Activez Exécuter en tant que support pour Linux les nœuds macOS gérés - AWS Systems Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activez Exécuter en tant que support pour Linux les nœuds macOS gérés

Par défaut, Session Manager authentifie les connexions lancées à l'aide des informations d'identification d'un compte ssm-user généré par le système qui est créé sur un nœud géré. (Sur les machines Linux et macOS, le compte est ajouté à /etc/sudoers/.) Si vous le souhaitez, vous pouvez authentifier des sessions en utilisant les informations d'identification d'un compte utilisateur de système d'exploitation (SE). Dans ce cas, le Gestionnaire de session vérifie que le compte de système d'exploitation (SE) que vous avez spécifié existe sur le nœud avant de démarrer la session. Si vous tentez de lancer une session à l'aide d'un compte de système d'exploitation (SE) qui n'existe pas sur le nœud, la connexion échoue.

Note

Le gestionnaire de session ne prend pas en charge l'utilisation d'un compte utilisateur root de système d'exploitation pour authentifier les connexions. Pour les sessions authentifiées à l'aide d'un compte utilisateur de système d'exploitation, les politiques au niveau du système d'exploitation et de répertoire du nœud, telles que les restrictions de connexion ou les restrictions d'utilisation des ressources système, peuvent ne pas s'appliquer.

Comment ça marche

Si vous activez la prise en charge de Run As pour les sessions, le système vérifie les autorisations d'accès comme suit :

  1. Pour l'utilisateur qui démarre la session, son entité IAM (utilisateur ou rôle) a-t-elle été balisée avec SSMSessionRunAs = os user account name ?

    Si oui, le nom d'utilisateur de système d'exploitation (SE) existe-t-il sur le nœud géré ? Si c'est le cas, démarrer la session. Si ce n'est pas le cas, ne pas autoriser une session à démarrer.

    Si l'entité IAM n'a pas été balisée avec SSMSessionRunAs = os user account name, passez à l'étape 2.

  2. Si l'entité IAM n'a pas été balisée avec SSMSessionRunAs = os user account name, un nom d'utilisateur de système d'exploitation (SE) a-t-il été spécifié dans les préférences Session Manager du Compte AWS ?

    Si oui, le nom d'utilisateur de système d'exploitation (SE) existe-t-il sur le nœud géré ? Si c'est le cas, démarrer la session. Si ce n'est pas le cas, ne pas autoriser une session à démarrer.

Note

Lorsque vous activez la prise en charge de l'exécution en tant que, cela empêche le Gestionnaire de session de démarrer des sessions à l'aide du compte ssm-user sur un nœud géré. Cela signifie que si Session Manager ne réussit pas la connexion à l'aide du compte utilisateur du système d'exploitation spécifié, il ne reviendra pas à la connexion à l'aide de la méthode par défaut.

Si vous activez l'exécution en tant que sans spécifier de compte de système d'exploitation (SE) ni baliser une entité IAM et que vous n'avez pas spécifié de compte de système d'exploitation (SE) dans les préférences du Gestionnaire de session, les tentatives de connexion à la session échoueront.

Pour activer Exécuter en tant que support pour les nœuds gérés Linux et macOS

  1. Ouvrez la console AWS Systems Manager à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, sélectionnez Session Manager.

  3. Sélectionnez l'onglet Préférences, puis Modifier.

  4. Cochez la case en regard de Activer Exécuter en tant que support des instances Linux.

  5. Effectuez l’une des actions suivantes :

    • Option 1 : dans le champ Nom d'utilisateur de système d'exploitation, saisissez le nom du compte utilisateur de système d'exploitation (SE) que vous souhaitez utiliser pour démarrer les sessions. À l'aide de cette option, toutes les sessions sont exécutées par le même utilisateur de système d'exploitation (SE) pour tous les utilisateurs de votre Compte AWS qui se connectent à l'aide de Session Manager.

    • Option 2 (Recommandé) : choisir le lien IAM console (Console IAM). Dans le panneau de navigation, sélectionnez Users (Utilisateurs) ou Roles (Rôles). Sélectionnez l'entité (utilisateur ou rôle) à laquelle ajouter des balises, puis sélectionnez l'onglet Tags (Balises). Entrez SSMSessionRunAs pour le nom de la clé. Saisissez le nom d'un compte utilisateur de système d'exploitation (SE) pour la valeur de la clé. Sélectionnez Enregistrer les modifications.

      Avec cette option, vous pouvez spécifier des utilisateurs de système d'exploitation (SE) uniques pour différentes entités IAM si vous le souhaitez. Pour plus d'informations sur le balisage des entités IAM (utilisateurs ou rôles), consultez la section Balisage des ressources IAM dans le Guide de l'utilisateur IAM

      Voici un exemple.

      Capture d'écran de la spécification de balises pour l'autorisation Exécuter en tant que de Session Manager. Clé = SSM, valeur = nom d'utilisateur de mon système SessionRunAs d'exploitation

  6. Choisissez Enregistrer.