Linux と macOS で ssm-user sudo アカウントの許可を管理する Windows Server で ssm-user の管理者アカウントのアクセス許可を管理する

ステップ 7: (オプション) ssm-user アカウントの管理アクセス許可を有効または無効にする

AWS Systems Manager SSM Agent のバージョン 2.3.50.0 以降では、エージェントは ssm-user という名前のローカルユーザーアカウントを作成し、/etc/sudoers (Linux および macOS) または管理者グループ (Windows) に追加します。2.3.612.0 より前のエージェントバージョンでは、アカウントはインストール後に SSM Agent が最初に起動または再起動するときに作成されます。バージョン 2.3.612.0 以降の場合、ssm-user アカウントはノード上でセッションが最初に開始されたときに作成されます。この ssm-user は、AWS Systems Manager Session Manager セッションが開始された時のデフォルトオペレーティングシステム (OS) ユーザーです。SSM Agent のバージョン 2.3.612.0 は 2019 年 5 月 8 日にリリースされました。

Session Manager ユーザーがノード上で管理コマンドを実行できないようにする場合、ssm-user アカウントの許可を更新できます。これらのアクセス許可は、削除した後で復元することもできます。

トピック

Linux と macOS で ssm-user sudo アカウントの許可を管理する
Windows Server で ssm-user の管理者アカウントのアクセス許可を管理する

Linux と macOS で ssm-user sudo アカウントの許可を管理する

Linux と macOS のマネージドノードで ssm-user アカウントの sudo 許可を有効または無効にする場合、以下のいずれかの手順を実行します。

Run Command を使用して ssm-user sudo のアクセス許可を変更する (コンソール)

コンソールからコマンドを実行するの手順を次の値で使用します。
- [Command document] (コマンドのドキュメント) で、AWS-RunShellScript を選択します。
- sudo アクセスを削除するには、[Command parameters (コマンドのパラメータ)] 領域で、[コマンド] ボックスに以下を貼り付けます。
```
cd /etc/sudoers.d
echo "#User rules for ssm-user" > ssm-agent-users
```
  -または-
  
  sudo アクセスを復元するには、[Command parameters (コマンドのパラメータ)] 領域で、[コマンド] ボックスに以下を貼り付けます。
```
cd /etc/sudoers.d 
echo "ssm-user ALL=(ALL) NOPASSWD:ALL" > ssm-agent-users
```

コマンドラインを使用して ssm-user sudo のアクセス許可を変更する (AWS CLI)

マネージドノードに接続して以下のコマンドを実行します。
```
sudo -s
```
次のコマンドを使用して、作業ディレクトリを変更します。
```
cd /etc/sudoers.d
```
編集する ssm-agent-users という名前のファイルを開きます。
sudo アクセスを削除するには、次の行を削除します。
```
ssm-user ALL=(ALL) NOPASSWD:ALL
```
-または-

sudo アクセスを復元するには、次の行を追加します。
```
ssm-user ALL=(ALL) NOPASSWD:ALL
```
ファイルを保存します。

Windows Server で ssm-user の管理者アカウントのアクセス許可を管理する

Windows Server のマネージドノードで ssm-user アカウントの管理者許可を有効または無効にする場合、以下のいずれかの手順を実行します。

Run Command を使用して管理者権限を変更する (コンソール)

コンソールからコマンドを実行するの手順を次の値で使用します。

[Command document] (コマンドのドキュメント) で、AWS-RunPowerShellScript を選択します。

管理アクセスを削除するには、[Command parameters (コマンドのパラメータ)] 領域で、[コマンド] ボックスに以下を貼り付けます。
```
net localgroup "Administrators" "ssm-user" /delete
```
-または-

管理アクセスを復元するには、[Command parameters (コマンドのパラメータ)] 領域で、[コマンド] ボックスに以下を貼り付けます。
```
net localgroup "Administrators" "ssm-user" /add
```

PowerShell またはコマンドプロンプトウィンドウを使用して管理者許可を変更する

マネージドノードに接続して PowerShell またはコマンドプロンプトのウィンドウを開きます。
管理アクセスを削除するには、次のコマンドを実行します。
```
net localgroup "Administrators" "ssm-user" /delete
```
-または-

管理アクセスを復元するには、次のコマンドを実行します。
```
net localgroup "Administrators" "ssm-user" /add
```

Windows コンソールを使用して管理者許可を変更する

マネージドノードに接続して PowerShell またはコマンドプロンプトのウィンドウを開きます。
コマンドラインから lusrmgr.msc を実行して、[Local Users and Groups (ローカルユーザーとグループ)] コンソールを開きます。
[Users (ユーザー)] ディレクトリを開いて、[ssm-user] を開きます。
[Member Of (所属するグループ)] タブで、次のいずれかを実行します。
- 管理アクセスを削除するには、[Administrators (管理者)] を選択し、[Remove (削除)] を選択します。
  
  -または-
  
  管理アクセスを復元するには、テキストボックスに Administrators と入力し、[追加] を選択します。
[OK] をクリックします。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

ステップ 6: (オプション) AWS PrivateLink を使用して Session Manager の VPC エンドポイントを設定する

ステップ 8: (オプション) を通して SSH 接続のアクセス許可を許可および制御する Session Manager