Paso 7: (Opcional) Activar o desactivar los permisos administrativos de la cuenta ssm-user
A partir de la versión 2.3.50.0 de AWS Systems Manager SSM Agent, el agente crea una cuenta de usuario local llamada ssm-user
y la agrega a /etc/sudoers
(Linux y macOS) o al grupo de administradores (Windows). En las versiones anteriores a la 2.3.612.0 del agente, la cuenta se crea la primera vez que SSM Agent se inicia o reinicia después de la instalación. En la versión 2.3.612.0 y posteriores, la cuenta ssm-user
se crea la primera vez que se inicia una sesión en un nodo. Este ssm-user
es el usuario predeterminado del sistema operativo (SO) cuando se inicia una sesión de AWS Systems Manager Session Manager. La versión 2.3.612.0 de SSM Agent se lanzó el 8 de mayo de 2019.
Si desea impedir que los usuarios de Session Manager ejecuten comandos administrativos en un nodo, puede actualizar los permisos de las cuentas ssm-user
. También puede restaurar estos permisos después de que se hayan eliminado.
Temas
Administración de permisos de cuentas ssm-user sudo en Linux y macOS
Utilice uno de los siguientes procedimientos para activar o desactivar los permisos sudo de las cuentas ssm-user en nodos administrados de Linux y macOS.
Use Run Command para modificar permisos sudo de ssm-user (consola)
-
Utilice el procedimiento en Ejecución de comandos desde la consola con los siguientes valores:
-
En Command document (Documento Command), elija
AWS-RunShellScript
. -
Para eliminar el acceso sudo, en el área Command parameters (Parámetros de comandos), pegue lo siguiente en el cuadro Commands (Comandos).
cd /etc/sudoers.d echo "#User rules for ssm-user" > ssm-agent-users
-o bien-
Para restaurar el acceso sudo, en el área Command parameters (Parámetros de comandos), pegue lo siguiente en el cuadro Commands (Comandos).
cd /etc/sudoers.d echo "ssm-user ALL=(ALL) NOPASSWD:ALL" > ssm-agent-users
-
Uso de la línea de comandos para modificar permisos sudo de ssm-user (AWS CLI)
-
Conéctese al nodo administrado y ejecute el siguiente comando.
sudo -s
-
Cambie el directorio de trabajo con el siguiente comando.
cd /etc/sudoers.d
-
Abra el archivo con el nombre
ssm-agent-users
para editarlo. -
Para eliminar el acceso sudo, elimine la siguiente línea.
ssm-user ALL=(ALL) NOPASSWD:ALL
-o bien-
Para restaurar el acceso sudo, agregue la siguiente línea.
ssm-user ALL=(ALL) NOPASSWD:ALL
-
Guarde el archivo.
Administración de los permisos de las cuentas de administrador ssm-user en Windows Server
Utilice uno de los siguientes procedimientos para activar o desactivar los permisos de administrador de las cuentas ssm-user en los nodos administrados de Windows Server.
Uso de Run Command para modificar los permisos de administrador (consola)
-
Utilice el procedimiento en Ejecución de comandos desde la consola con los siguientes valores:
En Command document (Documento Command), elija
AWS-RunPowerShellScript
.Para eliminar el acceso administrativo, en el área Command parameters (Parámetros de comandos), pegue lo siguiente en el cuadro Commands (Comandos).
net localgroup "Administrators" "ssm-user" /delete
-o bien-
Para restaurar el acceso administrativo, en el área Command parameters (Parámetros de comandos), pegue lo siguiente en el cuadro Commands (Comandos).
net localgroup "Administrators" "ssm-user" /add
Uso de la ventana de PowerShell o del símbolo del sistema para modificar los permisos de administrador
-
Conéctese al nodo administrado y abra la ventana de PowerShell o del símbolo del sistema.
-
Para eliminar el acceso administrativo, ejecute el siguiente comando.
net localgroup "Administrators" "ssm-user" /delete
-o bien-
Para restaurar el acceso administrativo, ejecute el siguiente comando.
net localgroup "Administrators" "ssm-user" /add
Uso de la consola de Windows para modificar los permisos de administrador
-
Conéctese al nodo administrado y abra la ventana de PowerShell o del símbolo del sistema.
-
En la línea de comandos, ejecute
lusrmgr.msc
para abrir la consola Local Users and Groups (Grupos y usuarios locales). -
Abra el directorio Usuarios y, a continuación, ssm-user.
-
En la pestaña Member Of (Miembro de), realice una de las siguientes acciones:
-
Para eliminar el acceso administrativo, seleccione Administradores y, a continuación, seleccione Quitar.
-o bien-
Para restaurar el acceso administrativo, ingrese
Administrators
en el cuadro de texto y, a continuación, elija Add (Agregar).
-
-
Seleccione Aceptar.