マネージドノードのパスワードをリセットする - AWS Systems Manager

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

マネージドノードのパスワードをリセットする

マネージドノード上の任意のユーザーのパスワードをリセットできます。これには、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、 AWS IoT Greengrass コアデバイス、オンプレミスサーバー、エッジデバイス、 によって管理される仮想マシン (VMsが含まれます AWS Systems Manager。パスワードリセット機能はSession Manager、 の一機能である 上に構築されています AWS Systems Manager。この機能を使用すると、インバウンドポートを開いたり、要塞ホストを維持したり、SSH キーを管理したりせずにマネージドノードに接続できます。

ユーザーがパスワードを忘れた場合、またはマネージドノードへの RDP または SSH 接続を行わずにパスワードをすばやく更新する場合には、パスワードリセットオプションが役立ちます。

前提条件

マネージドノードのパスワードをリセットする前に、次の要件を満たす必要があります。

  • パスワードを変更するマネージドノードは、Systems Manager マネージドノードである必要があります。また、SSM Agent バージョン 2.3.668.0 以降をマネージドノードにインストールする必要があります。SSM Agent のインストールまたは更新については、「SSM Agent の使用」を参照してください。

  • パスワードリセット機能では、アカウントに設定された Session Manager 設定を使用してマネージドノードに接続します。そのため、Session Manager を使用するための前提条件が、現在の AWS リージョンのアカウントで完了している必要があります。詳細については、「Session Manager のセットアップ」を参照してください。

    注記

    オンプレミスノードの Session Manager サポートは、アドバンストインスタンス層に対してのみ提供されています。詳細については、「アドバンストインスタンス層を有効にするには」を参照してください。

  • パスワードを変更する AWS ユーザーは、マネージドノードに対する アクセスssm:SendCommand許可を持っている必要があります。詳細については、「タグによる Run Command アクセスを制限」を参照してください。

アクセスの制限

特定のマネージドノードへのパスワードをリセットするユーザーの能力を制限できます。これを行うには、AWS-PasswordReset SSM ドキュメントで Session Manager ssm:StartSession オペレーションに ID ベースのポリシーを使用します。詳細については、「インスタンスへのユーザーセッションアクセスを制御する」を参照してください。

データの暗号化

マネージドノードのパスワードリセットオプションを使用するには、Session Managerデータの AWS Key Management Service (AWS KMS) 完全暗号化を有効にします。詳細については、「セッションデータの KMS キー暗号化を有効にする (コンソール)」を参照してください。

マネージドノードでパスワードをリセットする

Systems Manager Fleet Managerコンソールまたは AWS Command Line Interface () を使用して、Systems Manager マネージドノードのパスワードをリセットできますAWS CLI。

マネージドノードのパスワードを変更するには (コンソール)
  1. https://console.aws.amazon.com/systems-manager/ で AWS Systems Manager コンソールを開きます。

  2. ナビゲーションペインで、[Fleet Manager] を選択します。

    -または-

    AWS Systems Manager ホームページが最初に開いたら、メニューアイコン (      The menu icon   ) を選択してナビゲーションペインを開き、ナビゲーションペインFleet Managerで を選択します。

  3. 新しいパスワードが必要なノードの横にあるボタンを選択します。

  4. [インスタンスアクション]、[パスワードのリセット] を選択します。

  5. [User name] に、パスワードを変更するユーザーの名前を入力します。ノードのアカウントを持つ任意のユーザー名を使用することができます。

  6. [Submit] (送信) をクリックします。

  7. [Enter new password] コマンドウィンドウのプロンプトに従って、新しいパスワードを指定します。

    注記

    マネージドノード上の SSM Agent のバージョンでパスワードのリセットがサポートされていない場合は、 AWS Systems Managerの一機能である Run Command を使用して、サポートされているバージョンをインストールするように求められます。

マネージドノードのパスワードをリセットするには (AWS CLI)
  1. マネージドノードのユーザーのパスワードをリセットするには、次のコマンドを実行します。各リソースプレースホルダーの例をユーザー自身の情報に置き換えます。

    注記

    を使用してパスワード AWS CLI をリセットするには、ローカルマシンに Session Manager プラグインをインストールする必要があります。詳細については、用の Session Manager プラグインをインストールする AWS CLI を参照してください。

