開啟工作階段資料的 KMS 金鑰加密 (主控台)

使用 AWS Key Management Service (AWS KMS) 建立和管理加密金鑰。您可以使用 AWS KMS，在各種 AWS 服務 和應用程式中控制加密的使用。您可以指定在受管節點和 AWS 帳戶 中使用者本機機器之間傳輸之工作階段資料的加密方式是使用 KMS 金鑰加密。(AWS 已經預設提供的 TLS 1.2 加密除外。) 若要加密Session Manager工作階段資料，請使用建立對稱 KMS 金鑰AWS KMS。

AWS KMS加密可用於Standard_StreamInteractiveCommands、和NonInteractiveCommands階段作業類型。若要使用在 AWS KMS 中建立的金鑰來加密工作階段資料的選項，則受管節點中必須安裝 AWS Systems Manager SSM Agent 的 2.3.539.0 或更新版本。

注意

您必須啟用 AWS KMS 加密，才能透過 AWS Systems Manager 主控台在受管節點上重設密碼。如需詳細資訊，請參閱 在受管節點上重設密碼。

您可以使用在 AWS 帳戶 中建立的金鑰。您也可以使用在不同 AWS 帳戶 中建立的金鑰。將金鑰建立在不同的 AWS 帳戶 的人員必須提供您使用該金鑰所需的許可。

在您啟用工作階段資料的 KMS 金鑰加密後，啟動工作階段的使用者和這些工作階段連接的受管節點必須具有該金鑰的使用許可。您可透過 AWS Identity and Access Management (IAM) 政策提供將 KMS 金輪與 Session Manager 搭配使用的許可。如需詳細資訊，請參閱以下主題：

• 在帳戶中新增使用者的 AWS KMS 許可：適用於 Session Manager 的範例 IAM 政策。

• 在帳戶中新增受管節點的 AWS KMS 許可：步驟 2：為 Session Manager 確認或新增執行個體許可。

如需建立和管理 KMS 金輪的詳細資訊，請參閱 AWS Key Management Service 開發人員指南。

如需使用 AWS CLI 來啟用帳戶中的工作階段資料 KMS 金鑰加密，請參閱 建立 Session Manager 偏好設定文件 (命令列) 或 更新 Session Manager 偏好設定 (命令列)。

注意

使用 KMS 金輪需要付費嗎？ 如需相關資訊，請參閱 AWS Key Management Service 定價。

若要開啟工作階段資料的 KMS 金鑰加密 (主控台)

1. 開啟位於 https://console.aws.amazon.com/systems-manager/ 的 AWS Systems Manager 主控台。

2. 在導覽窗格中，選擇 Session Manager。

3. 選擇 Preferences (偏好) 標籤，然後選擇 Edit (編輯)。

4. 選取 Enable KMS encryption (啟用 KMS 加密) 旁邊的核取方塊。

5. 執行以下任意一項：

   • 選擇 Select a KMS key in my current account (在我目前的帳戶中選取 KMS 金鑰) 旁邊的按鈕，然後從清單中選取金鑰。

     -或-

     選擇 Enter a KMS key alias or KMS key ARN (輸入 KMS 金鑰別名或 KMS 金鑰 ARN) 旁的按鈕。為您在目前帳戶中建立的金鑰手動輸入 KMS 金鑰別名，或為另一個帳戶中的金鑰輸入其 Amazon Resource Name (ARN)。範例如下：

     • 金鑰別名：alias/my-kms-key-alias

     • 金鑰 ARN：arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-12345EXAMPLE

     -或-

     選擇 Create new key (建立新的金鑰) 以在您的帳戶中建立新的 KMS 金輪。在建立新的金鑰後，返回 Preferences (偏好設定) 標籤，然後選取要用來在您帳戶中加密工作階段資料的金鑰。

   如需有關共用金鑰的詳細資訊，請參閱 AWS Key Management Service 開發人員指南中的允許外部 AWS 帳戶 存取金鑰。

6. 選擇 Save (儲存)。