Réinitialisation des mots de passe sur les nœuds gérés

Vous pouvez réinitialiser le mot de passe de n'importe quel utilisateur d'un nœud géré. Cela inclut les instances Amazon Elastic Compute Cloud (AmazonEC2), les appareils AWS IoT Greengrass principaux, ainsi que les serveurs sur site, les appareils périphériques et les machines virtuelles (VMs) gérés par AWS Systems Manager. La fonctionnalité de réinitialisation du mot de passe repose sur Session Manager une fonctionnalité de AWS Systems Manager. Vous pouvez utiliser cette fonctionnalité pour vous connecter à des nœuds gérés sans ouvrir de ports entrants, gérer des hôtes bastions ou gérer des SSH clés.

La réinitialisation du mot de passe est utile lorsqu'un utilisateur a oublié un mot de passe ou lorsque vous souhaitez le mettre à jour rapidement sans établir de SSH connexion RDP ou de connexion à un nœud géré.

Prérequis

Avant de pouvoir réinitialiser le mot de passe d'un nœud géré, les conditions suivantes doivent être remplies :

• Le nœud géré sur lequel vous souhaitez modifier le mot de passe doit être un nœud géré Systems Manager. De plus, SSM Agent 2.3.668.0 (ou version ultérieure) doit être installé sur le nœud géré. Pour plus d'informations sur l'installation ou la mise à jour de SSM Agent, consultez Utilisation de l’option SSM Agent.

• La fonctionnalité de réinitialisation de mot de passe utilise la configuration Session Manager définie pour permettre à votre compte de se connecter au nœud géré. Par conséquent, les prérequis pour l'utilisation de Session Manager doivent avoir été satisfaits pour votre compte dans la Région AWS actuelle. Pour de plus amples informations, veuillez consulter Configuration de Session Manager.

  Note

  La prise en charge de Session Manager pour les nœuds sur site est assurée pour le niveau d'instances avancées uniquement. Pour de plus amples informations, veuillez consulter Activation du niveau d'instances avancées.

• L' AWS utilisateur qui modifie le mot de passe doit avoir l'ssm:SendCommandautorisation d'accéder au nœud géré. Pour de plus amples informations, veuillez consulter Restriction de l'accès Run Command en fonction des balises.

Restriction de l'accès

La capacité d'un utilisateur à réinitialiser les mots de passe peut être limitée à des nœuds gérés spécifiques. Cela se fait en utilisant des politiques basées sur l'identité pour l'Session Managerssm:StartSessionopération avec le AWS-PasswordReset SSM document. Pour de plus amples informations, consultez Contrôler les accès de session utilisateur aux instances.

Chiffrement de données

Activez AWS Key Management Service (AWS KMS) le chiffrement complet Session Manager des données afin d'utiliser l'option de réinitialisation du mot de passe pour les nœuds gérés. Pour de plus amples informations, veuillez consulter Activer le chiffrement des données de session par clé KMS (console).

Réinitialisation d'un mot de passe sur un nœud géré

Vous pouvez réinitialiser un mot de passe sur un nœud géré par Systems Manager à l'aide de la Fleet Managerconsole Systems Manager ou du AWS Command Line Interface (AWS CLI).

Pour modifier le mot de passe sur un nœud géré (console)

1. Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/.

2. Dans le panneau de navigation, sélectionnez Fleet Manager.

3. Cliquez sur le bouton situé en regard du nœud qui a besoin d'un nouveau mot de passe.

4. Choisissez Actions de l’instance, Réinitialiser le mot de passe.

5. Pour User name (Nom d'utilisateur), saisissez le nom de l'utilisateur pour lequel vous modifiez le mot de passe. Il peut s'agir de n'importe quel utilisateur qui dispose d'un compte sur le nœud.

6. Sélectionnez Submit (Envoyer).

7. Suivez les instructions dans la fenêtre de commande Enter new password (Entrer un nouveau mot) pour spécifier le nouveau mot de passe.

   Note

   Si la version de SSM Agent disponible sur le nœud géré ne prend pas en charge la réinitialisation des mots de passe, vous êtes invité à installer une version prise en charge à l'aide de la fonctionnalité Run Command d' AWS Systems Manager.

Pour réinitialiser le mot de passe sur un nœud géré (AWS CLI)

1. Pour réinitialiser le mot de passe d'un utilisateur sur un nœud géré, exécutez la commande suivante. Remplacez chacun example resource placeholder avec vos propres informations.

   Note

   AWS CLI Pour réinitialiser un mot de passe, le Session Manager plugin doit être installé sur votre ordinateur local. Pour plus d’informations, veuillez consulter Installez le Session Manager plugin pour AWS CLI.

   Linux & macOS

   aws ssm start-session \
       --target instance-id \
       --document-name "AWS-PasswordReset" \
       --parameters '{"username": ["user-name"]}'

   Windows

   aws ssm start-session ^
       --target instance-id ^
       --document-name "AWS-PasswordReset" ^
       --parameters username="user-name"

2. Suivez les instructions dans la fenêtre de commande Enter new password (Entrer un nouveau mot) pour spécifier le nouveau mot de passe.

