ステップ 7: (オプション) ssm-user アカウントの管理アクセス許可を有効または無効にする - AWS Systems Manager

ステップ 7: (オプション) ssm-user アカウントの管理アクセス許可を有効または無効にする

AWS Systems Manager SSM Agent のバージョン 2.3.50.0 以降では、エージェントは ssm-user という名前のローカルユーザーアカウントを作成し、/etc/sudoers (Linux および macOS) または管理者グループ (Windows) に追加します。2.3.612.0 より前のエージェントバージョンでは、アカウントはインストール後に SSM Agent が最初に起動または再起動するときに作成されます。バージョン 2.3.612.0 以降の場合、ssm-user アカウントはノード上でセッションが最初に開始されたときに作成されます。この ssm-user は、AWS Systems Manager Session Manager セッションが開始された時のデフォルトオペレーティングシステム (OS) ユーザーです。SSM Agent のバージョン 2.3.612.0 は 2019 年 5 月 8 日にリリースされました。

Session Manager ユーザーがノード上で管理コマンドを実行できないようにする場合、ssm-user アカウントの許可を更新できます。これらのアクセス許可は、削除した後で復元することもできます。

Linux と macOS で ssm-user sudo アカウントのアクセス許可を管理する

Linux と macOS のマネージドノードで ssm-user アカウントの sudo 許可を有効または無効にする場合、以下のいずれかの手順を実行します。

Run Command を使用して ssm-user sudo のアクセス許可を変更する (コンソール)

  • コンソールからコマンドを実行する の手順を次の値で使用します。

    • [Command document] (コマンドのドキュメント) で、AWS-RunShellScript を選択します。

    • sudo アクセスを削除するには、[Command parameters (コマンドのパラメータ)] 領域で、[コマンド] ボックスに以下を貼り付けます。

      cd /etc/sudoers.d echo "#User rules for ssm-user" > ssm-agent-users

      -または-

      sudo アクセスを復元するには、[Command parameters (コマンドのパラメータ)] 領域で、[コマンド] ボックスに以下を貼り付けます。

      cd /etc/sudoers.d echo "ssm-user ALL=(ALL) NOPASSWD:ALL" > ssm-agent-users

コマンドラインを使用して ssm-user sudo のアクセス許可を変更する (AWS CLI)

  1. マネージドノードに接続して以下のコマンドを実行します。

    sudo -s
  2. 次のコマンドを使用して、作業ディレクトリを変更します。

    cd /etc/sudoers.d
  3. 編集する ssm-agent-users という名前のファイルを開きます。

  4. sudo アクセスを削除するには、次の行を削除します。

    ssm-user ALL=(ALL) NOPASSWD:ALL

    -または-

    sudo アクセスを復元するには、次の行を追加します。

    ssm-user ALL=(ALL) NOPASSWD:ALL
  5. ファイルを保存します。

Windows Server で ssm-user の管理者アカウントのアクセス許可を管理する

Windows Server のマネージドノードで ssm-user アカウントの 管理者 許可を有効または無効にする場合、以下のいずれかの手順を実行します。

Run Command を使用して管理者権限を変更する (コンソール)

  • コンソールからコマンドを実行する の手順を次の値で使用します。

    [Command document] (コマンドのドキュメント) で、AWS-RunPowerShellScript を選択します。

    管理アクセスを削除するには、[Command parameters (コマンドのパラメータ)] 領域で、[コマンド] ボックスに以下を貼り付けます。

    net localgroup "Administrators" "ssm-user" /delete

    -または-

    管理アクセスを復元するには、[Command parameters (コマンドのパラメータ)] 領域で、[コマンド] ボックスに以下を貼り付けます。

    net localgroup "Administrators" "ssm-user" /add

PowerShell またはコマンドプロンプトウィンドウを使用して管理者アクセス許可を変更する

  1. マネージドノードに接続して PowerShell またはコマンドプロンプトのウィンドウを開きます。

  2. 管理アクセスを削除するには、次のコマンドを実行します。

    net localgroup "Administrators" "ssm-user" /delete

    -または-

    管理アクセスを復元するには、次のコマンドを実行します。

    net localgroup "Administrators" "ssm-user" /add

Windows コンソールを使用して管理者権限を変更する

  1. マネージドノードに接続して PowerShell またはコマンドプロンプトのウィンドウを開きます。

  2. コマンドラインから lusrmgr.msc を実行して、[Local Users and Groups (ローカルユーザーとグループ)] コンソールを開きます。

  3. [Users (ユーザー)] ディレクトリを開いて、[ssm-user] を開きます。

  4. [Member Of (所属するグループ)] タブで、次のいずれかを実行します。

    • 管理アクセスを削除するには、[Administrators (管理者)] を選択し、[Remove (削除)] を選択します。

      -または-

      管理アクセスを復元するには、テキストボックスに Administrators と入力し、[追加] を選択します。

  5. [OK] を選択します。