マネージドノードでパスワードをリセットするマネージドノードでのパスワードリセットの問題をトラブルシューティングする

マネージドノードのパスワードをリセットする

マネージドノード上の任意のユーザーのパスワードをリセットできます。これには、AWS Systems Manager が管理する Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、AWS IoT Greengrass コアデバイス、オンプレミスサーバー、エッジデバイス、仮想マシン (VM) が含まれます。パスワードリセット機能は、AWS Systems Manager の一機能である Session Manager 上に構築されています。この機能を使用すると、インバウンドポートを開いたり、要塞ホストを維持したり、SSH キーを管理したりせずにマネージドノードに接続できます。

ユーザーがパスワードを忘れた場合、またはマネージドノードへの RDP または SSH 接続を行わずにパスワードをすばやく更新する場合には、パスワードリセットオプションが役立ちます。

前提条件

マネージドノードのパスワードをリセットする前に、次の要件を満たす必要があります。

パスワードを変更するマネージドノードは、Systems Manager マネージドノードである必要があります。また、SSM Agent バージョン 2.3.668.0 以降をマネージドノードにインストールする必要があります。SSM Agent のインストールまたは更新については、「SSM Agent の使用」を参照してください。
パスワードリセット機能では、アカウントに設定された Session Manager 設定を使用してマネージドノードに接続します。そのため、Session Manager を使用するための前提条件が、現在の AWS リージョンのアカウントで完了している必要があります。詳細については、「Session Manager を設定する」を参照してください。

注記
オンプレミスノードの Session Manager サポートは、アドバンストインスタンス層に対してのみ提供されています。詳細については、「アドバンストインスタンス層を有効にするには」を参照してください。
パスワードを変更する AWS ユーザーには、マネージドノードの ssm:SendCommand アクセス許可が必要です。詳細については、「タグによる Run Command アクセスを制限」を参照してください。

アクセスの制限

特定のマネージドノードへのパスワードをリセットするユーザーの能力を制限できます。これを行うには、AWS-PasswordReset SSM ドキュメントで Session Manager ssm:StartSession オペレーションに ID ベースのポリシーを使用します。詳細については、「インスタンスへのユーザーセッションアクセスを制御する」を参照してください。

データの暗号化

マネージドノードのパスワードリセットオプションを使用するには、Session Manager データの AWS Key Management Service (AWS KMS) 完全暗号化を有効にします。詳細については、「セッションデータの KMS キー暗号化を有効にする (コンソール)」を参照してください。

マネージドノードでパスワードをリセットする

Systems Manager Fleet Manager コンソールまたは AWS Command Line Interface (AWS CLI) を使用して、Systems Manager のマネージドノードでパスワードをリセットできます。

マネージドノードのパスワードを変更するには (コンソール)

AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。
ナビゲーションペインで、[Fleet Manager] を選択します。
新しいパスワードが必要なノードの横にあるボタンを選択します。
[インスタンスアクション]、[パスワードのリセット] を選択します。
[User name] に、パスワードを変更するユーザーの名前を入力します。ノードのアカウントを持つ任意のユーザー名を使用することができます。
[Submit] (送信) をクリックします。
[Enter new password] コマンドウィンドウのプロンプトに従って、新しいパスワードを指定します。

注記
マネージドノード上の SSM Agent のバージョンでパスワードのリセットがサポートされていない場合は、AWS Systems Manager の一機能である Run Command を使用して、サポートされているバージョンをインストールするように求められます。

マネージドノードのパスワードをリセットするには (AWS CLI)

マネージドノードのユーザーのパスワードをリセットするには、次のコマンドを実行します。各リソースプレースホルダーの例をユーザー自身の情報に置き換えます。

注記
AWS CLI を使用してパスワードをリセットするには、ローカルマシンに Session Manager プラグインをインストールする必要があります。詳細については、AWS CLI 用の Session Manager プラグインをインストールするを参照してください。
Linux & macOS
```
aws ssm start-session \
    --target instance-id \
    --document-name "AWS-PasswordReset" \
    --parameters '{"username": ["user-name"]}'
```
Windows
```
aws ssm start-session ^
    --target instance-id ^
    --document-name "AWS-PasswordReset" ^
    --parameters username="user-name"
```
[Enter new password] コマンドウィンドウのプロンプトに従って、新しいパスワードを指定します。

