Fournir un accès superutilisateur aux utilisateurs de Linux - Amazon Nimble Studio

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Fournir un accès superutilisateur aux utilisateurs de Linux

Fournir un accès utilisateur sécurisé est un aspect clé d'Amazon Nimble Studio. Cependant, il peut arriver que vous souhaitiez fournir un accès superutilisateur à des utilisateurs particuliers afin qu'ils puissent installer des logiciels. Une solution consiste à utiliser lasudoers Policy Modulepour indiquer les privilèges sudo d'un utilisateur et lui accorder un accès temporaire de superutilisateur.

Important

Tout utilisateur disposant d'un accès sudo aura un accès complet en lecture et en écriture à tous les fichiers et dossiers, y compris les fichiers des systèmes de fichiers partagés montés, qui sont attachés au système. Exemples de systèmes de fichiers POSIX : FSx for Lustre et EFS.

Ce didacticiel explique comment créer un composant spécifique que vous pouvez associer à un profil de lancement afin de pouvoir fournirsudocapacité. Ce composant fournit la fonctionnalité sudo uniquement aux utilisateurs que vous jugez appropriés. En accordant un accès superutilisateur à ces utilisateurs, vous leur donnez l'autorisation d'installer des logiciels et d'effectuer des opérations au niveau racine. Avec sudo, cet accès est temporaire. Cependant, il est important de savoir que la fourniture d'un accès superutilisateur comporte des risques. Tout utilisateur disposant d'un accès sudo peut désormais se faire passer pour n'importe quel utilisateur, ce qui signifie qu'il peut accéder à n'importe quel fichier ou dossier dans le studio. Pour obtenir des informations sur les recommandations de sécurité, consultezBonnes pratiques de sécurité dansAWS Identity and Access Managementdans le guide de l'utilisateur d'IAM.

Prérequis

Étape 1 : Ajoutez un composant d'accès superutilisateur à votre studio

Au cours de cette étape, vous allez utiliser le composant de configuration personnalisé pour créer un script d'initialisation du système qui permet l'utilisation de sudo.

  1. Connectez-vous à la consoleAWS Management Consoleet ouvrezNimble Studioconsole

  2. Tâche de sélectionRessources du Studiodans le volet de navigation de gauche.

    
                  Console Nimble Studio : Le lien Ressources Studio dans le volet de navigation.
  3. Sous le type de ressource studio appeléConfiguration personnalisée, choisissezAddition.

    
                  La section Liste des types de ressources Studio dans la page des ressources Studio de la console Nimble Studio.
  4. DansInformations de configuration personnalisées, remplissez les champs comme suit :

    1. DansRégion AWSsélecteur (barre de navigation en haut à droite), assurez-vous que la région de votre studio est sélectionnée.

      
                  Sélecteur de région de la console Nimble Studio
    2. Choisissez le nom de votre composant. Exemple : sudo Access.

    3. (Facultatif) Donnez une description à votre composant.

      
                        Informations de configuration personnalisées : Région
  5. Création d'un nouveauParamètre de scripten choisissantAjout d'un nouveau paramètre

  6. DansNom du paramètresection, entrezUSERLIST.

  7. DansValeur de paramètre, entrez des noms d'utilisateur pour accorder l'accès de superutilisateur à des utilisateurs spécifiques.

    1. Les noms d'utilisateur ne doivent être séparés que par un espace. Exemple : Administrateur Maria Richard

      
                        Section Paramètres de script. Le nom du paramètre est USERLIST et la valeur du paramètre est Admin maria richard.
  8. DansScript d'initialisation, faites défiler jusqu'à la sectionLinuxSection. Ajoutez le code suivant à la section d'initialisation du système pour donner accès à sudo à des utilisateurs spécifiques.

    SUDOERS_FILE=/etc/sudoers.d/50-ad-admin-user echo -e "# Created by studio component $studioComponentId $studioComponentName" > $SUDOERS_FILE # save IFS so we can revert it OLDIFS=$IFS IFS=" " for SUDO_USER in $USERLIST; do echo -e "$SUDO_USER\tALL=(ALL)\tALL" >> $SUDOERS_FILE done # revert IFS IFS=$OLDIFS chmod 440 $SUDOERS_FILE
  9. DansGroupes de sécurité, choisissez la sectionLicenseServerGroupe de sécurité.

  10. (Facultatif) Ajoutez des balises si vous utilisez des balises pour suivre votreAWSAWS.

  11. ChoisissezEnregistrement de la configuration personnalisée.

    
                  La section Balises de la page de configuration personnalisée.

Étape 2 : Ajouter le composant Sudo Access à un profil de lancement

Les étapes suivantes expliquent comment joindre lesudo Accessà un profil de lancement existant. Nous vous recommandons de créer un profil de lancement spécifique dédié au travail administratif de Linux, afin de déterminer clairement qui a accès à ce composant. Si vous le souhaitez, accédez àCréation de profilset suivez les étapes de ce didacticiel avant de revenir à cette étape.

