• AWS Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息，请参阅 [Amazon CloudWatch 控制面板文档](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。

# 步骤 1：满足 Session Manager 先决条件
<a name="session-manager-prerequisites"></a>

在使用 Session Manager 之前，请确保环境满足以下要求。


**Session Manager 先决条件**  

| 要求 | 说明 | 
| --- | --- | 
| 支持的操作系统 | 除了[混合和多云](operating-systems-and-machine-types.md#supported-machine-types)环境中使用*高级实例*套餐的非 EC2 计算机之外，Session Manager 还支持连接到 Amazon Elastic Compute Cloud（Amazon EC2）实例。<br />Session Manager 支持以下操作系统版本： Session Manager 支持[混合和多云](operating-systems-and-machine-types.md#supported-machine-types)环境中使用*高级实例*套餐的 EC2 实例、边缘设备、本地服务器和虚拟机（VM）。有关高级实例的更多信息，请参阅 [配置实例套餐](fleet-manager-configure-instance-tiers.md)。 <br /> **Linux 和 **macOS**** <br />Session Manager 支持 AWS Systems Manager 所支持的所有 Linux 和 macOS 版本。有关信息，请参阅[支持的操作系统和计算机类型](operating-systems-and-machine-types.md)。<br /> ** Windows ** <br />Session Manager 支持 Windows Server 2012 及更高版本。 不支持 Microsoft Windows Server 2016 Nano。  | 
| SSM Agent | 至少应在要通过会话连接的托管式节点上安装 2.3.68.0 版本或更高版本的 AWS Systems Manager SSM Agent。<br />要通过该选项以使用在 AWS Key Management Service (AWS KMS) 中创建的密钥加密会话数据，必须在托管式节点上安装 2.3.539.0 版本或更高版本的 SSM Agent。<br />要在会话中使用 Shell 配置文件，必须在托管式节点上安装 SSM Agent 3.0.161.0 版本或更高版本。<br />要开启 Session Manager 端口转发或 SSH 会话，必须在托管式节点上安装 SSM Agent 3.0.222.0 版本或更高版本。<br />要使用 Amazon CloudWatch Logs 流式传输会话数据，必须在托管式节点上安装 SSM Agent 3.0.284.0 版本或更高版本。<br />有关如何确定实例上运行的版本号的信息，请参阅 [正在检查 SSM Agent 版本号](ssm-agent-get-version.md)。有关手动安装或自动更新 SSM Agent 的信息，请参阅 [使用 SSM Agent](ssm-agent.md)。 关于 ssm-user 账户 从 SSM Agent 的版本 2.3.50.0 开始，代理在托管式节点上创建名为 `ssm-user` 的用户账户，此账户具有根权限或管理员权限。（在 2.3.612.0 之前的版本上，此账户在 SSM Agent 启动或重新启动时创建。在版本 2.3.612.0 及更高版本上，`ssm-user` 在托管式节点上首次启动会话时创建。） 系统使用此用户账户的管理凭证启动会话。有关限制此账户的管理控制权限的信息，请参阅[关闭或打开 ssm-user 账户管理权限](session-manager-getting-started-ssm-user-permissions.md)。  Windows Server 域控制器上的 ssm-user 从 SSM Agent 版本 2.3.612.0 开始，`ssm-user` 账户不会在用作 Windows Server 域控制器的托管式节点上自动创建。要在用作域控制器的 Windows Server 计算机上使用 Session Manager，您必须手动创建 `ssm-user` 账户（如果此账户尚不存在），并为相关用户分配域管理员权限。在 Windows Server 上，每次会话启动时，SSM Agent 都会为 `ssm-user` 账户设置新密码，因此您无需在创建账户时指定密码。  | 
| 连接到端点 | 您要连接到的托管式节点必须还允许到以下端点的 HTTPS（端口 443）出站流量：[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/systems-manager/latest/userguide/session-manager-prerequisites.html)<br />有关更多信息，请参阅以下主题：[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_cn/systems-manager/latest/userguide/session-manager-prerequisites.html)<br />或者，您可以使用接口端点连接到所需端点。有关更多信息，请参阅 [步骤 6：（可选）使用 AWS PrivateLink 为 Session Manager 设置 VPC 端点](session-manager-getting-started-privatelink.md)。 | 
| AWS CLI | （可选）如果使用 AWS Command Line Interface (AWS CLI)（而不是使用 AWS Systems Manager 控制台或 Amazon EC2 控制台）启动会话，则必须在本地计算机上安装 1.16.12 版本或更高版本的 CLI。<br />您可调用 `aws --version` 来查看版本。<br />如果您需要安装或升级 CLI，请参阅 AWS Command Line Interface 用户指南中的[安装 AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/installing.html)。如果有新工具添加至 Systems Manager 或者对现有工具进行了更新，则将发布 SSM Agent 的更新版本。无法使用代理的最新版本可能会阻止托管式节点使用 Systems Manager 的各项工具和功能。因此，我们建议您自动完成确保机器上的 SSM Agent 为最新的过程。有关更多信息，请参阅 [自动更新到 SSM Agent](ssm-agent-automatic-updates.md)。要获得有关 SSM Agent 更新的通知，请在 GitHub 上订阅 [SSM Agent 发布说明](https://github.com/aws/amazon-ssm-agent/blob/mainline/RELEASENOTES.md)页面。<br />此外，要使用 CLI 通过 Session Manager 管理节点，必须先在本地计算机上安装 Session Manager 插件。有关信息，请参阅[为 AWS CLI 安装 Session Manager 插件](session-manager-working-with-install-plugin.md)。 | 
| 启用高级实例套餐（[混合和多云](operating-systems-and-machine-types.md#supported-machine-types)环境） | 若要使用 Session Manager 连接到非 EC2 计算机，必须在您可以在其中创建混合激活以将非 EC2 计算机注册为托管式节点的 AWS 账户 和 AWS 区域 中启用高级实例套餐。使用高级实例套餐需支付费用。有关高级实例套餐的更多信息，请参阅 [配置实例套餐](fleet-manager-configure-instance-tiers.md)。 | 
| 验证 IAM 服务角色权限（[混合和多云](operating-systems-and-machine-types.md#supported-machine-types)环境） | 混合激活节点使用在混合激活中指定的 AWS Identity and Access Management（IAM）服务角色，与 Systems Manager API 操作进行通信。此服务角色必须包含使用 Session Manager 连接到[混合和多云](operating-systems-and-machine-types.md#supported-machine-types)计算机所需的权限。如果您的服务角色包含 AWS 托管式策略 `AmazonSSMManagedInstanceCore`，则已提供 Session Manager 所需的权限。<br />如果您发现服务角色不包含所需权限，则必须取消注册托管式实例，然后利用使用具有所需权限的 IAM 服务角色的新混合激活进行注册。有关取消注册托管式实例的更多信息，请参阅 [在混合和多云环境中取消注册托管式节点](fleet-manager-deregister-hybrid-nodes.md)。有关创建具有 Session Manager 权限的 IAM policy 的更多信息，请参阅[步骤 2：验证或添加 Session Manager 的实例权限色](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-getting-started-instance-profile.html)。 |