Gerenciar as permissões da conta sudo do ssm-user no Linux e no macOS Gerenciar as permissões da conta de administrador ssm-user no Windows Server

Etapa 7: (Opcional) Ativar ou desativar permissões administrativas da conta ssm-user.

A partir da versão 2.3.50.0 do SSM Agent do AWS Systems Manager, o agente cria uma conta de usuário local chamada ssm-user e a adiciona ao /etc/sudoers (Linux e macOS) ou ao grupo de Administradores (Windows). Em versões do agente anteriores a 2.3.612.0, a conta é criada na primeira vez que o SSM Agent é iniciado ou reiniciado após a instalação. Na versão 2.3.612.0 e posteriores, a conta ssm-user é criada na primeira vez que uma sessão é iniciada em um nó. Esse ssm-user é o usuário padrão do sistema operacional (SO) quando uma sessão do AWS Systems Manager Session Manager é iniciada. A versão 2.3.612.0 do SSM Agent foi lançada em 8 de maio de 2019.

Para impedir que os usuários do Session Manager executem comandos de administrador em um nó, você pode atualizar as permissões da conta ssm-user. Você também pode restaurar essas permissões depois de serem removidas.

Tópicos

Gerenciar as permissões da conta sudo do ssm-user no Linux e no macOS
Gerenciar as permissões da conta de administrador ssm-user no Windows Server

Gerenciar as permissões da conta sudo do ssm-user no Linux e no macOS

Use um dos procedimentos a seguir para ativar ou desativar as permissões sudo da conta ssm-user em nós gerenciados do Linux e do macOS.

Usar o Run Command para modificar permissões sudo de ssm-user (console)

Use o procedimento em Executar comandos no console com os seguintes valores:
- Para Command document (Documento de comando), escolha AWS-RunShellScript.
- Para remover o acesso sudo, na área Command parameters (Parâmetros de comando), cole o trecho a seguir na caixa Commands (Comandos).
```
cd /etc/sudoers.d
echo "#User rules for ssm-user" > ssm-agent-users
```
  - ou -
  
  Para restaurar o acesso sudo, na área Command parameters (Parâmetros de comando), cole o trecho a seguir na caixa Commands (Comandos).
```
cd /etc/sudoers.d 
echo "ssm-user ALL=(ALL) NOPASSWD:ALL" > ssm-agent-users
```

Usar a linha de comando para modificar permissões sudo de ssm-user (AWS CLI)

Conecte-se ao nó gerenciado e execute o seguinte comando:
```
sudo -s
```
Altere o diretório de trabalho usando o seguinte comando:
```
cd /etc/sudoers.d
```
Abra o arquivo chamado ssm-agent-users para edição.
Para remover o acesso sudo, exclua a linha a seguir.
```
ssm-user ALL=(ALL) NOPASSWD:ALL
```
- ou -

Para restaurar o acesso sudo, adicione a linha a seguir.
```
ssm-user ALL=(ALL) NOPASSWD:ALL
```
Salve o arquivo.

Gerenciar as permissões da conta de administrador ssm-user no Windows Server

Use um dos procedimentos a seguir para ativar ou desativar as permissões de Administrador da conta ssm-user em nós gerenciados do Windows Server.

Usar o Run Command para modificar permissões de Administrador (console)

Use o procedimento em Executar comandos no console com os seguintes valores:

Para Command document (Documento de comando), escolha AWS-RunPowerShellScript.

Para remover o acesso de administrador, na área Command parameters (Parâmetros de comando), cole o trecho a seguir na caixa Commands (Comandos).
```
net localgroup "Administrators" "ssm-user" /delete
```
- ou -

Para restaurar o acesso de administrador, na área Command parameters (Parâmetros de comando), cole o trecho a seguir na caixa Commands (Comandos).
```
net localgroup "Administrators" "ssm-user" /add
```

Use a janela do prompt de comando ou o PowerShell para modificar permissões de administrador

Conecte-se ao nó gerenciado e abra o PowerShell ou a janela do prompt de comando.
Para remover o acesso administrativo, execute o comando a seguir.
```
net localgroup "Administrators" "ssm-user" /delete
```
- ou -

Para restaurar o acesso administrativo, execute o comando a seguir.
```
net localgroup "Administrators" "ssm-user" /add
```

Usar o console do Windows para modificar permissões de Administrador

Conecte-se ao nó gerenciado e abra o PowerShell ou a janela do prompt de comando.
Na linha de comando, execute lusrmgr.msc para abrir o console Local Users and Groups (Usuários locais e grupos).
Abra o diretório Users (Usuários) e, em seguida, abra ssm-user.
Na guia Member Of (Membro do), faça o seguinte:
- Para remover o acesso administrativo, selecione Administrators (Administradores)e, em seguida, escolha Remove (Remover).
  
  - ou -
  
  Para restaurar o acesso administrativo, digite Administrators na caixa de texto e, em seguida, escolha Add (Adicionar).
Escolha OK.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Etapa 6: (Opcional) Usar o AWS PrivateLink para configurar um endpoint da VPC para o Session Manager

Etapa 8: (Opcional) Permitir e controlar permissões de conexões de SSH por meio do Session Manager