Résolution des problèmes de réinitialisation de mot de passe sur les nœuds gérés

De nombreux problèmes de réinitialisation de mot de passe peuvent être résolus en vous assurant que vous avez rempli les Prérequis pour la réinitialisation de mot de passe. Pour les autres problèmes, utilisez les informations suivantes pour vous aider à résoudre les problèmes de réinitialisation de mot de passe.

Nœud géré non disponible

Problème : vous souhaitez réinitialiser le mot de passe d'un nœud géré sur la page Managed instances (Instances gérées) de la console, mais le nœud ne figure pas dans la liste.

• Solution : le nœud géré auquel vous souhaitez vous connecter n'est peut-être pas configuré pour Systems Manager. Pour utiliser une EC2 instance avec Systems Manager, un profil d'instance AWS Identity and Access Management (IAM) autorisant Systems Manager à effectuer des actions sur vos instances doit être attaché à l'instance. Pour plus d'informations, consultez Configurer les autorisations d'instance requises pour Systems Manager.

  Pour utiliser un appareil autre qu'une EC2 machine avec Systems Manager, créez un rôle de IAM service qui autorise Systems Manager à effectuer des actions sur vos nœuds gérés. Pour plus d'informations, voir Créer le rôle IAM de service requis pour Systems Manager dans les environnements hybrides et multicloud. (Session Managersupport pour les serveurs sur site) et VMs est fourni uniquement pour le niveau des instances avancées. Pour plus d'informations, voirActivation du niveau d'instances avancées.)

SSM Agentpas up-to-date (console)

Problème : un message indique que la version de SSM Agent ne prend pas en charge la fonctionnalité de réinitialisation de mot de passe.

• Solution : la version 2.3 668.0 ou suivante de SSM Agent est requise pour effectuer des réinitialisations de mot de passe. Dans la console, sélectionnez Update SSM Agent (Mettre à jour l'agent SSM) pour procéder à la mise à jour de l'agent sur le nœud géré.

  Une nouvelle version de SSM Agent est lancée chaque fois que de nouvelles fonctionnalités sont ajoutées à Systems Manager ou que des mises à jour sont apportées aux fonctionnalités existantes. Le fait de ne pas utiliser la dernière version de l'agent peut empêcher votre nœud géré d'utiliser diverses capacités et fonctionnalités de Systems Manager. C'est pourquoi nous vous recommandons d'automatiser le processus permettant de maintenir SSM Agent à jour sur vos machines. Pour plus d’informations, veuillez consulter Automatisation des mises à jour de l'SSM Agent. Abonnez-vous à la page des notes de SSM Agent publication GitHub pour recevoir des notifications concernant les SSM Agent mises à jour.

Les options de réinitialisation du mot de passe ne sont pas fournies (AWS CLI)

Problème : vous vous connectez correctement à un nœud géré à l'aide de la AWS CLI start-session commande. Vous avez spécifié le SSM document AWS-PasswordReset et fourni un nom d'utilisateur valide, mais les demandes de modification du mot de passe ne s'affichent pas.

• Solution : La version de SSM Agent sur le nœud géré ne l'est pas up-to-date. La version 2.3.668.0 ou suivante est requise pour effectuer des réinitialisations de mot de passe.

  Une nouvelle version de SSM Agent est lancée chaque fois que de nouvelles fonctionnalités sont ajoutées à Systems Manager ou que des mises à jour sont apportées aux fonctionnalités existantes. Le fait de ne pas utiliser la dernière version de l'agent peut empêcher votre nœud géré d'utiliser diverses capacités et fonctionnalités de Systems Manager. C'est pourquoi nous vous recommandons d'automatiser le processus permettant de maintenir SSM Agent à jour sur vos machines. Pour plus d’informations, veuillez consulter Automatisation des mises à jour de l'SSM Agent. Abonnez-vous à la page des notes de SSM Agent publication GitHub pour recevoir des notifications concernant les SSM Agent mises à jour.

Pas d'autorisation pour exécuter ssm:SendCommand

Problème : vous essayez de vous connecter à un nœud géré pour changer le mot de passe mais vous recevez un message d'erreur indiquant que vous n'êtes pas autorisé à exécuter ssm:SendCommand sur le nœud géré.

• Solution : Votre IAM politique doit inclure l'autorisation d'exécuter la ssm:SendCommand commande. Pour plus d’informations, veuillez consulter Restriction de l'accès Run Command en fonction des balises.

Message d'erreur Session Manager

Problème : vous recevez un message d'erreur relatif à Session Manager.

• Solution : la prise en charge de la réinitialisation de mot de passe nécessite que Session Manager soit configuré correctement. Pour plus d'informations, consultez Configuration de Session Manager et Résolution des problèmes de Session Manager.