Attiva il supporto RunAs per Linux i nodi macOS gestiti

Per impostazione predefinita, Session Manager autentica le connessioni utilizzando le credenziali di un account ssm-user generato dal sistema che viene creato su un nodo gestito. (Su computer Linux e macOS, l'account viene aggiunto a /etc/sudoers/). Se lo desideri, puoi invece autenticare le sessioni utilizzando le credenziali di un account utente del sistema operativo (OS). In questo caso, Session Manager verifica che l'account dell'OS specificato esista nel nodo prima di iniziare la sessione. Se tenti di avviare una sessione utilizzando un account dell'OS che non esiste nel nodo, la connessione non viene stabilita.

Nota

Session Manager non supporta l'utilizzo di un account utente root del sistema operativo per autenticare le connessioni. Per le sessioni autenticate utilizzando un account utente del sistema operativo, le policy a livello di sistema operativo e di directory del nodo, come le restrizioni di accesso o le restrizioni sull'utilizzo delle risorse di sistema, potrebbero non essere applicabili.

Come funziona

Se attivi il supporto Esegui come per le sessioni, il sistema controlla le autorizzazioni di accesso come segue:

1. Per l'utente che avvia la sessione, all'entità IAM (utente o ruolo) è stato assegnato il tag SSMSessionRunAs = os user account name?

   Se Sì, il nome utente dell'OS esiste sul nodo gestito? In tal caso, avviare la sessione. In caso negativo, non consentire l'avvio di una sessione.

   Se l'entità IAM non è stata contrassegnata con SSMSessionRunAs = os user account name, continua con il passaggio 2.

2. Se l'entità IAM non è stata contrassegnata con SSMSessionRunAs = os user account name, è stato specificato un nome utente del sistema operativo nelle preferenze Session Manager di Account AWS?

   Se Sì, il nome utente dell'OS esiste sul nodo gestito? In tal caso, avviare la sessione. In caso negativo, non consentire l'avvio di una sessione.

Nota

Quando attivi il supporto Esegui come, esso impedisce a Session Manager di avviare sessioni utilizzando l'account ssm-user su un nodo gestito. Ciò significa che se Session Manager non riesce a connettersi utilizzando l'account utente del sistema operativo specificato, non ricorre alla connessione utilizzando il metodo predefinito.

Se attivi Esegui come senza specificare un account del sistema operativo o assegnare tag a un'entità IAM e non hai specificato un account del sistema operativo nelle preferenze di Session Manager, i tentativi di connessione alla sessione falliranno.

Per attivare il supporto Esegui come per i nodi gestiti Linux e macOS

1. Apri la console AWS Systems Manager all'indirizzo https://console.aws.amazon.com/systems-manager/.

2. Nel riquadro di navigazione, scegli Session Manager.

3. Scegli la scheda Preferences (Preferenze), quindi seleziona Edit (Modifica).

4. Seleziona la casella di controllo accanto a Abilita supporto Esegui come per le istanze Linux.

5. Esegui una di queste operazioni:

   • Opzione 1: nel campo Nome utente del sistema operativo, inserisci il nome dell'account utente del sistema operativo che desideri utilizzare per avviare le sessioni. Utilizzando questa opzione, tutte le sessioni vengono eseguite dallo stesso utente dell'OS per tutti gli utenti nel tuo Account AWS che si connettono utilizzando Session Manager.

   • Option 2 (consigliata): scegli il collegamento IAM console (Console IAM). Nel riquadro di navigazione, scegliere Users (Utenti) o Roles (Ruoli). Scegliere l'entità (utente o ruolo) cui aggiungere tag e quindi selezionare la scheda Tags (Tag). Inserire SSMSessionRunAs per il nome chiave. Inserisci il nome di un account utente del sistema operativo per il valore della chiave. Seleziona Salvataggio delle modifiche.

     Utilizzando questa opzione, puoi specificare utenti univoci dell'OS per diverse entità IAM, se lo desideri. Per ulteriori informazioni sull'applicazione di tag alle entità IAM (utenti o ruoli), consulta la pagina Applicazione di tag alle risorse IAM nella Guida per l'utente di IAM.

     Di seguito è riportato un esempio.

     

6. Selezionare Salva.