Étape 7 : (Facultatif) Activer ou désactiver les autorisations administrateur du compte ssm-user - AWS Systems Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étape 7 : (Facultatif) Activer ou désactiver les autorisations administrateur du compte ssm-user

À partir de la version 2.3.50.0 deAWS Systems Manager SSM Agent, l'agent crée un compte utilisateur local appeléssm-useret l'ajoute à/etc/sudoers(Linux etmacOS) ou au groupe Administrateurs (Windows). Sur les versions de l'agent antérieures à 2.3.612.0, le compte est créé la première foisSSM Agentdémarre ou redémarre après l'installation. Sur la version 2.3.612.0 et version ultérieure, le compte ssm-user est créé la première fois qu'une session est démarrée sur une instance. Cettessm-userest l'utilisateur du système d'exploitation (OS) par défaut lorsqu'unAWS Systems Manager Session Managerest démarrée.

Si vous souhaitez interdire aux utilisateurs Session Manager d'exécuter des commandes administratives sur une instance, vous pouvez mettre à jour les autorisations du compte ssm-user. Vous pouvez restaurer ces autorisations après qu'elles ont été supprimées.

Gérer les autorisations de compte sudo ssm-user sous Linux etmacOS

Utilisez l'une des procédures suivantes pour activer ou désactiver les autorisations de compte sudo ssm-user sur Linux etmacOSinstances :

Utiliser Run Command pour modifier les autorisations sudo ssm-user (console)

  • Exécutez la procédure décrite sur la page Exécution des commandes depuis la console en appliquant les valeurs suivantes :

    • Pour Command document (Document de commande), choisissez AWS-RunShellScript.

    • Pour supprimer l'accès sudo, dans laCommand parametersCollez l'opération suivante dansCommandes.

      cd /etc/sudoers.d echo "#User rules for ssm-user" > ssm-agent-users

      -ou-

      Pour restaurer l'accès sudo, dansCommand parametersCollez l'opération suivante dansCommandes.

      cd /etc/sudoers.d echo "ssm-user ALL=(ALL) NOPASSWD:ALL" > ssm-agent-users

Utiliser la ligne de commande pour modifier des autorisations sudo ssm-user (AWS CLI)

  1. Connect à l'instance et exécutez la commande suivante :

    sudo -s
  2. Modifiez le répertoire de travail à l'aide de la commande suivante :

    cd /etc/sudoers.d
  3. Ouvrez le fichier nommé ssm-agent-users pour le modifier.

  4. Pour supprimer l'accès sudo, supprimez la ligne suivante.

    ssm-user ALL=(ALL) NOPASSWD:ALL

    -ou-

    Pour restaurer l'accès sudo, ajoutez la ligne suivante.

    ssm-user ALL=(ALL) NOPASSWD:ALL
  5. Sauvegardez le fichier.

Gérer les autorisations administrateur administrateur de compte ssm-user surWindows Server

Utilisez l'une des procédures suivantes pour activer ou désactiver les autorisations administrateur de compte ssm-user surWindows Serverinstances.

Utiliser Run Command pour modifier les autorisations administrateur (console)

  • Exécutez la procédure décrite sur la page Exécution des commandes depuis la console en appliquant les valeurs suivantes :

    Pour Command document (Document de commande), choisissez AWS-RunPowerShellScript.

    Pour supprimer un accès administrateur, dans le manuelCommand parametersCollez l'opération suivante dansCommandes.

    net localgroup "Administrators" "ssm-user" /delete

    -ou-

    Pour restaurer un accès administrateur, dans le manuelCommand parametersCollez l'opération suivante dansCommandes.

    net localgroup "Administrators" "ssm-user" /add

Utiliser la fenêtre d'invite de commande ou PowerShell pour modifier les autorisations administrateur

  1. Connectez-vous à l'instance et ouvrez PowerShell ou la fenêtre d'invite de commande.

  2. Pour supprimer l'accès administrateur, exécutez la commande suivante :

    net localgroup "Administrators" "ssm-user" /delete

    -ou-

    Pour restaurer un accès administrateur, exécutez la commande suivante :

    net localgroup "Administrators" "ssm-user" /add

Utiliser la console Windows pour modifier les autorisations administrateur

  1. Connectez-vous à l'instance et ouvrez PowerShell ou la fenêtre d'invite de commande.

  2. À partir de la ligne de commande, exécutez lusrmgr.msc pour ouvrir la console Utilisateurs et groupes locaux.

  3. Ouvrez le répertoire Utilisateurs, puis ssm-user.

  4. Dans l'onglet Membre de, effectuez l'une des opérations suivantes :

    • Pour supprimer un accès administrateur, sélectionnez Administrateurs, puis Supprimer.

      -ou-

      Pour restaurer un accès administrateur, saisissezAdministratorsDans la zone de texte, puis sélectionnezAddition.

  5. Choisissez OK.