マネージドノードのパスワードをリセットする - AWS Systems Manager

マネージドノードのパスワードをリセットする

マネージドノード上の任意のユーザーのパスワードをリセットできます。これには、AWS Systems Manager が管理する Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、AWS IoT Greengrass コアデバイス、オンプレミスサーバー、エッジデバイス、仮想マシン (VM) が含まれます。パスワードリセット機能は、AWS Systems Manager の一機能である Session Manager 上に構築されています。この機能を使用すると、インバウンドポートを開いたり、要塞ホストを維持したり、SSH キーを管理したりせずにマネージドノードに接続できます。

ユーザーがパスワードを忘れた場合、またはマネージドノードへの RDP または SSH 接続を行わずにパスワードをすばやく更新する場合には、パスワードリセットオプションが役立ちます。

前提条件

マネージドノードのパスワードをリセットする前に、次の要件を満たす必要があります。

  • パスワードを変更するマネージドノードは、Systems Manager マネージドノードである必要があります。また、SSM Agent バージョン 2.3.668.0 以降をマネージドノードにインストールする必要があります。SSM Agent のインストールまたは更新については、「SSM Agentの使用」を参照してください。

  • パスワードリセット機能では、アカウントに設定された Session Manager 設定を使用してマネージドノードに接続します。そのため、Session Manager を使用するための前提条件が、現在の AWS リージョン のアカウントで完了している必要があります。詳細については、「Session Manager のセットアップ」を参照してください。

    注記

    オンプレミスマシンの Session Manager サポートは、アドバンストインスタンス層に対してのみ提供されています。詳細については、「アドバンストインスタンス層を有効にするには」を参照してください。

  • パスワードを変更する AWS ユーザーには、マネージドノードの ssm:SendCommand アクセス許可が必要です。詳細については、「タグによる Run Command アクセスを制限」を参照してください。

アクセスの制限

特定のマネージドノードへのパスワードをリセットするユーザーの能力を制限できます。これを行うには、AWS-PasswordReset SSM ドキュメントで Session Manager ssm:StartSession オペレーションに ID ベースのポリシーを使用します。詳細については、「インスタンスへのユーザーセッションアクセスを制御する」を参照してください。

データの暗号化

マネージドノードのパスワードリセットオプションを使用するには、Session Manager データの AWS Key Management Service (AWS KMS) 完全暗号化を有効にします。詳細については、「セッションデータの KMS キー暗号化を有効にする (コンソール)」を参照してください。

マネージドノードでパスワードをリセットする

Systems Manager Fleet Manager コンソールまたは AWS Command Line Interface (AWS CLI) を使用して、Systems Manager のマネージドノードでパスワードをリセットできます。

マネージドノードのパスワードを変更するには (コンソール)

  1. AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。

  2. ナビゲーションペインで、[Fleet Manager] を選択します。

    -または-

    AWS Systems Manager ホームページを最初に開く場合は、メニューアイコン ( ) を選択してナビゲーションペインを開き、[Fleet Manager] を選択します。

  3. 新しいパスワードが必要なノードの横にあるボタンを選択します。

  4. [Instance actions] メニューで [Reset password] を選択します。

  5. [User name] に、パスワードを変更するユーザーの名前を入力します。ノードのアカウントを持つ任意のユーザー名を使用することができます。

  6. [Submit] (送信) をクリックします。

  7. [Enter new password] コマンドウィンドウのプロンプトに従って、新しいパスワードを指定します。

    注記

    マネージドノード上の SSM Agent のバージョンでパスワードのリセットがサポートされていない場合は、AWS Systems Manager の一機能である Run Command を使用して、サポートされているバージョンをインストールするように求められます。

マネージドノードのパスワードをリセットするには (AWS CLI)

  1. マネージドノードのユーザーのパスワードをリセットするには、次のコマンドを実行します。

    注記

    AWS CLI を使用してパスワードをリセットするには、ローカルマシンに Session Manager プラグインをインストールする必要があります。詳細については、(オプション) AWS CLI 用の Session Manager プラグインをインストールする を参照してください。

