Paso 7: (Opcional) Activar o desactivar los permisos administrativos de la cuenta ssm-user - AWS Systems Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Paso 7: (Opcional) Activar o desactivar los permisos administrativos de la cuenta ssm-user

A partir de la versión 2.3.50.0 de AWS Systems Manager SSM Agent, el agente crea una cuenta de usuario local llamada ssm-user y la agrega a /etc/sudoers (Linux y macOS) o al grupo de administradores (Windows). En las versiones anteriores a la 2.3.612.0 del agente, la cuenta se crea la primera vez que SSM Agent se inicia o reinicia después de la instalación. En la versión 2.3.612.0 y posteriores, la cuenta ssm-user se crea la primera vez que se inicia una sesión en un nodo. Este ssm-user es el usuario predeterminado del sistema operativo (SO) cuando se inicia una sesión de AWS Systems Manager Session Manager. La versión 2.3.612.0 de SSM Agent se lanzó el 8 de mayo de 2019.

Si desea impedir que los usuarios de Session Manager ejecuten comandos administrativos en un nodo, puede actualizar los permisos de las cuentas ssm-user. También puede restaurar estos permisos después de que se hayan eliminado.

Administración de permisos de cuentas ssm-user sudo en Linux y macOS

Utilice uno de los siguientes procedimientos para activar o desactivar los permisos sudo de las cuentas ssm-user en nodos administrados de Linux y macOS.

Use Run Command para modificar permisos sudo de ssm-user (consola)
  • Utilice el procedimiento en Ejecución de comandos desde la consola con los siguientes valores:

    • En Command document (Documento Command), elija AWS-RunShellScript.

    • Para eliminar el acceso sudo, en el área Command parameters (Parámetros de comandos), pegue lo siguiente en el cuadro Commands (Comandos).

      cd /etc/sudoers.d echo "#User rules for ssm-user" > ssm-agent-users

      -o bien-

      Para restaurar el acceso sudo, en el área Command parameters (Parámetros de comandos), pegue lo siguiente en el cuadro Commands (Comandos).

      cd /etc/sudoers.d echo "ssm-user ALL=(ALL) NOPASSWD:ALL" > ssm-agent-users
Uso de la línea de comandos para modificar permisos sudo de ssm-user (AWS CLI)
  1. Conéctese al nodo administrado y ejecute el siguiente comando.

    sudo -s
  2. Cambie el directorio de trabajo con el siguiente comando.

    cd /etc/sudoers.d
  3. Abra el archivo con el nombre ssm-agent-users para editarlo.

  4. Para eliminar el acceso sudo, elimine la siguiente línea.

    ssm-user ALL=(ALL) NOPASSWD:ALL

    -o bien-

    Para restaurar el acceso sudo, agregue la siguiente línea.

    ssm-user ALL=(ALL) NOPASSWD:ALL
  5. Guarde el archivo.

Administración de los permisos de las cuentas de administrador ssm-user en Windows Server

Utilice uno de los siguientes procedimientos para activar o desactivar los permisos de administrador de las cuentas ssm-user en los nodos administrados de Windows Server.

Uso de Run Command para modificar los permisos de administrador (consola)
  • Utilice el procedimiento en Ejecución de comandos desde la consola con los siguientes valores:

    En Command document (Documento Command), elija AWS-RunPowerShellScript.

    Para eliminar el acceso administrativo, en el área Command parameters (Parámetros de comandos), pegue lo siguiente en el cuadro Commands (Comandos).

    net localgroup "Administrators" "ssm-user" /delete

    -o bien-

    Para restaurar el acceso administrativo, en el área Command parameters (Parámetros de comandos), pegue lo siguiente en el cuadro Commands (Comandos).

    net localgroup "Administrators" "ssm-user" /add
Uso de la ventana de PowerShell o del símbolo del sistema para modificar los permisos de administrador
  1. Conéctese al nodo administrado y abra la ventana de PowerShell o del símbolo del sistema.

  2. Para eliminar el acceso administrativo, ejecute el siguiente comando.

    net localgroup "Administrators" "ssm-user" /delete

    -o bien-

    Para restaurar el acceso administrativo, ejecute el siguiente comando.

    net localgroup "Administrators" "ssm-user" /add
Uso de la consola de Windows para modificar los permisos de administrador
  1. Conéctese al nodo administrado y abra la ventana de PowerShell o del símbolo del sistema.

  2. En la línea de comandos, ejecute lusrmgr.msc para abrir la consola Local Users and Groups (Grupos y usuarios locales).

  3. Abra el directorio Usuarios y, a continuación, ssm-user.

  4. En la pestaña Member Of (Miembro de), realice una de las siguientes acciones:

    • Para eliminar el acceso administrativo, seleccione Administradores y, a continuación, seleccione Quitar.

      -o bien-

      Para restaurar el acceso administrativo, ingrese Administrators en el cuadro de texto y, a continuación, elija Add (Agregar).

  5. Seleccione OK (Aceptar).