Redefinir senhas em instâncias gerenciadas - AWS Systems Manager

Redefinir senhas em instâncias gerenciadas

Você pode redefinir a senha de qualquer usuário em uma instância gerenciada. Isso inclui instâncias do Amazon EC2, servidores locais e máquinas virtuais (VMs) que são gerenciadas pelo AWS Systems Manager. A funcionalidade de redefinição de senha é incorporada no recurso do Session Manager do AWS Systems Manager. Você pode usar essa funcionalidade para conectar-se a instâncias sem abrir portas de entrada, manter bastion hosts ou gerenciar chaves SSH.

Isso torna a opção de redefinição de senha útil quando um usuário esquecer a senha, ou quando você desejar atualizar rapidamente uma senha sem fazer uma conexão RDP ou SSH à instância.

Prerequisites

Para poder redefinir a senha em uma instância, os seguintes requisitos devem ser atendidos:

  • A instância na qual você deseja alterar uma senha deve ser uma instância gerenciada do Systems Manager. Isso significa que o Agente do SSM está instalado na instância. (Agente do SSM para alterar as palavras-passe.) Para obter informações sobre a instalação ou atualização Agente do SSM, consulte Trabalhar com Agente do SSM.

  • A funcionalidade de redefinição de senha usa a configuração do AWS Session Manager que está configurada para sua conta para conexão à instância. Portanto, os pré-requisitos para usar o Session Manager devem ter sido concluídos para a conta na região atual. Para obter mais informações, consulte Conceitos básicos de Session Manager.

    nota

    O suporte do Session Manager para servidores locais é fornecido somente para o nível de instâncias avançadas. Para obter informações, consulte Habilitar o nível de instâncias avançadas.

  • O usuário do AWS que está alterando a senha deve ter a permissão ssm:SendCommand para a instância. Para obter informações, consulte Restrição de acesso ao Executar comando com base em tags de instância.

Restringir acesso

Você pode limitar a capacidade de um usuário de redefinir senhas para instâncias específicas. Isso é feito usando políticas baseadas em identidade para a ação ssm:StartSession do Session Manager com o documento AWS-PasswordReset do SSM. Para obter mais informações, consulte Controlar o acesso de sessão do usuário às instâncias.

Criptografia de dados

Você deve habilitar a criptografia completa do AWS Key Management Service (AWS KMS) para dados do Session Manager para usar a opção de redefinição de senha para instâncias gerenciadas. Para obter mais informações, consulte Habilitar a criptografia de chaves do AWS KMS de dados de sessão (console).

Redefinir uma senha em uma instância gerenciada

Você pode redefinir uma senha em uma instância gerenciada do Systems Manager usando o console de Managed Instances (Instâncias gerenciadas) do AWS Systems Manager ou a AWS CLI.

Para alterar a senha em uma instância gerenciada (console)

  1. Abrir o console do AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.

  2. No painel de navegação, selecione Managed Instances (Instâncias gerenciadas).

    -ou-

    Se a página inicial do AWS Systems Manager abrir primeiro, escolha o ícone do menu ( ) para abrir o painel de navegação e escolha Managed Instances (Instâncias gerenciadas).

  3. Escolha o botão ao lado da instância que precisa de uma nova senha.

  4. No menu Actions (Ações), escolha Reset password (Redefinir senha).

  5. Em User name (Nome do usuário), digite o nome do usuário do qual você está alterando a senha. Esse pode ser qualquer nome de usuário que tenha uma conta na instância.

  6. Selecione Submit (Enviar).

  7. Siga os prompts na janela de comando Enter new password (Inserir nova senha) para especificar a nova senha.

    nota

    Se a versão do Agente do SSM na instância não oferecer suporte a redefinições de senha, você será solicitado a instalar uma versão compatível usando o Executar comando.

Para redefinir a senha em uma instância gerenciada (CLI)

  1. Para redefinir a senha de um usuário em uma instância gerenciada, execute o comando a seguir.

    nota

    Para usar a AWS CLI para redefinir uma senha, o Session Manager plugin deve estar instalado na máquina local. Para obter informações, consulte (Opcional) Instalação do Session Manager Plugin para AWS CLI.

