開啟工作階段資料的 KMS 金鑰加密 (主控台)

使用 AWS Key Management Service (AWS KMS) 來建立和管理加密金鑰。透過 AWS KMS，您可以在應用程式中控制對各種 AWS 服務和加密的使用。您可以指定在受管節點與中使用者的本機機器之間傳輸的工作階段資料 AWS 帳戶會使用 KMS 金鑰加密進行加密。（這是除了預設 AWS 已提供的 TLS 1.2/1.3 加密之外。) 若要加密Session Manager工作階段資料，請使用建立對稱 KMS 金鑰 AWS KMS。

AWS KMS 加密適用於 Standard_Stream、 InteractiveCommands和 NonInteractiveCommands工作階段類型。若要使用選項來使用在中建立的金鑰加密工作階段資料 AWS KMS，必須在受管節點上安裝 2.3.539.0 版 AWS Systems Manager SSM Agent或更新版本。

注意

您必須允許 AWS KMS 加密，才能從 AWS Systems Manager 主控台重設受管節點上的密碼。如需詳細資訊，請參閱在受管節點上重設密碼。

您可以使用您在中建立的金鑰 AWS 帳戶。您也可以使用在不同 AWS 帳戶中建立的金鑰。不同中金鑰的建立者 AWS 帳戶必須為您提供使用金鑰所需的許可。

在您啟用工作階段資料的 KMS 金鑰加密後，啟動工作階段的使用者和這些工作階段連接的受管節點必須具有該金鑰的使用許可。您提供透過 Session Manager AWS Identity and Access Management (IAM) 政策使用 KMS 金鑰的許可。如需詳細資訊，請參閱以下主題：

新增您帳戶中使用者的 AWS KMS 許可：適用於 Session Manager 的範例 IAM 政策。
新增您帳戶中受管節點的 AWS KMS 許可：步驟 2：為 Session Manager 確認或新增執行個體許可。

如需建立和管理 KMS 金輪的詳細資訊，請參閱 AWS Key Management Service 開發人員指南。

如需有關使用 AWS CLI 開啟您帳戶中工作階段資料的 KMS 金鑰加密的資訊，請參閱建立 Session Manager 偏好設定文件 (命令列)或更新 Session Manager 偏好設定 (命令列)。

注意

使用 KMS 金輪需要付費嗎？如需相關資訊，請參閱 AWS Key Management Service 定價。

若要開啟工作階段資料的 KMS 金鑰加密 (主控台)

在 https：//https://console.aws.amazon.com/systems-manager/ 開啟 AWS Systems Manager 主控台。
在導覽窗格中，選擇 Session Manager。
選擇 Preferences (偏好) 標籤，然後選擇 Edit (編輯)。
選取 Enable KMS encryption (啟用 KMS 加密) 旁邊的核取方塊。
執行以下任意一項：
- 選擇 Select a KMS key in my current account (在我目前的帳戶中選取 KMS 金鑰) 旁邊的按鈕，然後從清單中選取金鑰。
  
  -或-
  
  選擇 Enter a KMS key alias or KMS key ARN (輸入 KMS 金鑰別名或 KMS 金鑰 ARN) 旁的按鈕。為您在目前帳戶中建立的金鑰手動輸入 KMS 金鑰別名，或為另一個帳戶中的金鑰輸入其 Amazon Resource Name (ARN)。範例如下：
  - 金鑰別名：alias/my-kms-key-alias
  - 金鑰 ARN：arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE
  -或-
  
  選擇 Create new key (建立新的金鑰) 以在您的帳戶中建立新的 KMS 金輪。在建立新的金鑰後，返回 Preferences (偏好設定) 標籤，然後選取要用來在您帳戶中加密工作階段資料的金鑰。
如需共用金鑰的詳細資訊，請參閱《 AWS Key Management Service 開發人員指南》中的允許外部 AWS 帳戶存取金鑰。
選擇儲存。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

為 Linux 和 macOS 受管節點開啟執行身分支援

建立 Session Manager 偏好設定文件 (命令列)