步驟 7:(選用) 啟用或停用 ssm-user 帳戶管理許可 - AWS Systems Manager
在 Linux 和 macOS 上管理 ssm-user sudo 帳戶許可在 Windows Server 上管理 ssm-user 管理員帳戶許可

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

步驟 7:(選用) 啟用或停用 ssm-user 帳戶管理許可

從 AWS Systems Manager SSM Agent 的 2.3.50.0 版開始,代理程式會建立稱為 ssm-user 的本機使用者帳戶,並將其新增至 /etc/sudoers (Linux 和 macOS) 或系統管理員群組 (Windows)。在代理程式 2.3.612.0 之前的版本中,當 SSM Agent 第一次啟動,或在安裝後重新啟動時,會建立該帳戶。在版本 2.3.612.0 和更高版本中,當受管節點上初次啟動工作階段時,會建立 ssm-user 帳戶。啟動 AWS Systems Manager Session Manager 工作階段時,此 ssm-user 是預設作業系統 (OS) 使用者。SSM Agent 2.3.612.0 版本已於 2019 年 5 月 8 日發行。

如果您想要防止 Session Manager 使用者在節點上執行管理命令,您可以更新其 ssm-user 帳戶許可。您也可以移除這些權限之後恢復權限。

在 Linux 和 macOS 上管理 ssm-user sudo 帳戶許可

使用以下其中一個程序來停用或啟用在 Linux 和 macOS 受管節點上 ssm-user 帳戶的 sudo 許可:

使用 Run Command 修改 ssm-user sudo 許可 (主控台)

  • 搭配以下值在 從主控台執行命令 中使用程序:

    • 如需 Command document (命令文件),請選擇 AWS-RunShellScript

    • 移除 sudo 存取,在 Command parameters (命令參數) 區裡的 Commands (命令) 方塊貼上以下內容。

      cd /etc/sudoers.d
echo "#User rules for ssm-user" > ssm-agent-users

      -或-

      要恢復 sudo 存取,請在 Command parameters (命令參數) 區裡的 Commands (命令) 方塊貼上以下內容。

      cd /etc/sudoers.d 
echo "ssm-user ALL=(ALL) NOPASSWD:ALL" > ssm-agent-users
使用命令列修改 ssm-user sudo 許可 (AWS CLI)

  1. 連線至受管節點並執行下列命令。

    sudo -s

  2. 使用下列命令變更工作目錄。

    cd /etc/sudoers.d

  3. 開啟檔案 ssm-agent-users 進行編輯。

  4. 移除 sudo 存取、刪除下行。

    ssm-user ALL=(ALL) NOPASSWD:ALL

    -或-

    要還原 sudo 存取,請新增下行:

    ssm-user ALL=(ALL) NOPASSWD:ALL

  5. 儲存檔案。

在 Windows Server 上管理 ssm-user 管理員帳戶許可

使用以下其中一個程序來停用或啟用在 Windows Server 受管節點上 ssm-user 帳戶的管理者許可:

使用 Run Command 來修改管理者許可 (主控台)

  • 搭配以下值在 從主控台執行命令 中使用程序:

    如需 Command document (命令文件),請選擇 AWS-RunPowerShellScript

    移除管理的存取,在 Command parameters (命令參數) 區域裡,在 Commands (命令) 方塊貼上以下內容。

    net localgroup "Administrators" "ssm-user" /delete

    -或-

    移除恢復的存取,在 Command parameters (命令參數) 區域裡,在 Commands (命令) 方塊貼上以下內容。

    net localgroup "Administrators" "ssm-user" /add
使用 PowerShell 或命令提示字元視窗修改管理員許可

  1. 連接到受管節點,並開啟 PowerShell 或命令提示字元視窗。

  2. 移除管理的存取、執行下列命令。

    net localgroup "Administrators" "ssm-user" /delete

    -或-

    要復原管理的存取,請執行下列命令。

    net localgroup "Administrators" "ssm-user" /add
使用 Windows 主控台修改管理員許可

  1. 連接到受管節點,並開啟 PowerShell 或命令提示字元視窗。

  2. 從命令列執行 lusrmgr.msc 以開啟 Local Users and Groups (本機使用者和群組) 主控台。

  3. 開啟 Users (使用者) 目錄,然後開放 ssm-user

  4. Member Of (成員) 標籤,執行以下其中一項:

    • 移除管理的存取,選取 Administrators (管理員),然後選擇 Remove (移除)

      -或-

      若要恢復的管理存取,在文字方塊裡輸入 Administrators,然後選擇 Add (新增)。

  5. 選擇 OK (確定)。