Gestion des autorisations de compte sudo ssm-user sous Linux et macOS Gérer les autorisations administrateur de compte ssm-user sur Windows Server

Étape 7 : (Facultatif) activez ou désactivez les autorisations administratives du compte ssm-user.

À partir de la version 2.3.50.0 de l'AWS Systems Manager SSM Agent, l'agent crée un compte utilisateur local appelé ssm-user et l'ajoute à /etc/sudoers (Linux et macOS) ou au groupe Administrateurs (Windows). Sur les versions de l'agent antérieures à 2.3.612.0, le compte est créé la première fois que l'SSM Agent démarre ou redémarre après l'installation. Sur la version 2.3.612.0 et version ultérieure, le compte ssm-user est créé la première fois qu'une session est démarrée sur un nœud. ssm-user correspond à l'utilisateur du système d'exploitation par défaut lorsqu'une session AWS Systems Manager Session Manager est démarrée. La version SSM Agent 2.3.612.0 est sortie le 8 mai 2019.

Si vous souhaitez interdire aux utilisateurs Session Manager d'exécuter des commandes administratives sur un nœud, vous pouvez mettre à jour les autorisations du compte ssm-user. Vous pouvez restaurer ces autorisations après qu'elles ont été supprimées.

Rubriques

Gestion des autorisations de compte sudo ssm-user sous Linux et macOS
Gérer les autorisations administrateur de compte ssm-user sur Windows Server

Gestion des autorisations de compte sudo ssm-user sous Linux et macOS

Utilisez l'une des procédures suivantes pour activer ou désactiver les autorisations de compte sudo ssm-user sur les nœuds gérés Linux et macOS.

Utiliser Run Command pour modifier les autorisations sudo ssm-user (console)

Exécutez la procédure décrite sur la page Exécution des commande à partir de la console en appliquant les valeurs suivantes :
- Pour Command document (Document de commande), sélectionnez AWS-RunShellScript.
- Pour supprimer un accès sudo, dans la zone Command parameters (Paramètres de la commande), collez la commande suivante dans la zone Commands (Commandes) :
```
cd /etc/sudoers.d
echo "#User rules for ssm-user" > ssm-agent-users
```
  -ou-
  
  Pour restaurer un accès sudo, dans la zone Command parameters (Paramètres de la commande), collez la commande suivante dans Commands (Commandes) :
```
cd /etc/sudoers.d 
echo "ssm-user ALL=(ALL) NOPASSWD:ALL" > ssm-agent-users
```

Utiliser la ligne de commande pour modifier des autorisations sudo ssm-user (AWS CLI)

Connectez-vous au nœud géré et exécutez la commande suivante.
```
sudo -s
```
Modifiez le répertoire de travail à l'aide de la commande suivante.
```
cd /etc/sudoers.d
```
Ouvrez le fichier nommé ssm-agent-users pour le modifier.
Pour supprimer l'accès sudo, supprimez la ligne suivante.
```
ssm-user ALL=(ALL) NOPASSWD:ALL
```
-ou-

Pour restaurer l'accès sudo, ajoutez la ligne suivante.
```
ssm-user ALL=(ALL) NOPASSWD:ALL
```
Sauvegardez le fichier.

Gérer les autorisations administrateur de compte ssm-user sur Windows Server

Utilisez l'une des procédures suivantes pour activer ou désactiver les autorisations administrateur de compte ssm-user sur les nœuds gérés Windows Server.

Utiliser Run Command pour modifier les autorisations administrateur (console)

Exécutez la procédure décrite sur la page Exécution des commande à partir de la console en appliquant les valeurs suivantes :

Pour Command document (Document de commande), sélectionnez AWS-RunPowerShellScript.

Pour supprimer un accès administrateur, dans la zone Command parameters (Paramètres de la commande), collez la commande suivante dans la zone Commands (Commandes).
```
net localgroup "Administrators" "ssm-user" /delete
```
-ou-

Pour restaurer un accès administrateur, dans la zone Command parameters (Paramètres de la commande), collez la commande suivante dans la zone Commands (Commandes).
```
net localgroup "Administrators" "ssm-user" /add
```

Utilisation de la fenêtre d'invite de commande ou PowerShell pour modifier les autorisations administrateur

Connectez-vous au nœud géré et ouvrez PowerShell ou la fenêtre d'invite de commande.
Pour supprimer un accès administrateur, exécutez la commande suivante.
```
net localgroup "Administrators" "ssm-user" /delete
```
-ou-

Pour restaurer un accès administrateur, exécutez la commande suivante.
```
net localgroup "Administrators" "ssm-user" /add
```

Utilisation de la console Windows pour modifier les autorisations administrateur

Connectez-vous au nœud géré et ouvrez PowerShell ou la fenêtre d'invite de commande.
À partir de la ligne de commande, exécutez lusrmgr.msc pour ouvrir la console Utilisateurs et groupes locaux.
Ouvrez le répertoire Utilisateurs, puis ssm-user.
Dans l'onglet Membre de, effectuez l'une des opérations suivantes :
- Pour supprimer un accès administrateur, sélectionnez Administrateurs, puis Supprimer.
  
  -ou-
  
  Pour restaurer un accès administrateur, saisissez Administrators dans la zone de texte, puis sélectionnez Add (Ajouter).
Sélectionnez OK.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Étape 6 (facultative) : Utiliser AWS PrivateLink pour configurer un point de terminaison de VPC pour Session Manager

Étape 8 : (Facultatif) Autoriser et contrôler les autorisations pour SSH les connexions via Session Manager