Management (IAM) 角色。透過將許可新增至現有角色，您可以增強運算環境的安全性，而不必將 AWS `AmazonSSMManagedInstanceCore`政策用於執行個體許可。

**注意**  
記下以下資訊：  
這個程序假設您現有的角色已經包含其他您希望允許存取動作的 Systems Manager `ssm` 許可。這個政策無法獨立使用 Session Manager。
下列政策範例包含一個 `s3:GetEncryptionConfiguration` 動作。如果您在 Session Manager 記錄偏好設定中選擇了**強制 S3 日誌加密**選項，則需要執行此動作。
如果從連接至 IAM 執行個體描述檔或 IAM 服務角色的政策中移除`ssmmessages:OpenControlChannel`許可，SSM Agent則受管節點上的 會失去與雲端中 Systems Manager 服務的連線。不過，在移除許可後，最多可能需要 1 小時才能終止連線。這與刪除 IAM 執行個體角色或 IAM 服務角色時的行為相同。

**將 Session Manager 許可新增至現有角色 (主控台)**

1. 登入 AWS 管理主控台 ，並在 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 在導覽窗格中，選擇**角色**。

1. 選取您要為其新增許可的角色名稱。

1. 選擇**許可**索引標籤。

1. 選擇**新增許可**，然後選取**建立內嵌政策**。

1. 選擇 **JSON** 標籤。

1. 將預設政策內容取代為以下內容。將 {{key-name}} 取代為您要使用的 AWS Key Management Service 金鑰 () 的 Amazon Resource Name (ARN AWS KMS key)。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "ssmmessages:CreateControlChannel",
                   "ssmmessages:CreateDataChannel",
                   "ssmmessages:OpenControlChannel",
                   "ssmmessages:OpenDataChannel"
               ],
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "s3:GetEncryptionConfiguration"
               ],
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "kms:Decrypt"
               ],
               "Resource": "arn:aws:kms:{{us-east-1}}:{{111122223333}}:key/{{key-name}}"
           }
       ]
   }
   ```

------

   如需使用 KMS 金鑰來加密工作階段資料的詳細資訊，請參閱 [開啟工作階段資料的 KMS 金鑰加密 (主控台)](session-preferences-enable-encryption.md)。

   如果您不對工作階段資料使用 AWS KMS 加密，您可以從政策中移除下列內容。

   ```
   ,
           {
               "Effect": "Allow",
               "Action": [
                   "kms:Decrypt"
               ],
               "Resource": "{{key-name}}"
           }
   ```

1. 選擇下**一步：標籤**。

1. (選用) 透過選擇 **Add tag** (新增標籤)，然後輸入政策的首選標籤來新增標籤。

1. 選擇下**一步：檢閱**。

1. 在**檢閱政策**頁面上**名稱**中，輸入該內嵌政策的名稱，例如 **SessionManagerPermissions**。

1. (選用) 在**說明**中輸入政策的說明。

   選擇**建立政策**。

如需有關 `ssmmessages` 動作的資訊，請參閱 [參考：ec2messages、ssmmessages 和其他 API 操作](systems-manager-setting-up-messageAPIs.md)。