Habilitar o suporte a Run As (Executar como) para instâncias do Linux e domacOS

Por padrão, as sessões são executadas usando as credenciais de uma conta de ssm-user gerada pelo sistema que é criada em uma instância gerenciada. (Em máquinas Linux e macOS, essa conta é adicionada ao /etc/sudoers/.) Você pode iniciar sessões usando as credenciais de uma conta do sistema operacional (SO). O Session Manager fornece dois métodos para especificar a conta do sistema operacional a ser usada.

Método 1: Marcar um usuário ou uma função do IAM (recomendado)

Você pode especificar a conta de usuário do sistema operacional usada para iniciar sessões marcando um usuário do AWS Identity and Access Management (IAM) ou uma função associada ao nome da chave AWS fornecida pelo SSMSessionRunAs e especificando o nome do usuário do sistema operacional como seu valor. Por exemplo, se o nome da conta do usuário do sistema operacional for DevRoleLogin, a tag correspondente a ser usada será SSMSessionRunAs = DevRoleLogin.

Usando esse método, você pode especificar um nome de conta do sistema operacional diferente para cada usuário ou função do IAM que você marcar, ou usar o mesmo nome de usuário do sistema operacional para todos eles.

Para obter mais informações sobre como marcar entidades do IAM, consulte os seguintes tópicos:

Marcação de entidades do IAM no Guia do usuário do IAM
Adicionar tags para gerenciar usuários e funções do AWS IAM no AWS Security Blog

Método 2: Especificar um nome de usuário do sistema operacional nas preferências doSession Manager

Ao configurar as preferências do Session Manager no console ou usando a AWS Command Line Interface (AWS CLI), você pode especificar o nome do usuário do sistema operacional com o qual iniciar sessões.

Usando esse método, todas as sessões são executadas pelo mesmo usuário do sistema operacional para todos os usuários do IAM em sua conta que se conectam à instância usando o Session Manager.

Como funcionam

Se você habilitar o suporte a Run As (Executar como) para sessões, o sistema verificará a existência de permissões de acesso da seguinte forma:

Para o usuário que está iniciando a sessão, a conta de usuário ou função do IAM foi marcada com SSMSessionRunAs = os-user-account-name?

Se Sim, o nome do usuário existe na instância? Se a resposta for sim, iniciar a sessão. Se isso não acontecer, não permitir que uma sessão seja iniciada.

Se a conta ou função do usuário do IAMnão tiver sido marcada com , continue na etapa 2.SSMSessionRunAs = os-user-account-name
Se a conta ou função do usuário do IAM não tiver sido marcada com SSMSessionRunAs = os-user-account-name, um nome de usuário do sistema operacional foi especificado nas preferências do AWS da conta da Session Manager?

Se Sim, o nome do usuário existe na instância? Se a resposta for sim, iniciar a sessão. Se isso não acontecer, não permitir que uma sessão seja iniciada.

Nesse ponto, o Session Manager não faz uso da conta padrão ssm-user. Ou seja, a habilitação do suporte a Run As (Executar como) impede que sessões sejam iniciadas usando uma conta de ssm-user em uma instância.

Como habilitar o suporte a Run As (Executar como) para instâncias do Linux e domacOS

Abrir o console do AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.
No painel de navegação, selecione Session Manager.
Escolha a guia Preferences (Preferências) e, em seguida, escolha Edit (Editar).
Marque a caixa de seleção ao lado de Enable Run As support for Linux instances (Habilitar o suporte a Run as (Executar como) para instâncias do Linux).
Faça uma das coisas a seguir:
- Opção 1: Em (Optional) Enter an operating system user name for starting sessions ((Opcional) Inserir um nome de usuário do sistema operacional para iniciar sessões), insira o nome da conta de usuário do sistema operacional na instância de destino que você deseja usar para iniciar sessões.
- Opção 2: Escolha o link Console do IAM. No painel de navegação, selecione Users (Usuários) ou Roles (Funções). Escolha a entidade (usuário ou função) à qual adicionar tags e escolha a guia Tags. Insira SSMSessionRunAs para o nome da chave. Insira o nome de uma conta de usuário em sua instância de destino para o valor da chave. Selecione Save changes (Salvar alterações).
  
  Veja um exemplo a seguir.
Escolha Save (Salvar).

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Habilitar perfis de shell configuráveis

Habilitar a criptografia de chaves do AWS KMS de dados de sessão (console)