在受管節點上重設密碼

您可以在受管節點上為任何使用者重設密碼。這包括 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體、 AWS IoT Greengrass 核心裝置、以及由管理的現場部署伺服器、邊緣裝置和虛擬機器 (VM) AWS Systems Manager。密碼重設功能是建立在上Session Manager面的一項功能 AWS Systems Manager。您可以使用此功能，不需開啟傳入連接埠、維持堡壘主機或管理 SSH 金鑰，即可連接至受管節點。

密碼重設在使用者忘記密碼或想要快速更新密碼，而無需連接至受管節點的 RDP 或 SSH 連線時很有用。

必要條件

在能夠在受管節點上重設密碼前，必須符合下列需求：

• 您想要在其中變更密碼的受管節點必須是 Systems Manager 受管節點。還有，必須在受管節點上安裝 SSM Agent 2.3.668.0 版或更新版本。如需安裝或更新 SSM Agent 的詳細資訊，請參閱 使用 SSM Agent。

• 密碼重設功能會使用 Session Manager 組態，此組態已設定為讓您的帳戶連接到受管節點。因此，必須為目前 AWS 區域中您的帳戶完成 Session Manager 的使用事前準備。如需詳細資訊，請參閱 設定 Session Manager。

  注意

  針對內部部署節點所提供的 Session Manager 支援僅適用於 advanced-instances 方案。如需詳細資訊，請參閱 開啟 advanced-instances 方案。

• 變更密碼的 AWS 使用者必須具有受管理節點的ssm:SendCommand權限。如需詳細資訊，請參閱 根據標籤限制 Run Command 存取。

限制存取

您可以限制使用者將密碼重設為特定受管節點的能力。您可使用 Session Manager ssm:StartSession 操作的以身分為基礎的政策搭配 AWS-PasswordReset SSM 文件來這麼做。如需詳細資訊，請參閱控制使用者工作階段存取執行個體。

加密資料

開啟 AWS Key Management Service (AWS KMS) 完整的Session Manager資料加密，以針對受管理節點使用密碼重設選項。如需詳細資訊，請參閱 開啟工作階段資料的 KMS 金鑰加密 (主控台)。

在受管節點上重設密碼

您可以使用「系統管理員」Fleet Manager主控台或 AWS Command Line Interface (AWS CLI)，在「系統管理員」管理的節點上重設密碼。

在受管節點上變更密碼 (主控台)

1. 請在以下位置開啟 AWS Systems Manager 主控台。 https://console.aws.amazon.com/systems-manager/

2. 在導覽窗格中，選擇 Fleet Manager。

   -或-

   如果 AWS Systems Manager 首頁先開啟，請選擇功能表圖示 ( ) 以開啟導覽窗格，然後Fleet Manager在導覽窗格中選擇。

3. 選擇需要新密碼之節點旁的按鈕。

4. 依次選擇執行個體動作、重設密碼。

5. 對於 User name (使用者名稱)，輸入您要變更密碼的使用者名稱。這可以是在節點上擁有帳戶的任何使用者名稱。

6. 選擇提交。

7. 遵循 Enter new password (輸入新密碼) 命令視窗中的指示，來指定新的密碼。

   注意

   如果受管節點上 SSM Agent 的版本不支援密碼重設，系統會提示您使用 Run Command ( AWS Systems Manager的功能) 安裝支援的版本。

若要在受管節點上重設密碼 (AWS CLI)

1. 若要在受管節點上為使用者重設密碼，請執行下列命令。將每個範例資源預留位置取代為您自己的資訊。

   注意

   若要使用 AWS CLI 重設密碼，Session Manager外掛程式必須安裝在您的本機電腦上。如需相關資訊，請參閱 安裝Session Manager外掛程式 AWS CLI。

   Linux & macOS

   aws ssm start-session \
       --target instance-id \
       --document-name "AWS-PasswordReset" \
       --parameters '{"username": ["user-name"]}'

   Windows

   aws ssm start-session ^
       --target instance-id ^
       --document-name "AWS-PasswordReset" ^
       --parameters username="user-name"

2. 遵循 Enter new password (輸入新密碼) 命令視窗中的指示，來指定新的密碼。

對受管節點上的密碼重設進行疑難排解

您可透過確保已完成密碼重設事前準備來解決許多密碼重設的問題。對於其他問題，使用以下資訊以協助您對密碼重設的問題進行疑難排解。

受管節點無法使用

問題：您想要在 Managed instances (受管執行個體) 主控台頁面上，為受管節點重設密碼，但該節點不在清單中。

• 解決方案：您想要連線的受管節點可能尚未設定用於 Systems Manager。若要將 EC2 執行個體與 Systems Manager 搭配使用，必須將一個 AWS Identity and Access Management (IAM) 執行個體設定檔提供 Systems Manager 對執行個體執行動作的權限附加至執行個體。如需相關資訊，請參閱設定 Systems Manager 的執行個體許可。

  若要將非 EC2 機器與 Systems Manager 搭配使用，則須建立 IAM 服務角色，為 Systems Manager 提供在您機器上執行動作的許可。如需相關資訊，請參閱建立混合環境的 IAM 服務角色。(針對內部部署伺服器和虛擬機器所提供的 Session Manager 支援僅適用於 advanced-instances 方案。如需相關資訊，請參閱 開啟 advanced-instances 方案。)

SSM Agent不是 up-to-date （控制台）

問題：一則訊息報告 SSM Agent 的版本不支援密碼重設功能。

• 解決方案：需要 SSM Agent 2.3.668.0 版或更新版本來執行密碼重設。在主控台中選擇 Update SSM Agent (更新 )，即可更新受管節點上的代理程式。

  當新功能新增至 Systems Manager，或對現有功能更新時，會發行 SSM Agent 的更新版本。若未使用最新版本的代理程式，您的受管節點可能會無法使用各種 Systems Manager 的功能及特點。因此，我們建議您讓機器的 SSM Agent 自動保持最新狀態。如需相關資訊，請參閱 自動化 SSM Agent 更新。訂閱上的「SSM Agent版本說明」頁面，GitHub以取得有關SSM Agent更新的通知。

不提供密碼重設選項 (AWS CLI)

問題：您使用 AWS CLI start-session命令成功連線到受管理的節點。您已指定 SSM 文件 AWS-PasswordReset 並提供有效的使用者名稱，但變更密碼的提示沒有顯示。

• 解決方案：受管節點SSM Agent上的版本不是 up-to-date。需要 2.3.668.0 版或更新版本來執行密碼重設。

  當新功能新增至 Systems Manager，或對現有功能更新時，會發行 SSM Agent 的更新版本。若未使用最新版本的代理程式，您的受管節點可能會無法使用各種 Systems Manager 的功能及特點。因此，我們建議您讓機器的 SSM Agent 自動保持最新狀態。如需相關資訊，請參閱 自動化 SSM Agent 更新。訂閱上的「SSM Agent版本說明」頁面，GitHub以取得有關SSM Agent更新的通知。

沒有 ssm:SendCommand 的執行授權

問題：您嘗試連線至受管節點來變更密碼，但收到錯誤訊息，告知您沒有在受管節點上執行 ssm:SendCommand 的授權。

• 解決方案：您的 IAM 政策必須包含 ssm:SendCommand 命令的執行許可。如需相關資訊，請參閱 根據標籤限制 Run Command 存取。

Session Manager 錯誤訊息

問題：您收到與 Session Manager 相關的錯誤訊息。

• 解決方案：密碼重設支援要求 Session Manager 的設定需正確無誤。如需詳細資訊，請參閱 設定 Session Manager 及 Session Manager 疑難排解。