Zurücksetzen von Passwörtern für verwaltete Knoten

Sie können das Passwort für einen beliebigen Benutzer auf einem verwalteten Knoten zurücksetzen. Dazu gehören Amazon Elastic Compute Cloud (AmazonEC2) -Instances, AWS IoT Greengrass Kerngeräte und lokale Server, Edge-Geräte und virtuelle Maschinen (VMs), die von AWS Systems Manager verwaltet werden. Die Funktion zum Zurücksetzen von Passwörtern basiert auf Session Manager einer Funktion von AWS Systems Manager. Sie können diese Funktion verwenden, um eine Verbindung zu verwalteten Knoten herzustellen, ohne eingehende Ports öffnen, Bastion-Hosts verwalten oder Schlüssel verwalten SSH zu müssen.

Das Zurücksetzen des Kennworts ist nützlich, wenn ein Benutzer ein Passwort vergessen hat oder wenn Sie ein Passwort schnell aktualisieren möchten, ohne eine SSH Oder-Verbindung zu einem RDP verwalteten Knoten herzustellen.

Voraussetzungen

Um das Passwort auf einem verwalteten Knoten zurücksetzen zu können, müssen die folgenden Anforderungen erfüllt sein:

• Der verwaltete Knoten, auf dem Sie ein Passwort ändern möchten, muss ein von Systems Manager verwalteter Knoten sein. Auch muss SSM Agent Version 2.3.668.0 oder höher auf dem verwalteten Knoten installiert sein. Informationen über das Installieren oder Aktualisieren von SSM Agent finden Sie unter Arbeiten mit SSM Agent.

• Die Funktionalität zum Zurücksetzen des Passworts verwendet die Session Manager-Konfiguration, die für Ihr Konto eingerichtet ist, um eine Verbindung mit dem verwalteten Knoten herzustellen. Aus diesem Grund müssen die Voraussetzungen für die Verwendung von Session Manager für Ihr Konto in der aktuellen AWS-Region erfüllt sein. Weitere Informationen finden Sie unter Einrichten von Session Manager.

  Anmerkung

  Session Manager-Support für On-Premises-Knoten wird nur für das Advanced-Instances-Kontingent bereitgestellt. Weitere Informationen finden Sie unter Aktivieren des Kontingents für erweiterte Instances.

• Der AWS Benutzer, der das Passwort ändert, muss über die ssm:SendCommand Berechtigung für den verwalteten Knoten verfügen. Weitere Informationen finden Sie unter Den Zugriff von Run Command anhand von Tags beschränken.

Beschränken des Zugriffs

Sie können die Fähigkeit eines Benutzers, Passwörter zurückzusetzen, auf bestimmte verwaltete Knoten beschränken. Dies erfolgt mithilfe identitätsbasierter Richtlinien für den Umgang mit Session Manager ssm:StartSession dem AWS-PasswordReset SSM Dokument. Weitere Informationen finden Sie unter Kontrollieren des Sitzungszugriffs von Benutzern auf Instances.

Verschlüsseln von Daten

Aktivieren Sie AWS Key Management Service (AWS KMS) die vollständige Verschlüsselung für Session Manager Daten, um die Option zum Zurücksetzen des Kennworts für verwaltete Knoten zu verwenden. Weitere Informationen finden Sie unter So aktivieren Sie die KMS-Schlüsselverschlüsselung von Sitzungsdaten (Konsole).

Zurücksetzen eines Passworts auf einem verwalteten Knoten

Sie können ein Passwort auf einem von Systems Manager verwalteten Knoten mithilfe der Systems Manager Fleet ManagerManager-Konsole oder der Taste AWS Command Line Interface (AWS CLI) zurücksetzen.

So ändern Sie das Passwort auf einem verwalteten Knoten (Konsole)

1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

2. Wählen Sie im Navigationsbereich Fleet Manager aus.

3. Wählen Sie die Schaltfläche neben dem Knoten, der ein neues Passwort benötigt.

4. Wählen Sie Instance-Aktionen, Passwort zurücksetzen.

5. Geben Sie im Feld User name (Benutzername) den Namen des Benutzers ein, für den Sie das Passwort ändern. Dabei kann es sich um jeden Benutzernamen handeln, der ein Konto auf dem Knoten hat.

6. Wählen Sie Absenden aus.

7. Befolgen Sie die Eingabeaufforderungen im Befehlsfenster Enter new password (Neues Passwort eingeben), um das neue Passwort anzugeben.

   Anmerkung

   Wenn die Version von SSM Agent auf dem verwalteten Knoten kein Zurücksetzen von Passwörtern unterstützt, werden Sie aufgefordert, mit Run Command, einer Funktion von AWS Systems Manager, eine unterstützte Version zu installieren.

So setzen Sie das Passwort auf einem verwalteten Knoten zurück (AWS CLI)

1. Um das Passwort für einen Benutzer auf einem verwalteten Knoten zurückzusetzen, führen Sie den folgenden Befehl aus. Ersetze jedes example resource placeholder mit Ihren eigenen Informationen.

   Anmerkung

   Um das AWS CLI zum Zurücksetzen eines Passworts zu verwenden, muss das Session Manager Plugin auf Ihrem lokalen Computer installiert sein. Weitere Informationen finden Sie unter Installieren des Session Manager-Plugins für die AWS CLI.

   Linux & macOS

   aws ssm start-session \
       --target instance-id \
       --document-name "AWS-PasswordReset" \
       --parameters '{"username": ["user-name"]}'

   Windows

   aws ssm start-session ^
       --target instance-id ^
       --document-name "AWS-PasswordReset" ^
       --parameters username="user-name"

2. Befolgen Sie die Eingabeaufforderungen im Befehlsfenster Enter new password (Neues Passwort eingeben), um das neue Passwort anzugeben.

