Run-As-Support für Linux- und macOS-verwaltete Knoten einschalten - AWS Systems Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Run-As-Support für Linux- und macOS-verwaltete Knoten einschalten

Standardmäßig authentifiziert Session Manager Verbindungen mit den Anmeldeinformationen des vom System generierten ssm-user-Kontos, das auf einem verwalteten Knoten erstellt wird. (Auf Linux- und macOS-Maschinen wird das Konto zu /etc/sudoers/ hinzugefügt.) Wenn Sie möchten, können Sie Sitzungen stattdessen mit den Anmeldeinformationen eines Betriebssystem-Benutzerkontos (OS) oder eines Domainbenutzers für Instances authentifizieren, die einem Active Directory beigetreten sind. In diesem Fall überprüft Session Manager vor dem Starten der Sitzung, ob das von Ihnen angegebene Betriebssystemkonto auf dem Knoten oder in der Domain vorhanden ist. Wenn Sie versuchen, eine Sitzung mit einem Betriebssystemkonto zu starten, das auf dem Knoten oder in der Domain nicht vorhanden ist, schlägt die Verbindung fehl.

Anmerkung

Session Manager unterstützt nicht die Verwendung des root-Benutzerkontos eines Betriebssystems zur Authentifizierung von Verbindungen. Für Sitzungen, die mit einem Betriebssystem-Benutzerkonto authentifiziert werden, gelten die Betriebssystem- und Verzeichnisrichtlinien des Knotens, wie Anmeldeeinschränkungen oder Nutzungseinschränkungen für Systemressourcen, möglicherweise nicht.

Funktionsweise

Wenn Sie die Run As-Unterstützung für Sitzungen aktivieren, überprüft das System für Zugriffsberechtigungen wie folgt:

  1. Wurde die IAM-Entität (Benutzer oder Rolle) des Benutzers, der die Sitzung startet, mit SSMSessionRunAs = os user account name gekennzeichnet?

    Falls ja, ist der Betriebssystem-Benutzername auf dem verwalteten Knoten vorhanden? Wenn dies der Fall ist, wird die Sitzung gestartet. Wenn dies nicht der Fall ist, wird das Starten der Sitzung verboten.

    Wenn die IAM-Entität nicht mit SSMSessionRunAs = os user account name gekennzeichnet wurde, fahren Sie mit Schritt 2 fort.

  2. Wenn die IAM-Entität nicht mit SSMSessionRunAs = os user account name gekennzeichnet wurde, wurde in den Session Manager-Einstellungen des AWS-Kontos ein Betriebssystem-Benutzername angegeben?

    Falls ja, ist der Betriebssystem-Benutzername auf dem verwalteten Knoten vorhanden? Wenn dies der Fall ist, wird die Sitzung gestartet. Wenn dies nicht der Fall ist, wird das Starten der Sitzung verboten.

Anmerkung

Wenn Sie die Unterstützung „Ausführen als“ aktivieren, wird Session Manager daran gehindert, Sitzungen mit dem ssm-user-Konto auf einem verwalteten Knoten zu starten. Dies bedeutet, dass, wenn Session Manager die Verbindung nicht mithilfe des angegebenen Betriebssystem-Benutzerkontos herstellen kann, es nicht auf die Standardmethode zurückgreift.

Wenn Sie „Ausführen als“ aktivieren, ohne ein Betriebssystemkonto anzugeben oder eine IAM-Entität zu markieren, und Sie in den Session Manager-Einstellungen kein Betriebssystemkonto angegeben haben, schlagen Sitzungsverbindungsversuche fehl.

So aktivieren Sie den Run-As-Support für Linux- und macOS-verwaltete Knoten
  1. Öffnen Sie die AWS Systems Manager-Konsole unter https://console.aws.amazon.com/systems-manager/.

  2. Wählen Sie im Navigationsbereich Session Manager aus.

  3. Wählen Sie die Registerkarte Präferenzen und anschließend Bearbeiten aus.

  4. Aktivieren Sie das Kontrollkästchen neben Run As-Unterstützung für Linux-Instances aktivieren.

  5. Führen Sie eine der folgenden Aktionen aus:

    • Option 1: Geben Sie im Feld Benutzername des Betriebssystems den Namen des Benutzerkontos des Betriebssystems auf dem verwalteten Zielknoten ein, den Sie zum Starten von Sitzungen verwenden möchten. Mit dieser Option werden alle Sitzungen von demselben Betriebssystem-Benutzer für alle Benutzer in Ihrem AWS-Konto ausgeführt, die eine Verbindung mithilfe von Session Manager herstellen.

    • Option 2: (Empfohlen) Wählen Sie den Link zur IAM-Konsole aus. Wählen Sie im Navigationsbereich eine der Optionen Users (Benutzer) oder Roles (Rollen). Wählen Sie die Entität (Benutzer oder Rolle) aus, der Sie Tags hinzufügen möchten, und wählen Sie dann die Registerkarte Tags. Geben Sie SSMSessionRunAs als Schlüsselname ein. Geben Sie den Namen eines Betriebssystem-Benutzerkontos als den Schlüsselwert ein. Wählen Sie Änderungen speichern.

      Mit dieser Option können Sie bei Bedarf eindeutige Betriebssystembenutzer für verschiedene IAM-Entitäten angeben. Weitere Informationen zum Markieren von IAM-Ressourcen finden Sie unter Markieren von IAM-Ressourcen im IAM-Benutzerhandbuch

      Im Folgenden wird ein Beispiel gezeigt.

      Screenshot der Angabe von Tags für Session Manager Berechtigung „Run As“.
  6. Wählen Sie Speichern aus.