Ative o suporte a Executar como para nós gerenciados do Linux e do macOS

Por padrão, o Session Manager autentica as conexões ao usar as credenciais da conta ssm-user gerada pelo sistema que é criada em um nó gerenciado. (Em máquinas macOS e Linux, a conta é adicionada ao /etc/sudoers/). Se desejar, em vez disso, é possível autenticar as sessões usando as credenciais de uma conta de usuário do sistema operacional (SO). Nesse caso, o Gerenciador de Sessões verifica se a conta do SO especificada existe no nó antes de iniciar a sessão. Se você tentar iniciar uma sessão usando uma conta do SO que não existe no nó, a conexão falhará.

nota

O Gerenciador de Sessões não oferece suporte ao uso de uma conta de usuário root do sistema operacional para autenticar conexões. Para sessões que são autenticadas usando uma conta de usuário do SO, o nível do sistema operacional e as políticas de diretório do nó, como restrições de login ou restrições de uso de recursos do sistema, podem não se aplicar.

Como funciona

Se você ativar o suporte a Run As (Executar como) para sessões, o sistema verificará a existência de permissões de acesso da seguinte forma:

1. Para o usuário que está iniciando a sessão, a entidade do IAM (usuário ou perfil) foi marcada com SSMSessionRunAs = os user account name?

   Em caso afirmativo, o nome do usuário do SO existe no nó gerenciado? Se a resposta for sim, iniciar a sessão. Se isso não acontecer, não permita que uma sessão seja iniciada.

   Se a entidade do IAM não tiver sido marcada com SSMSessionRunAs = os user account name, continue para a etapa 2.

2. Se a entidade do IAM não foi marcada com SSMSessionRunAs = os user account name, um nome de usuário do SO foi especificado nas preferências do Session Manager da Conta da AWS?

   Em caso afirmativo, o nome do usuário do SO existe no nó gerenciado? Se a resposta for sim, iniciar a sessão. Se isso não acontecer, não permita que uma sessão seja iniciada.

nota

Quando você ativa o suporte “Executar como”, ele evita que o Gerenciador de Sessões inicie sessões usando a conta ssm-user em um nó gerenciado. Isso significa que, se o Session Manager falhar ao se conectar usando a conta de usuário do SO especificada, ele não voltará a se conectar pelo método padrão.

Se você ativar “Executar como” sem especificar uma conta do SO ou marcar uma entidade do IAM e não tiver especificado uma conta do SO nas preferências do Gerenciador de Sessões, as tentativas de conexão da sessão falharão.

Para ativar o suporte para Executar como para nós gerenciados do Linux e do macOS

1. Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.

2. No painel de navegação, escolha Session Manager.

3. Escolha a guia Preferences (Preferências) e, em seguida, escolha Edit (Editar).

4. Marque a caixa de seleção ao lado de Habilitar o suporte a Executar como para instâncias do Linux.

5. Execute um destes procedimentos:

   • Opção 1: no campo Nome de usuário do sistema operacional, insira o nome da conta de usuário do SO que você deseja usar para iniciar as sessões. Usando essa opção, todas as sessões são executadas pelo mesmo usuário do SO para todos os usuários em sua Conta da AWS que se conectam usando o Session Manager.

   • Opção 2 (recomendada): escolha o link IAM console (Console do IAM). No painel de navegação, selecione Users (Usuários) ou Roles (Funções). Escolha a entidade (usuário ou função) à qual adicionar tags e escolha a guia Tags. Insira SSMSessionRunAs para o nome da chave. Insira o nome de uma conta de usuário do SO para o valor da chave. Escolha Salvar alterações.

     Usando esta opção, é possível especificar usuários únicos do SO para diferentes entidades do IAM, se desejar. Para obter mais informações sobre a marcação de entidades do IAM (usuários ou perfis), consulte Recursos de etiquetas do IAM no Guia do usuário do IAM.

     Veja um exemplo a seguir.

     

6. Escolha Salvar.