    Linux & macOS
    aws ssm start-session \ --target instance-id \ --document-name "AWS-PasswordReset" \ --parameters '{"username": ["user-name"]}'
    Windows
    aws ssm start-session ^ --target instance-id ^ --document-name "AWS-PasswordReset" ^ --parameters username="user-name"

    instance-id は、Systems Manager 用に構成されたマネージドノードの ID です。

    user-name は、マネージドノード上でパスワードをリセットするユーザーの名前を表します。

  2. [Enter new password] コマンドウィンドウのプロンプトに従って、新しいパスワードを指定します。

マネージドノードでのパスワードリセットの問題をトラブルシューティングする

パスワードリセットの問題は通常、パスワードリセット前提条件 を完了することで解決できます。それ以外の問題の場合は、次の情報を使用して、パスワードリセットの問題をトラブルシューティングします。

マネージドノードを使用できない

問題: マネージドインスタンスコンソールのページでマネージドノードのパスワードをリセットしたいが、ノードがリストにありません。

  • 解決方法: 接続するマネージドノードが Systems Manager 向けに設定されていない可能性があります。Systems Manager EC2 でインスタンスを使用するには、AWS Identity and Access Management (IAM) インスタンスプロファイルをインスタンスにアタッチする必要があります。これにより、インスタンスに対してアクションを実行するためのアクセス許可が Systems Manager に付与されます。詳細については「Systems Manager の IAM インスタンスプロファイルを作成する」を参照してください。

    Systems Manager でオンプレミスサーバー、エッジデバイスまたは仮想マシン (VM) を使用するには、マシンでアクションを実行するためのアクセス許可を Systems Manager に付与する IAM サービスロールを作成します。詳細については、「ハイブリッド環境用の IAM サービスロールを作成する」を参照してください。(オンプレミスサーバーおよび VM に対する Session Manager のサポートは、アドバンストインスタンス層でのみ提供されています。詳細については「アドバンストインスタンス層を有効にするには」を参照してください。)

SSM Agent が最新ではない (コンソール)

問題: SSM Agent のバージョンがパスワードリセット機能をサポートしていないことを示すメッセージが表示される。

  • 解決策: パスワードのリセットを実行するには、バージョン 2.3.668.0 以降の SSM Agent が必要です。コンソールで、[Update SSM Agent] (SSM Agent を更新) を選択すると、マネージドノード上のエージェントを更新できます。

    新しい機能が Systems Manager に追加されるか、既存の機能が更新されると必ず、更新されたバージョンの SSM Agent がリリースされます。古いバージョンのエージェントがマネージドノードで実行される場合、一部の SSM Agent プロセスが失敗する恐れがあります。そのため、マシン上で SSM Agent を最新状態に維持するプロセスを自動化することをお勧めします。詳細については、SSM Agent への更新の自動化 を参照してください。GitHub の [SSM Agent リリースノート] ページをサブスクライブすると、SSM Agent の更新に関する通知を受け取ることができます。

パスワードリセットオプションが提供されていません (AWS CLI)

問題: AWS CLI start-session コマンドを使用してマネージドノードに正常に接続する。SSM ドキュメント AWS-PasswordReset を指定し、有効なユーザー名を指定したが、パスワードを変更するプロンプトが表示されない。

  • 解決策: マネージドノードの SSM Agent のバージョンが最新ではありません。パスワードのリセットを実行するには、バージョン 2.3.668.0 以降が必要です。

    新しい機能が Systems Manager に追加されるか、既存の機能が更新されると必ず、更新されたバージョンの SSM Agent がリリースされます。古いバージョンのエージェントがマネージドノードで実行される場合、一部の SSM Agent プロセスが失敗する恐れがあります。そのため、マシン上で SSM Agent を最新状態に維持するプロセスを自動化することをお勧めします。詳細については、SSM Agent への更新の自動化 を参照してください。GitHub の [SSM Agent リリースノート] ページをサブスクライブすると、SSM Agent の更新に関する通知を受け取ることができます。

ssm:SendCommand を実行する権限がない

問題: マネージドノードに接続してパスワードを変更しようとすると、マネージドノードで ssm:SendCommand を実行する権限がないことを示すエラーメッセージが表示される。

  • 解決策: IAM ユーザーポリシーに、ssm:SendCommand コマンドを実行するアクセス許可が含まれている必要があります。詳細については、タグによる Run Command アクセスを制限 を参照してください。

Session Manager エラーメッセージ

問題: Session Manager に関連するエラーメッセージが表示されます。