Redefinir senhas em instâncias gerenciadas

Você pode redefinir a senha de qualquer usuário em uma instância gerenciada. Isso inclui instâncias do Amazon Elastic Compute Cloud (Amazon EC2), servidores locais e máquinas virtuais (VMs) gerenciados pelo AWS Systems Manager. A funcionalidade de redefinição de senha é incorporada no recurso do AWS Systems Manager do Session Manager Você pode usar essa funcionalidade para conectar-se a instâncias sem abrir portas de entrada, manter bastion hosts ou gerenciar chaves SSH.

Isso torna a opção de redefinição de senha útil quando um usuário esquecer a senha, ou quando você desejar atualizar rapidamente uma senha sem fazer uma conexão RDP ou SSH à instância.

Prerequisites

Para poder redefinir a senha em uma instância, os seguintes requisitos devem ser atendidos:

• A instância na qual você deseja alterar uma senha deve ser uma instância gerenciada do Systems Manager Isso significa que o Agente do SSM está instalado na instância. (Agente do SSMA versão 2.3.668.0 ou posterior é necessária para alterar senhas.) Para obter informações sobre como instalar ou atualizar o Agente do SSM, consulte Trabalho com Agente do SSM.

• A funcionalidade de redefinição de senha usa a AWS Session Manager configuração configurada para sua conta da para se conectar à instância. Portanto, os pré-requisitos para usar o Session Manager devem ter sido concluídos para a conta na AWS região atual. Para obter mais informações, consulte Configurar o Session Manager.

  nota

  Session ManagerO suporte do para servidores locais é fornecido somente para o nível de instâncias avançadas. Para obter mais informações, consulte Habilitar o nível de instâncias avançadas.

• O usuário do AWS que está alterando a senha deve ter a permissão ssm:SendCommand para a instância. Para obter mais informações, consulte Restrição de acesso ao Executar comando com base em tags de instância.

Restringir acesso

Você pode limitar a capacidade de um usuário de redefinir senhas para instâncias específicas. Isso é feito usando políticas baseadas em identidade para a ação Session Manager do ssm:StartSession com o documento AWS-PasswordReset do SSM. Para obter mais informações, consulteControlar o acesso de sessão do usuário às instâncias.

Criptografar dados

Você deve habilitar a criptografia completa do AWS Key Management Service (AWS KMS) para dados do Session Manager para usar a opção de redefinição de senha para instâncias gerenciadas. Para obter mais informações, consulte Habilitar a criptografia de chaves do AWS KMS de dados de sessão (console).

Redefinir uma senha em uma instância gerenciada

Você pode redefinir uma senha em uma instância Systems Manager gerenciada usando o AWS Systems Manager Gerenciador de frotas console do ou a AWS Command Line Interface (AWS CLI).

Para alterar a senha em uma instância gerenciada (console)

1. Abrir o console do AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.

3. Escolha o botão ao lado da instância que precisa de uma nova senha.

4. No menu Instance actions (Ações da instância), escolha Reset password (Redefinir senha).

5. Em User name (Nome do usuário), insira o nome do usuário para o qual você está alterando a senha. Esse pode ser qualquer nome de usuário que tenha uma conta na instância.

6. Selecione Enviar.

7. Siga os prompts na janela de comando Enter new password (Inserir nova senha) para especificar a nova senha.

   nota

   Se a versão do Agente do SSM na instância não oferecer suporte a redefinições de senha, você será solicitado a instalar uma versão compatível usando o Executar comando.

Para redefinir a senha em uma instância gerenciada (AWSCLI do )

1. Para redefinir a senha de um usuário em uma instância gerenciada, execute o comando a seguir.

   nota

   Para usar a AWS CLI para redefinir uma senha, o Session Manager plugin deve estar instalado na máquina local. Para obter mais informações, consulte (Opcional) Instalação do Session Manager plugin para AWS CLI.

   Linux

   aws ssm start-session \
       --target instance-id \
       --document-name "AWS-PasswordReset" \
       -parameters '{"username": ["user-name"]}'

   Windows

   aws ssm start-session ^
       --target instance-id ^
       --document-name "AWS-PasswordReset" ^
       --parameters username="user-name"

   instance-id representa o ID de uma instância configurada para uso com o Systems Manager e seu Session Manager recurso.

   user-name representa o nome do usuário para o qual você deseja redefinir a senha na instância.

