ステップ 7: (オプション) ssm-user アカウントの管理アクセス許可を無効または有効にする - AWS Systems Manager

ステップ 7: (オプション) ssm-user アカウントの管理アクセス許可を無効または有効にする

SSM エージェント バージョン 2.3.50.0 以降では、エージェントは ssm-user という名前のローカルユーザーアカウントを作成し、/etc/sudoers (Linux) または、管理者グループ (Windows) に追加します。エージェントバージョン 2.3.612.0 以降では、アカウントはインストール後に SSM エージェント が最初に起動または再起動するときに作成されます。バージョン 2.3.612.0 以降では、ssm-user アカウントは、インスタンスでセッションが最初に開始されたときに作成されます。この ssm-user は、Session Manager セッションが開始されたときのデフォルトの OS ユーザーです。

Session Manager ユーザーがインスタンスで管理コマンドを実行できないようにする場合は、ssm-user アカウントアクセス許可を更新できます。これらのアクセス許可は、削除した後で復元することもできます。

Linux で ssm-user sudo アカウントのアクセス許可を管理する

Linux インスタンスで ssm-user アカウントの sudo アクセス許可を無効または有効にするには、次のいずれかの手順を使用します。

Run Command を使用して ssm-user sudo のアクセス許可を変更する (コンソール)

  • コンソールからコマンドを実行する の手順を次の値で使用します。

    • [Command document (コマンドのドキュメント)] で AWS-RunShellScript を選択します。

    • sudo アクセスを削除するには、[Command parameters (コマンドのパラメータ)] 領域で、[Commands (コマンド)] ボックスに以下を貼り付けます。

      cd /etc/sudoers.d echo "#User rules for ssm-user" > ssm-agent-users

      -または-

      sudo アクセスを復元するには、[Command parameters (コマンドのパラメータ)] 領域で、[Commands (コマンド)] ボックスに以下を貼り付けます。

      cd /etc/sudoers.d echo "ssm-user ALL=(ALL) NOPASSWD:ALL" > ssm-agent-users

コマンドラインを使用して ssm-user sudo のアクセス許可を変更する (AWS CLI)

  1. インスタンスに接続して、次のコマンドを実行します。

    sudo -s
  2. 次のコマンドを使用して、作業ディレクトリを変更します。

    cd /etc/sudoers.d
  3. 編集する ssm-agent-users という名前のファイルを開きます。

  4. sudo アクセスを削除するには、次の行を削除します。

    ssm-user ALL=(ALL) NOPASSWD:ALL

    -または-

    sudo アクセスを復元するには、次の行を追加します。

    ssm-user ALL=(ALL) NOPASSWD:ALL
  5. ファイルを保存します。

Windows Server で ssm-user の管理者アカウントのアクセス許可を管理する

Windows Server インスタンスで ssm-user アカウントの管理者権限を無効または有効にするには、次のいずれかの手順を使用します。

Run Command を使用して管理者権限を変更する (コンソール)

  • コンソールからコマンドを実行する の手順を次の値で使用します。

    [Command document (コマンドのドキュメント)] で、AWS-RunPowerShellScript を選択します。

    管理アクセスを削除するには、[Command parameters (コマンドのパラメータ)] 領域で、[Commands (コマンド)] ボックスに以下を貼り付けます。

    net localgroup "Administrators" "ssm-user" /delete

    -または-

    管理アクセスを復元するには、[Command parameters (コマンドのパラメータ)] 領域で、[Commands (コマンド)] ボックスに以下を貼り付けます。

    net localgroup "Administrators" "ssm-user" /add

PowerShell またはコマンドプロンプトウィンドウを使用して管理者アクセス許可を変更する

  1. インスタンスに接続して、PowerShell またはコマンドプロンプトウィンドウを開きます。

  2. 管理アクセスを削除するには、次のコマンドを実行します。

    net localgroup "Administrators" "ssm-user" /delete

    -または-

    管理アクセスを復元するには、次のコマンドを実行します。

    net localgroup "Administrators" "ssm-user" /add

Windows コンソールを使用して管理者権限を変更する

  1. インスタンスに接続して、PowerShell またはコマンドプロンプトウィンドウを開きます。

  2. コマンドラインから lusrmgr.msc を実行して、[Local Users and Groups (ローカルユーザーとグループ)] コンソールを開きます。

  3. [Users (ユーザー)] ディレクトリを開いて、[ssm-user] を開きます。

  4. [Member Of (所属するグループ)] タブで、次のいずれかを実行します。

    • 管理アクセスを削除するには、[Administrators (管理者)] を選択し、[Remove (削除)] を選択します。

      -または-

      管理アクセスを復元するには、テキストボックスに Administrators と入力し、[Add (追加)] を選択します。

  5. [OK] を選択します。