Verwalten von sudo-Berechtigungen für ssm-user-Konten in Linux und macOS Verwalten von Administratorberechtigungen für das Konto ssm-user in Windows Server

Schritt 7: (Optional) Deaktivieren oder Aktivieren der Administratorberechtigungen für das SSM-Benutzerkonto

Ab Version 2.3.50.0 von AWS Systems Manager SSM Agent, erstellt der Agent ein lokales Benutzerkonto namens ssm-user und fügt es /etc/sudoers (Linux und macOS) bzw. der Administratorengruppe (Windows) hinzu. Auf Agenten-Versionen vor 2.3.612.0 wird das Konto beim ersten Start bzw. Neustart des SSM Agent nach der Installation erstellt. Auf Version 2.3.612.0 und höher wird das ssm-user-Konto beim ersten Start einer Sitzung auf einem Knoten erstellt. Dieser ssm-user ist der Standardbenutzer des Betriebssystems (OS), wenn eine AWS Systems Manager Session Manager-Sitzung gestartet wird. SSM Agent Version 2.3.612.0 wurde am 8. Mai 2019 veröffentlicht.

Wenn Sie verhindern möchten, dass Session Manager-Benutzer administrative Befehle auf einem Knoten ausführen, können Sie ihre ssm-user-Kontoberechtigungen aktualisieren. Sie können diese Berechtigungen wiederherstellen, nachdem sie entfernt wurden.

Themen

Verwalten von sudo-Berechtigungen für ssm-user-Konten in Linux und macOS
Verwalten von Administratorberechtigungen für das Konto ssm-user in Windows Server

Verwalten von sudo-Berechtigungen für ssm-user-Konten in Linux und macOS

Mit den folgenden Verfahren können Sie die sudo-Berechtigungen von ssm-Benutzerkonten auf Linux- und macOS-verwalteten Knoten aktivieren oder deaktivieren.

Verwenden von Run Command zum Ändern von sudo-Berechtigungen für ssm-user (Konsole)

Verwenden Sie die Prozedur in Ausführen von Befehlen über die Konsole mit den folgenden Werten:
- Wählen Sie unter Command document (Befehlsdokument) die Option AWS-RunShellScript aus.
- Um den sudo-Zugriff zu entfernen, fügen Sie im Bereich Command parameters (Befehlsparameter) Folgendes in das Feld Commands (Befehle) ein.
```
cd /etc/sudoers.d
echo "#User rules for ssm-user" > ssm-agent-users
```
  –oder–
  
  Um den sudo-Zugriff wiederherzustellen, fügen Sie im Bereich Command parameters (Befehlsparameter) Folgendes in das Feld Commands (Befehle) ein.
```
cd /etc/sudoers.d 
echo "ssm-user ALL=(ALL) NOPASSWD:ALL" > ssm-agent-users
```

Verwenden der Befehlszeile zum Ändern von sudo-Berechtigungen für ssm-user (AWS CLI)

Stellen Sie eine Verbindung zum verwalteten Knoten her und führen Sie den folgenden Befehl aus.
```
sudo -s
```
Ändern Sie den Arbeitsordner mit dem folgenden Befehl.
```
cd /etc/sudoers.d
```
Öffnen Sie die Datei mit dem Namen ssm-agent-users, um sie zu bearbeiten.
Um den sudo-Zugriff zu entfernen, löschen Sie die folgende Zeile.
```
ssm-user ALL=(ALL) NOPASSWD:ALL
```
–oder–

Um den sudo-Zugriff wiederherzustellen, fügen Sie die folgende Zeile hinzu.
```
ssm-user ALL=(ALL) NOPASSWD:ALL
```
Speichern Sie die Datei.

Verwalten von Administratorberechtigungen für das Konto ssm-user in Windows Server

Mit den folgenden Verfahren können Sie die Administratorberechtigungen von ssm-user-Konten auf von Windows Server verwalteten Knoten aktivieren oder deaktivieren.

Verwenden von Run Command zum Ändern von Administratorberechtigungen (Konsole)

Verwenden Sie die Prozedur in Ausführen von Befehlen über die Konsole mit den folgenden Werten:

Wählen Sie unter Command document (Befehlsdokument) die Option AWS-RunPowerShellScript aus.

Um den administrativen Zugriff zu entfernen, fügen Sie im Bereich Command parameters (Befehlsparameter) Folgendes in das Feld Commands (Befehle) ein.
```
net localgroup "Administrators" "ssm-user" /delete
```
–oder–

Um den administrativen Zugriff wiederherzustellen, fügen Sie im Bereich Command parameters (Befehlsparameter) Folgendes in das Feld Commands (Befehle) ein.
```
net localgroup "Administrators" "ssm-user" /add
```

Verwenden des PowerShell- oder Eingabeaufforderungs-Fensters zum Ändern von Administratorberechtigungen

Stellen Sie eine Verbindung mit dem verwalteten Knoten her und öffnen Sie das PowerShell- oder Eingabeaufforderungsfenster.
Um den administrativen Zugriff zu entfernen, führen Sie den folgenden Befehl aus.
```
net localgroup "Administrators" "ssm-user" /delete
```
–oder–

Um den administrativen Zugriff wiederherzustellen, führen Sie den folgenden Befehl aus.
```
net localgroup "Administrators" "ssm-user" /add
```

Verwenden Sie die Windows-Konsole, um die Berechtigungen für Administratoren zu ändern

Stellen Sie eine Verbindung mit dem verwalteten Knoten her und öffnen Sie das PowerShell- oder Eingabeaufforderungsfenster.
Führen Sie in der Befehlszeile lusrmgr.msc aus, um die Konsole Local Users and Groups (Lokale Benutzer und Gruppen) zu öffnen.
Öffnen Sie das Verzeichnis Benutzer und dann ssm-user.
Führen Sie auf der Registerkarte Member Of (Mitglied von) einen der folgenden Schritte aus:
- Um den administrativen Zugriff zu entfernen, wählen Sie Administrators (Administratoren) und dann Remove (Entfernen) aus.
  
  –oder–
  
  Um den administrativen Zugriff wiederherzustellen, geben Sie Administrators in das Textfeld ein und klicken dann auf Add (Hinzufügen).
Wählen Sie OK.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Schritt 6: (Optional) Verwenden von AWS PrivateLink zum Einrichten eines VPC-Endpunkts für Session Manager

Schritt 8: (Optional) Erlauben und Steuern von Berechtigungen für SSH-Verbindungen über Session Manager