Aktivieren Sie „Als ausführen“ -Unterstützung für Linux und macOS verwaltete Knoten - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktivieren Sie „Als ausführen“ -Unterstützung für Linux und macOS verwaltete Knoten

Standardmäßig authentifiziert Session Manager Verbindungen mit den Anmeldeinformationen des vom System generierten ssm-user-Kontos, das auf einem verwalteten Knoten erstellt wird. (Auf Linux- und macOS-Maschinen wird das Konto zu /etc/sudoers/ hinzugefügt.) Wenn Sie möchten, können Sie stattdessen Sitzungen mit den Anmeldeinformationen eines Benutzerkontos des Betriebssystems (OS) authentifizieren. In diesem Fall überprüft Session Manager, ob das angegebene Betriebssystemkonto auf dem Knoten vorhanden ist, bevor die Sitzung gestartet wird. Wenn Sie versuchen, eine Sitzung mit einem Betriebssystemkonto zu starten, das auf dem Knoten nicht vorhanden ist, schlägt die Verbindung fehl.

Anmerkung

Session Manager unterstützt nicht die Verwendung des root-Benutzerkontos eines Betriebssystems zur Authentifizierung von Verbindungen. Für Sitzungen, die mit einem Betriebssystem-Benutzerkonto authentifiziert werden, gelten die Betriebssystem- und Verzeichnisrichtlinien des Knotens, wie Anmeldeeinschränkungen oder Nutzungseinschränkungen für Systemressourcen, möglicherweise nicht.

Funktionsweise

Wenn Sie die Run As-Unterstützung für Sitzungen aktivieren, überprüft das System für Zugriffsberechtigungen wie folgt:

  1. Wurde die IAM-Entität (Benutzer oder Rolle) des Benutzers, der die Sitzung startet, mit SSMSessionRunAs = os user account name gekennzeichnet?

    Falls ja, ist der Betriebssystem-Benutzername auf dem verwalteten Knoten vorhanden? Wenn dies der Fall ist, wird die Sitzung gestartet. Wenn dies nicht der Fall ist, wird das Starten der Sitzung verboten.

    Wenn die IAM-Entität nicht mit SSMSessionRunAs = os user account name gekennzeichnet wurde, fahren Sie mit Schritt 2 fort.

  2. Wenn die IAM-Entität nicht markiert wurdeSSMSessionRunAs = os user account name, wurde in den Session Manager Einstellungen von ein Betriebssystem-Benutzername angegeben? AWS-Konto

    Falls ja, ist der Betriebssystem-Benutzername auf dem verwalteten Knoten vorhanden? Wenn dies der Fall ist, wird die Sitzung gestartet. Wenn dies nicht der Fall ist, wird das Starten der Sitzung verboten.

Anmerkung

Wenn Sie die Unterstützung „Ausführen als“ aktivieren, wird Session Manager daran gehindert, Sitzungen mit dem ssm-user-Konto auf einem verwalteten Knoten zu starten. Dies bedeutet, dass, wenn Session Manager die Verbindung nicht mithilfe des angegebenen Betriebssystem-Benutzerkontos herstellen kann, es nicht auf die Standardmethode zurückgreift.

Wenn Sie „Ausführen als“ aktivieren, ohne ein Betriebssystemkonto anzugeben oder eine IAM-Entität zu markieren, und Sie in den Session Manager-Einstellungen kein Betriebssystemkonto angegeben haben, schlagen Sitzungsverbindungsversuche fehl.

So aktivieren Sie den Run-As-Support für Linux- und macOS-verwaltete Knoten

  1. Öffnen Sie die AWS Systems Manager Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich Session Manager aus.

  3. Wählen Sie die Registerkarte Preferences (Präferenzen) und anschließend Edit (Bearbeiten) aus.

  4. Aktivieren Sie das Kontrollkästchen neben Run As-Unterstützung für Linux-Instances aktivieren.

  5. Führen Sie eine der folgenden Aktionen aus:

    • Option 1: Geben Sie im Feld Benutzername des Betriebssystems den Namen des Benutzerkontos des Betriebssystems auf dem verwalteten Zielknoten ein, den Sie zum Starten von Sitzungen verwenden möchten. Wenn Sie diese Option verwenden, werden alle Sitzungen von demselben Betriebssystembenutzer für alle Benutzer in Ihrem System ausgeführt AWS-Konto , die eine Verbindung herstellenSession Manager.

    • Option 2: (Empfohlen) Wählen Sie den Link zur IAM-Konsole aus. Wählen Sie im Navigationsbereich eine der Optionen Users (Benutzer) oder Roles (Rollen). Wählen Sie die Entität (Benutzer oder Rolle) aus, der Sie Tags hinzufügen möchten, und wählen Sie dann die Registerkarte Tags. Geben Sie SSMSessionRunAs als Schlüsselname ein. Geben Sie den Namen eines Betriebssystem-Benutzerkontos als den Schlüsselwert ein. Wählen Sie Änderungen speichern aus.

      Mit dieser Option können Sie bei Bedarf eindeutige Betriebssystembenutzer für verschiedene IAM-Entitäten angeben. Weitere Informationen zum Markieren von IAM-Ressourcen finden Sie unter Markieren von IAM-Ressourcen im IAM-Benutzerhandbuch

      Im Folgenden wird ein Beispiel gezeigt.

      Screenshot der Angabe von Tags für Session Manager Berechtigung „Run As“.

  6. Klicken Sie auf Speichern.