Linux と macOS のマネージドノードで [Run As Support] (サポートとして実行) を有効にします。 - AWS Systems Manager

Linux と macOS のマネージドノードで [Run As Support] (サポートとして実行) を有効にします。

デフォルトで、マネージドノード上でシステム生成された ssm-user アカウントの認証情報を使用してセッションが起動されます。(Linux および macOS マシンでは、このアカウントは /etc/sudoers/ に追加されます)。代わりに、オペレーティングシステム (OS) アカウントの認証情報を使用してセッションを起動できます。root アカウントはサポートされていません。ログイン制限などの OS レベルやディレクトリポリシーは、OS アカウントに適用されない場合があります。これは、セッションは AWS Identity and Access Management (IAM) によって認証され、指定した OS アカウントのコンテキスト内で実行されるためです。セッションの開始前に、AWS Systems Manager Session Manager は指定された OS アカウントが存在することを確認します。存在しない OS アカウントを指定すると、セッションの開始に失敗します。

使用方法

セッションの Run As サポートを有効にすると、システムによってアクセス許可が次のように確認されます。

  1. セッションを開始しているユーザーの IAM ユーザーアカウントまたはロールに SSMSessionRunAs = os user account name タグが付いていますか?

    「はい」の場合、ユーザー名はマネージドノードに存在しますか? 存在する場合は、セッションを開始します。存在しない場合は、セッションの開始を許可しないでください。

    IAM ユーザーのアカウントまたはロールに SSMSessionRunAs = os user account name タグが付いていない場合は、ステップ 2 に進みます。

  2. IAM ユーザーのアカウントまたはロールに SSMSessionRunAs = os user account name タグがついていない場合、AWS アカウント の Session Manager 設定で OS ユーザー名が指定されていますか?

    「はい」の場合、ユーザー名はマネージドノードに存在しますか? 存在する場合は、セッションを開始します。存在しない場合は、セッションの開始を許可しないでください。

    この時点で、Session Manager は、デフォルトの ssm-user アカウントにフォールバックしません。言い換えると、 [Run As Support] (サポートとして実行) を有効にすることによって、マネージドノードに ssm-user アカウントでセッションを開始することを防止します。

OS ユーザーアカウントを指定せずに、または IAM ユーザーやロールにタグ付けせずに次の手順を完了すると、セッションは失敗します。

Linux と macOS のマネージドノードで [Run As Support] (サポートとして実行) を有効にする方法

  1. AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/) を開きます。

  2. ナビゲーションペインで、[Session Manager] を選択します。

  3. [Preferences (設定)] タブを選択してから、[Edit (編集)] を選択します。

  4. [Enable Run As support for Linux instances] の横にあるチェックボックスをオンにします。

  5. 次のいずれかを実行します。

    • オプション 1: [Operating system user name] (オペレーティングシステムのユーザー名) フィールドに、セッション開始時に使用するターゲットマネージドノードの OS ユーザーアカウント名を入力します。このオプションにより、Session Manager を使用してマネージドノードに接続するアカウント内のすべての IAM ユーザーの同じ OS ユーザーによって、すべてのセッションが実行されます。

    • オプション 2 (推奨事項): [IAM console] (IAM コンソール) リンクを選択します。ナビゲーションペインで、[ユーザー] または [ロール] を選択します。タグを追加するエンティティ (ユーザーまたはロール) を選択し、[タグ] タブを選択します。キー名に「SSMSessionRunAs」と入力します。キーバリューのターゲットとなるマネージドノードのユーザーアカウント名を入力します。[Save changes] (変更の保存) をクリックします。

      このオプションを使用すると、タグ付けする IAM ユーザー、またはロールごとに異なる OS アカウント名を指定したり、すべてに同じ OS ユーザー名を使用したりできます。IAM リソースのタグ付けの詳細については、「IAM ユーザーガイド」の「IAM リソースのタグ付け」を参照してください。

      次に例を示します。

      
                                        Session Manager Run As アクセス許可のタグを指定したスクリーンショット。Key = SSMSessionRunAs,Value=My-OS-User-Name
  6. [Save] を選択します。