2. Siga os prompts na janela de comando Enter new password (Inserir nova senha) para especificar a nova senha.

Solucionar problemas de redefinições de senha em instâncias gerenciadas

Muitos problemas de redefinição de senha podem ser resolvidos garantindo que você tenha concluído os Pré-requisitos de redefinição de senha. Para outros problemas, use as seguintes informações para ajudá-lo a solucionar problemas de redefinição de senha.

Instância não disponível

Problema: você deseja redefinir a senha de uma instância do EC2 na página do console Managed instances (Instâncias gerenciadas), mas a instância não está na lista.

• Solução: a instância à qual você deseja conectar-se pode não ter sido configurada para ser usada com o serviço AWS Systems Manager Para usar uma instância do EC2 com o Systems Manager, um perfil de instância do IAM que fornece permissão ao Systems Manager para executar ações em suas instâncias deve estar anexado à instância. Para obter mais informações, consulte Criar um perfil de instância do IAM para o Systems Manager. Para usar um servidor local ou máquina virtual (VM) que você tenha ativado para uso com o Systems Manager, crie uma função de serviço do IAM que forneça permissão ao Systems Manager para executar ações em suas máquinas. Para obter informações, consulte Criar uma função de serviço do IAM para um ambiente híbrido. (OSession Manager suporte do para servidores locais e VMs o é fornecido somente para o nível de instâncias avançadas. Para obter informações, consulte Habilitar o nível de instâncias avançadas.)

Agente do SSM não atualizado (console)

Problema: uma mensagem informa que a versão do Agente do SSM não oferece suporte à funcionalidade de redefinição de senha.

• Solução: a versão 2.3.668.0 ou posterior do Agente do SSM é necessária para executar redefinições de senhas. No console, você pode iniciar o processo de atualização do agente na instância escolhendo Update SSM Agent (Atualizar o SSM Agent).

  Uma versão atualizada do Agente do SSM é lançada sempre que novos recursos são adicionados ao Systems Manager ou sempre que atualizações são feitas nos recursos existentes. Se uma versão mais antiga do agente estiver em execução em uma instância, alguns processos do Agente do SSM poderão falhar. Por esse motivo, recomendamos que você automatize o processo de manutenção do Agente do SSM atualizado nas suas instâncias. Para obter mais informações, consulte Automatizar atualizações para o Agente do SSM. Para ser notificado sobre as atualizações do Agente do SSM, inscreva-se na página Notas de release do Agente do SSM no GitHub.

As opções de redefinição de senha não são exibidas (CLI)

Problema: você se conecta com êxito a uma instância usando o comando AWS CLI da start-session Você especificou o documento do SSM AWS-PasswordReset e forneceu um nome de usuário válido, mas os prompts para alterar a senha não são exibidos.

• Solução: a versão do Agente do SSM na instância não está atualizada. A versão 2.3.668.0 ou posterior é necessária para executar redefinições de senhas.

  Uma versão atualizada do Agente do SSM é lançada sempre que novos recursos são adicionados ao Systems Manager ou sempre que atualizações são feitas nos recursos existentes. Se uma versão mais antiga do agente estiver em execução em uma instância, alguns processos do Agente do SSM poderão falhar. Por esse motivo, recomendamos que você automatize o processo de manutenção do Agente do SSM atualizado nas suas instâncias. Para obter mais informações, consulte Automatizar atualizações para o Agente do SSM. Para ser notificado sobre as atualizações do Agente do SSM, inscreva-se na página Notas de release do Agente do SSM no GitHub.

Sem autorização para executar ssm:SendCommand

Problema: você tenta se conectar a uma instância para alterar sua senha, mas recebe uma mensagem de erro informando que você não está autorizado a executar ssm:SendCommand na instância.

• Solução: sua política de usuário do IAM deve incluir permissão para executar o comando ssm:SendCommand Para obter mais informações, consulte Restrição de acesso ao Executar comando com base em tags de instância.

Session ManagerMensagem de erro do

Problema: você recebe uma mensagem de erro relacionada ao Session Manager.

• Solução: o suporte à redefinição de senha exige que o Session Manager esteja configurado corretamente. Para obter informações, consulte Configurar o Session Manager e Solução de problemas do Session Manager.