    Linux
    aws ssm start-session \ --target instance-id \ --document-name "AWS-PasswordReset" \ --parameters "{"username": "user-name"}"
    Windows
    aws ssm start-session ^ --target instance-id ^ --document-name "AWS-PasswordReset" ^ --parameters "{"username": "user-name"}"

    instance-id representa a ID de uma instância configurada para utilização com Systems Manager e o seu Session Manager capacidade.

    user-name representa o nome do utilizador para o qual pretende repor a palavra-passe na instância.

  2. Siga os prompts na janela de comando Enter new password (Inserir nova senha) para especificar a nova senha.

Solucionar problemas de redefinições de senha em instâncias gerenciadas

Muitos problemas de redefinição de senha podem ser resolvidos garantindo que você tenha concluído os Pré-requisitos de redefinição de senha. Para outros problemas, use as seguintes informações para ajudá-lo a solucionar problemas de redefinição de senha.

Instância não disponível

Problema: Deseja repor a palavra-passe para uma instância EC2 no Instâncias geridas da consola, mas a instância não está na lista.

  • Solução: A instância à qual pretende ligar-se pode não estar configurada para utilizar com o AWS Systems Manager serviço. Para usar uma instância do EC2 com o Systems Manager, um perfil de instância do IAM que fornece permissão ao Systems Manager para executar ações em suas instâncias deve estar anexado à instância. Para obter informações, consulte Criar um perfil de instância do IAM para o Systems Manager. Para usar um servidor local ou máquina virtual (VM) que você tenha ativado para uso com o Systems Manager, crie uma função de serviço do IAM que forneça permissão ao Systems Manager para executar ações em suas máquinas. Para obter informações, consulte Criar uma função de serviço do IAM para um ambiente híbrido. (Session Manager o suporte para servidores nas instalações e VM é fornecido apenas para a camada de instâncias avançadas. Para obter informações, consulte Habilitar o nível de instâncias avançadas...)

Agente do SSM não atualizado (console)

Problema: Uma mensagem relata que a versão de Agente do SSM não suporta a funcionalidade de reposição de palavra-passe.

  • Solução: Versão 2.3.668.0 ou posterior do Agente do SSM é necessário para realizar reposições da palavra-passe. No console, você pode iniciar o processo de atualização do agente na instância escolhendo Update SSM Agent (Atualizar o SSM Agent).

    Uma versão atualizada do Agente do SSM é lançada sempre que novos recursos são adicionados ao Systems Manager ou sempre que atualizações são feitas nos recursos existentes. Se uma versão mais antiga do agente estiver em execução em uma instância, alguns processos do Agente do SSM poderão falhar. Por esse motivo, recomendamos que você automatize o processo de manutenção do Agente do SSM atualizado nas suas instâncias. Para obter mais informações, consulte Automatizar atualizações para Agente do SSM. Para ser notificado sobre as atualizações do Agente do SSM, inscreva-se na página Notas de release do Agente do SSM no GitHub.

As opções de redefinição de senha não são exibidas (CLI)

Problema: Você se conecta com sucesso a uma instância usando o AWS CLI start-session comando. Você especificou o documento do SSM AWS-PasswordReset e forneceu um nome de usuário válido, mas os prompts para alterar a senha não são exibidos.

  • Solução: A versão de Agente do SSM na instância não está atualizado. A versão 2.3.668.0 ou posterior é necessária para executar redefinições de senhas.

    Uma versão atualizada do Agente do SSM é lançada sempre que novos recursos são adicionados ao Systems Manager ou sempre que atualizações são feitas nos recursos existentes. Se uma versão mais antiga do agente estiver em execução em uma instância, alguns processos do Agente do SSM poderão falhar. Por esse motivo, recomendamos que você automatize o processo de manutenção do Agente do SSM atualizado nas suas instâncias. Para obter mais informações, consulte Automatizar atualizações para Agente do SSM. Para ser notificado sobre as atualizações do Agente do SSM, inscreva-se na página Notas de release do Agente do SSM no GitHub.

Sem autorização para executar ssm:SendCommand

Problema: Tenta ligar-se a uma instância para alterar a sua palavra-passe, mas recebe uma mensagem de erro a dizer que não está autorizado a executar ssm:SendCommand na instância.

Mensagem de erro do Session Manager

Problema: Recebe uma mensagem de erro relacionada com Session Manager.