  1. Retournez dans Studio Manager.

  2. ChoisissezLancement des profilsdans le volet de navigation de gauche.

    
                  Console Nimble Studio, lien vers le volet de navigation : Lancez les profils.
  3. Sélectionnez un profil de lancement en sélectionnant le point à gauche de son nom.

  4. Choisissez,Action. Puis, choisissez Modifier.

  5. Faites défiler jusqu'àLancement des composants de profil.

  6. Cochez la case en regard desudo Accessque vous venez de créer.

  7. Faites défiler la page vers le bas et choisissezMettre à jour le profil.

  8. Répétez ces étapes pour tous les profils de lancement auxquels vous souhaitez avoir accès àsudo Accesscomposant

Étape 3 : Tester le composant Sudo Access

Pour s'assurer que lasudo Accessfonctionne comme prévu, connectez-vous à un poste de travail virtuel et testez le processus.

Lancer une station de travail virtuelle

  1. Connectez-vous à votre compte Nimble Studio.

    1. Si vous ne savez pas comment vous connecter, suivez les instructions deConnexion au portail Nimble Studio.

  2. Cliquez sur l'ongletLancement d'dans le volet de navigation de gauche.

  3. Sélectionnez le profil de lancement que vous souhaitez utiliser pour lancer votre station de travail virtuelle.

    1. Il doit s'agir du profil de lancement que vous avez ajoutésudo Accesscomposant vers.

  4. Lancez votre station de travail virtuelle sous LinuxAmazon Machine Image(AMI).

    1. Si vous ne savez pas comment choisir la bonneAMI, suivez les instructions deLancer une station de travail virtuelle.

Connectez-vous à la station de travail virtuelle

  1. Lorsque votre poste de travail virtuel est prêt, une nouvelle fenêtre apparaît pour vous rappeler que le client doit être installé. Si vous n'avez pas installé le client de bureau NICE DCV, choisissezTéléchargez iciet installez d'abord le client.

  2. Dans la nouvelle fenêtre, choisissezCommencer le streaming maintenant.

    
                  Fenêtre du portail Nimble Studio avec lien vers Démarrer la diffusion en continu maintenant.
  3. Lorsque votre navigateur affiche une fenêtre vous invitant à ouvrir NICE DCV, choisissezOuvrirpour continuer. Le libellé exact peut varier en fonction du navigateur que vous utilisez.

    Note

    Le client de navigation web NICE DCV s'exécute à l'intérieur d'un navigateur web. Vous n'avez pas besoin d'installer le client Web. Nous vous recommandons d'utiliser le navigation Google Chrome pour éviter la latence. Pour plus d'informations, consultez la sectionClient de navigation webdans le Guide de l'utilisateur de NICE DCV.

  4. L'application NICE DCV Client s'ouvre dans une nouvelle fenêtre, et vous allez maintenant voir l'écran de connexion Linux.

    
                  Écran de connexion Linux affichant la date et l'heure.
  5. Sélectionnez le bas de votre écran et faites glisser votre pointeur vers le haut de l'écran, en suivant les flèches. Cela révélera ensuite leNom d'utilisateurChamp de connexion.

    
                  Écran de connexion Linux avec le champ Nom d'utilisateur.
  6. Entrez votre nom d'utilisateur et votre mot de passe.

  7. Vous êtes maintenant connecté à votre poste de travail virtuel.

Test sudo access

Maintenant que vous êtes connecté à votre poste de travail virtuel, vous pouvez tester si votre composant Sudo Access a fonctionné comme prévu. Pour ce faire, utilisez laTerminalpour exécuter une commande sudo, comme suit.

  1. Ouverture d'Terminal.

    1. Tâche de sélectionApplicationsdans la barre de menu. Puis choisissezOutils système.

      
                  La liste déroulante Applications est ouverte et le pointeur survole l'icône du terminal.
  2. Dans le terminal, saisissez la commandesudo -vpour vérifier si votre utilisateur dispose d'un accès sudo.

  3. Entrez le mot de passe de votre compte.

    1. Si votre compte dispose des autorisations sudo, une invite de commande s'affiche.

      
                        Terminal Linux : la commande sudo -v s'exécute. Le résultat fait référence à « la conférence habituelle » donnée par l'administrateur système local.
    2. Si vous n'y avez pas accès, vous recevrez un résultat similaire à :

      Sorry, user [username] may not run sudo on [hostname].

    3. Si votre compte n'est pas autorisé à exécuter des commandes sudo, vérifiez à nouveau votre profil de lancement pour vous assurer que vous avez connecté lesudo AccessComposant.

Vous avez maintenant fourni un accès superutilisateur à vos utilisateurs Linux.