    Linux & macOS
    aws ssm start-session \ --target instance-id \ --document-name "AWS-PasswordReset" \ --parameters '{"username": ["user-name"]}'
    Windows
    aws ssm start-session ^ --target instance-id ^ --document-name "AWS-PasswordReset" ^ --parameters username="user-name"
  2. [Enter new password] コマンドウィンドウのプロンプトに従って、新しいパスワードを指定します。

マネージドノードでのパスワードリセットの問題をトラブルシューティングする

パスワードリセットの問題は通常、パスワードリセット前提条件 を完了することで解決できます。それ以外の問題の場合は、次の情報を使用して、パスワードリセットの問題をトラブルシューティングします。

マネージドノードを使用できない

問題: マネージドインスタンスコンソールのページでマネージドノードのパスワードをリセットしたいが、ノードがリストにありません。

  • 解決方法: 接続するマネージドノードが Systems Manager 向けに設定されていない可能性があります。Systems Manager で EC2 インスタンスを使用するには、インスタンスでアクションを実行するアクセス許可を Systems Manager に付与する AWS Identity and Access Management (IAM) インスタンスプロファイルをインスタンスにアタッチする必要があります。詳細については、「Systems Manager にインスタンスのアクセス許可を設定する」を参照してください。

    Systems Manager で非 EC2 マシンを使用するには、マネージドノードでアクションを実行するための許可を Systems Manager に付与する IAM サービスロールを作成します。詳細については、「ハイブリッド環境用の IAM サービスロールを作成する」を参照してください。(オンプレミスサーバーおよび VM に対する Session Manager のサポートは、アドバンストインスタンス層でのみ提供されています。詳細については「アドバンストインスタンス層を有効にするには」を参照してください。)

SSM Agent not up-to-date (コンソール)

問題: SSM Agent のバージョンがパスワードリセット機能をサポートしていないことを示すメッセージが表示される。

  • 解決策: パスワードのリセットを実行するには、バージョン 2.3.668.0 以降の SSM Agent が必要です。コンソールで、[SSM Agent を更新] を選択すると、マネージドノード上のエージェントを更新できます。

    新しい機能が Systems Manager に追加されるか、既存の機能が更新されると必ず、更新されたバージョンの SSM Agent がリリースされます。最新バージョンのエージェントを使用しないと、マネージドノードが Systems Manager の各種機能を使用できなくなる可能性があります。このため、マシン上で SSM Agent を最新状態に維持するプロセスを自動化することをお勧めします。詳細については、「SSM Agent への更新の自動化」を参照してください。のSSM AgentリリースノートページにサブスクライブGitHubして、SSM Agent更新に関する通知を受け取ります。

パスワードリセットオプションが提供されていません (AWS CLI)

問題: コマンドを使用して AWS CLI start-sessionマネージドノードに正常に接続する。SSM ドキュメント AWS-PasswordReset を指定し、有効なユーザー名を指定したが、パスワードを変更するプロンプトが表示されない。

  • 解決策: マネージドノードSSM Agentの のバージョンは ではありません up-to-date。パスワードのリセットを実行するには、バージョン 2.3.668.0 以降が必要です。

    新しい機能が Systems Manager に追加されるか、既存の機能が更新されると必ず、更新されたバージョンの SSM Agent がリリースされます。最新バージョンのエージェントを使用しないと、マネージドノードが Systems Manager の各種機能を使用できなくなる可能性があります。このため、マシン上で SSM Agent を最新状態に維持するプロセスを自動化することをお勧めします。詳細については、「SSM Agent への更新の自動化」を参照してください。のSSM AgentリリースノートページにサブスクライブGitHubして、SSM Agent更新に関する通知を受け取ります。

ssm:SendCommand を実行する権限がない

問題: マネージドノードに接続してパスワードを変更しようとすると、マネージドノードで ssm:SendCommand を実行する権限がないことを示すエラーメッセージが表示される。

  • 解決策: IAM ポリシーに、ssm:SendCommand コマンドを実行するアクセス許可が含まれている必要があります。詳細については、タグによる Run Command アクセスを制限 を参照してください。

Session Manager エラーメッセージ

問題: Session Manager に関連するエラーメッセージが表示されます。