AWS Systems Manager
ユーザーガイド

ステップ 6: (オプション) ssm-user アカウントの管理権限を無効または有効にする

Session Manager をサポートする SSM エージェント のバージョンがインスタンス上で起動すると、ssm-user という名前のルートまたは管理者権限を持つユーザーアカウントが作成されます。Linux マシンでは、アカウントは /etc/sudoers に追加されます。Windows マシンでは、管理者グループに追加されます。セッションは、このユーザーアカウントの認証情報を使用して起動します。

Session Manager ユーザーがインスタンス上で管理コマンドを実行できないようにするには、ssm-user アクセス許可を更新します。これらのアクセス許可は、削除した後で復元することもできます。

Linux で ssm-user sudo のアカウントアクセス権限を管理する

Linux インスタンスで ssm-user アカウントの sudo アクセス許可を無効または有効にするには、次のいずれかの手順を使用します。

Run Command を使用して ssm-user sudo のアクセス許可を変更する (コンソール)

  • コンソールからコマンドを実行する の手順を次の値で使用します。

    • [Command document (コマンドのドキュメント)] で AWS-RunShellScript を選択します。

    • sudo アクセスを削除するには、[Command parameters (コマンドのパラメータ)] 領域で、[Commands (コマンド)] ボックスに以下を貼り付けます。

      cd /etc/sudoers.d echo "#User rules for ssm-user" > ssm-agent-users

      -または-

      sudo アクセスを復元するには、[Command parameters (コマンドのパラメータ)] 領域で、[Commands (コマンド)] ボックスに以下を貼り付けます。

      cd /etc/sudoers.d echo "ssm-user ALL=(ALL) NOPASSWD:ALL" > ssm-agent-users

コマンドラインを使用して ssm-user sudo のアクセス許可を変更する (AWS CLI)

  1. インスタンスに接続して、次のコマンドを実行します。

    sudo -s
  2. 次のコマンドを使用して、作業ディレクトリを変更します。

    cd /etc/sudoers.d
  3. 編集する ssm-agent-users という名前のファイルを開きます。

  4. sudo アクセスを削除するには、次の行を削除します。

    ssm-user ALL=(ALL) NOPASSWD:ALL

    -または-

    sudo アクセスを復元するには、次の行を追加します。

    ssm-user ALL=(ALL) NOPASSWD:ALL
  5. ファイルを保存します。

Windows Server で ssm-user の管理者アカウント権限を管理する

Windows Server インスタンスで ssm-user アカウントの管理者権限を無効または有効にするには、次のいずれかの手順を使用します。

Run Command を使用して管理者権限を変更する (コンソール)

  • コンソールからコマンドを実行する の手順を次の値で使用します。

    [Command document (コマンドのドキュメント)] で、AWS-RunPowerShellScript を選択します。

    管理アクセスを削除するには、[Command parameters (コマンドのパラメータ)] 領域で、[Commands (コマンド)] ボックスに以下を貼り付けます。

    net localgroup "Administrators" "ssm-user" /delete

    -または-

    管理アクセスを復元するには、[Command parameters (コマンドのパラメータ)] 領域で、[Commands (コマンド)] ボックスに以下を貼り付けます。

    net localgroup "Administrators" "ssm-user" /add

PowerShell またはコマンドプロンプトウィンドウを使用して管理者権限を変更する

  1. インスタンスに接続して、PowerShell またはコマンドプロンプトウィンドウを開きます。

  2. 管理アクセスを削除するには、次のコマンドを実行します。

    net localgroup "Administrators" "ssm-user" /delete

    -または-

    管理アクセスを復元するには、次のコマンドを実行します。

    net localgroup "Administrators" "ssm-user" /add

Windows コンソールを使用して管理者権限を変更する

  1. インスタンスに接続して、PowerShell またはコマンドプロンプトウィンドウを開きます。

  2. コマンドラインから lusrmgr.msc を実行して、[Local Users and Groups (ローカルユーザーとグループ)] コンソールを開きます。

  3. [Users (ユーザー)] ディレクトリを開いて、[ssm-user] を開きます。

  4. [Member Of (所属するグループ)] タブで、次のいずれかを実行します。

    • 管理アクセスを削除するには、[Administrators (管理者)] を選択し、[Remove (削除)] を選択します。

      -または-

      管理アクセスを復元するには、テキストボックスに Administrators と入力し、[Add (追加)] を選択します。

  5. [OK] を選択します。