マネージドノードでのパスワードリセットの問題をトラブルシューティングする

パスワードリセットの問題は通常、パスワードリセット前提条件を完了することで解決できます。それ以外の問題の場合は、次の情報を使用して、パスワードリセットの問題をトラブルシューティングします。

マネージドノードを使用できない

問題: マネージドインスタンスコンソールのページでマネージドノードのパスワードをリセットしたいが、ノードがリストにありません。

解決方法: 接続するマネージドノードが Systems Manager 向けに設定されていない可能性があります。Systems Manager EC2 でインスタンスを使用するには、AWS Identity and Access Management (IAM) インスタンスプロファイルをインスタンスにアタッチする必要があります。これにより、インスタンスに対してアクションを実行するためのアクセス許可が Systems Manager に付与されます。詳細については、「Systems Manager に必要なインスタンスのアクセス許可を設定する」を参照してください。

Systems Manager で非 EC2 マシンを使用するには、マネージドノードでアクションを実行するための許可を Systems Manager に付与する IAM サービスロールを作成します。詳細については、「ハイブリッドおよびマルチクラウド環境で Systems Manager に必要な IAM サービスロールを作成する」を参照してください。(オンプレミスサーバーおよび VM に対する Session Manager のサポートは、アドバンストインスタンス層でのみ提供されています。詳細については「アドバンストインスタンス層を有効にするには」を参照してください。)

SSM Agent が最新ではない (コンソール)

問題: SSM Agent のバージョンがパスワードリセット機能をサポートしていないことを示すメッセージが表示される。

解決策: パスワードのリセットを実行するには、バージョン 2.3.668.0 以降の SSM Agent が必要です。コンソールで、[SSM Agent を更新] を選択すると、マネージドノード上のエージェントを更新できます。

新しい機能が Systems Manager に追加されるか、既存の機能が更新されると必ず、更新されたバージョンの SSM Agent がリリースされます。最新バージョンのエージェントを使用しないと、マネージドノードが Systems Manager の各種機能を使用できなくなる可能性があります。このため、マシン上で SSM Agent を最新状態に維持するプロセスを自動化することをお勧めします。詳細については、SSM Agent への更新の自動化を参照してください。GitHub の「SSM Agent リリースノート」ページをサブスクライブすると、SSM Agent の更新に関する通知を受け取ることができます。

パスワードリセットオプションが提供されていません (AWS CLI)

問題: AWS CLI start-session コマンドを使用してマネージドノードに正常に接続する。SSM ドキュメント AWS-PasswordReset を指定し、有効なユーザー名を指定したが、パスワードを変更するプロンプトが表示されない。

解決策: マネージドノードの SSM Agent のバージョンが最新ではありません。パスワードのリセットを実行するには、バージョン 2.3.668.0 以降が必要です。

新しい機能が Systems Manager に追加されるか、既存の機能が更新されると必ず、更新されたバージョンの SSM Agent がリリースされます。最新バージョンのエージェントを使用しないと、マネージドノードが Systems Manager の各種機能を使用できなくなる可能性があります。このため、マシン上で SSM Agent を最新状態に維持するプロセスを自動化することをお勧めします。詳細については、SSM Agent への更新の自動化を参照してください。GitHub の「SSM Agent リリースノート」ページをサブスクライブすると、SSM Agent の更新に関する通知を受け取ることができます。

`ssm:SendCommand` を実行する権限がない

問題: マネージドノードに接続してパスワードを変更しようとすると、マネージドノードで ssm:SendCommand を実行する権限がないことを示すエラーメッセージが表示される。

解決策: IAM ポリシーに、ssm:SendCommand コマンドを実行するアクセス許可が含まれている必要があります。詳細については、タグによる Run Command アクセスを制限を参照してください。

Session Manager エラーメッセージ

問題: Session Manager に関連するエラーメッセージが表示されます。

解決策: パスワードリセットをサポートするには、Session Manager が正しく構成されている必要があります。詳細については、「Session Manager を設定する」および「Session Manager のトラブルシューティング」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

アドバンストインスタンス層から標準インスタンス層に戻す

ハイブリッドおよびマルチクラウド環境でのマネージドノードの登録解除