Activación del soporte Ejecutar como para nodos administrados de Linux y macOS - AWS Systems Manager

Activación del soporte Ejecutar como para nodos administrados de Linux y macOS

De forma predeterminada, Session Manager autentica las conexiones con las credenciales de la cuenta ssm-user generada por el sistema que se crea en un nodo administrado. (En los equipos Linux y macOS, la cuenta se agrega a /etc/sudoers/). Si lo desea, puede autenticar las sesiones con las credenciales de una cuenta de usuario del sistema operativo (SO). En este caso, Administrador de sesiones comprueba que la cuenta del sistema operativo que especificó existe en el nodo antes de iniciar la sesión. Si intenta iniciar una sesión con una cuenta del sistema operativo que no existe en el nodo, se produce un error en la conexión.

nota

Administrador de sesiones no admite el uso de una cuenta de usuario root de un sistema operativo para autenticar las conexiones. En el caso de las sesiones que se autentican mediante una cuenta de usuario del sistema operativo, es posible que no se apliquen las políticas de directorio y nivel de sistema del nodo, como las restricciones de inicio de sesión o las restricciones de uso de los recursos del sistema.

Funcionamiento

Si activa Ejecutar como soporte para las sesiones, el sistema verifica los permisos de acceso tal como se indica a continuación:

  1. Para el usuario que está iniciando la sesión, ¿se ha etiquetado su entidad de IAM (usuario o rol) con SSMSessionRunAs = os user account name?

    En caso afirmativo, ¿existe el nombre de usuario del sistema operativo en el nodo administrado? En caso afirmativo, inicie la sesión. Si no es así, no permita que se inicie una sesión.

    Si la entidad de IAM no se ha etiquetado con SSMSessionRunAs = os user account name, continúe con el paso 2.

  2. Si la entidad de IAM no se ha etiquetado con SSMSessionRunAs = os user account name, ¿se ha especificado un nombre de usuario del sistema operativo en las preferencias de la Cuenta de AWS de Session Manager?

    En caso afirmativo, ¿existe el nombre de usuario del sistema operativo en el nodo administrado? En caso afirmativo, inicie la sesión. Si no es así, no permita que se inicie una sesión.

nota

Al activar el soporte Ejecutar como, se impide que Administrador de sesiones inicie sesiones con la cuenta ssm-user en un nodo administrado. Esto significa que si Session Manager no se puede conectar mediante la cuenta de usuario del sistema operativo especificada, no se recurre a la conexión mediante el método predeterminado.

Si activa Ejecutar como sin especificar una cuenta de sistema operativo ni etiquetar una entidad de IAM y no ha especificado ninguna cuenta de sistema operativo en las preferencias de Administrador de sesiones, se produce un error en los intentos de conexión a la sesión.

Para activar el soporte Ejecutar como para nodos administrados de Linux y macOS

  1. Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/.

  2. En el panel de navegación, elija Session Manager.

  3. Elija la pestaña Preferences (Preferencias) y, a continuación, Edit (Editar).

  4. Seleccione la casilla de verificación situada junto a Activar soporte Ejecutar como para instancias de Linux.

  5. Realice una de las siguientes acciones siguientes:

    • Opción 1: en el campo Nombre de usuario del sistema operativo, ingrese el nombre de la cuenta de usuario del sistema operativo que desea usar para iniciar sesiones. Con esta opción, el mismo usuario del sistema operativo ejecuta todas las sesiones para todos los usuarios de su Cuenta de AWS que se conectan mediante Session Manager.

    • Opción 2 (recomendada): elija el enlace IAM console (consola de IAM). En el panel de navegación, seleccione Usuarios o Roles. Elija la entidad (usuario o rol) a la que añadir etiquetas y, a continuación, elija la pestaña Tags. Escriba SSMSessionRunAs para el nombre de la clave. Ingrese el nombre de una cuenta de usuario del sistema operativo para el valor clave. Elija Guardar cambios.

      Con esta opción, puede especificar usuarios de sistema operativo únicos para diferentes entidades de IAM, si así lo desea. Para obtener más información acerca del etiquetado de entidades (usuarios o roles) de IAM, consulte Etiquetado de recursos de IAM en la Guía del usuario de IAM

      A continuación, se muestra un ejemplo.

      Captura de pantalla de la especificación de etiquetas para el permiso Ejecutar como de Session Manager

  6. Seleccione Guardar.