Fehlerbehebung beim Zurücksetzen von Passwörtern auf verwalteten Knoten

Viele Probleme beim Zurücksetzen von Passwörtern können behoben werden, wenn Sie sicherstellen, dass Sie die Voraussetzungen für das Zurücksetzen von Passwörtern gelesen haben. Bei anderen Problemen nehmen Sie die folgenden Informationen zur Behebung von Problemen beim Zurücksetzen von Passwörtern zu Hilfe.

Verwalteter Knoten nicht verfügbar

Problem: Sie möchten auf der Seite Managed Instances (Verwaltete Instances) der Konsole das Passwort für einen verwalteten Knoten zurücksetzen, der jedoch nicht in der Liste enthalten ist.

• Solution (Lösung): Der verwaltete Knoten, mit dem Sie eine Verbindung herstellen möchten, wurde möglicherweise nicht für Systems Manager konfiguriert. Um eine EC2 Instanz mit Systems Manager zu verwenden, muss der Instanz ein Instanzprofil AWS Identity and Access Management (IAM) angehängt werden, das Systems Manager die Berechtigung erteilt, Aktionen auf Ihren Instances durchzuführen. Weitere Informationen finden Sie unter Konfigurieren der für Systems Manager erforderlichen Instanzberechtigungen.

  Um einen EC2 Computer mit Systems Manager zu verwenden, erstellen Sie eine IAM Servicerolle, die Systems Manager die Berechtigung erteilt, Aktionen auf Ihren verwalteten Knoten auszuführen. Weitere Informationen finden Sie unter Erstellen der für Systems Manager erforderlichen IAM Servicerolle in Hybrid- und Multicloud-Umgebungen. (Session ManagerUnterstützung für lokale Server und VMs wird nur für die Stufe „Advanced-Instances“ bereitgestellt. Weitere Informationen finden Sie unter.) Aktivieren des Kontingents für erweiterte Instances

SSM Agentnicht up-to-date (Konsole)

Problem: Es wird eine Meldung angezeigt, dass die Version von SSM Agent die Funktionalität zum Zurücksetzen von Passwörtern nicht unterstützt.

• Lösung: Es ist Version 2.3.668.0 oder höher von SSM Agent erforderlich, um Passwörter zurückzusetzen. In der Konsole können Sie den Agent auf dem verwalteten Knoten aktualisieren, indem Sie Update SSM Agent ( aktualisieren) auswählen.

  Wenn Systems Manager neue Funktionen hinzugefügt oder Aktualisierungen an den vorhandenen Funktionen vorgenommen werden, wird eine neue Version von SSM Agent veröffentlicht. Wenn Sie nicht die neueste Version des Agenten verwenden, kann dies dazu führen, dass der verwaltete Knoten nicht die zahlreichen Features von Systems Manager verwendet. Aus diesem Grund empfehlen wir, dass Sie den Prozess zur Aktualisierung von SSM Agent auf Ihren Maschinen automatisieren. Weitere Informationen finden Sie unter Automatisieren von Updates für SSM Agent. Abonnieren Sie die Seite mit den SSM AgentVersionshinweisen aufGitHub, um Benachrichtigungen über SSM Agent Updates zu erhalten.

Optionen zum Zurücksetzen des Passworts werden nicht bereitgestellt (AWS CLI)

Problem: Sie haben mit dem AWS CLI start-session Befehl erfolgreich eine Verbindung zu einem verwalteten Knoten hergestellt. Sie haben das SSM Dokument angegeben AWS-PasswordReset und einen gültigen Benutzernamen angegeben, aber es werden keine Aufforderungen zum Ändern des Kennworts angezeigt.

• Lösung: Die Version von SSM Agent auf dem verwalteten Knoten ist es nicht up-to-date. Es ist Version 2.3.668.0 oder höher erforderlich, um das Passwort zurückzusetzen.

  Eine aktualisierte Version von SSM Agent wird veröffentlicht, wenn neue Funktionen zu Systems Manager hinzugefügt oder Aktualisierungen an den vorhandenen Funktionen vorgenommen werden. Wenn Sie nicht die neueste Version des Agenten verwenden, kann dies dazu führen, dass der verwaltete Knoten nicht die zahlreichen Features von Systems Manager verwendet. Aus diesem Grund empfehlen wir, dass Sie den Prozess zur Aktualisierung von SSM Agent auf Ihren Maschinen automatisieren. Weitere Informationen finden Sie unter Automatisieren von Updates für SSM Agent. Abonnieren Sie die Seite mit den SSM AgentVersionshinweisen aufGitHub, um Benachrichtigungen über SSM Agent Updates zu erhalten.

Keine Berechtigung zum Ausführen von ssm:SendCommand

Problem: Sie versuchen, eine Verbindung zu einem verwalteten Knoten herzustellen, um das Passwort zu ändern, aber es wird eine Fehlermeldung angezeigt, dass Sie nicht autorisiert sind, ssm:SendCommand auf dem verwalteten Knoten auszuführen.

• Lösung: Ihre IAM Richtlinie muss die Erlaubnis zur Ausführung des ssm:SendCommand Befehls beinhalten. Weitere Informationen finden Sie unter Den Zugriff von Run Command anhand von Tags beschränken.

Session Manager-Fehlermeldung

Problem: Sie erhalten eine Fehlermeldung zu Session Manager.

• Lösung: Die Unterstützung für das Zurücksetzen von Passwörtern erfordert, dass Session Manager korrekt konfiguriert ist. Weitere Informationen finden Sie unter Einrichten von Session Manager und Fehlerbehebung für Session Manager.