Restablecimiento de contraseñas en nodos administrados
Puede restablecer la contraseña para cualquier usuario en un nodo administrado. Esto incluye instancias de Amazon Elastic Compute Cloud (Amazon EC2), servidores de núcleo de AWS IoT Greengrass, servidores locales, dispositivos de borde y máquinas virtuales administradas por AWS Systems Manager. La función de restablecimiento de contraseña se basa en Session Manager, una capacidad de AWS Systems Manager. Puede utilizar esta funcionalidad para conectarse a los nodos administrados sin abrir los puertos de entrada, mantener hosts bastión ni administrar claves SSH.
El restablecimiento de contraseña resulta útil cuando un usuario ha olvidado una contraseña, o cuando desea actualizar rápidamente una contraseña sin realizar una conexión RDP o SSH al nodo administrado.
Requisitos previos
Antes de que pueda restablecer la contraseña en un nodo administrado, deben cumplirse los siguientes requisitos:
-
El nodo administrado en el que desee cambiar una contraseña debe ser un nodo administrado de Systems Manager. Además, la versión 2.3.668.0 de SSM Agent o una versión posterior debe estar instalada en el nodo administrado. Para obtener información acerca cómo instalar o actualizar SSM Agent, consulte Uso de SSM Agent.
-
La funcionalidad de restablecimiento de contraseñas utiliza la configuración de Session Manager, la cual está establecida de forma que su cuenta se conecte al nodo administrado. Por lo tanto, los requisitos previos para utilizar Session Manager deben haberse completado en su cuenta en la Región de AWS actual. Para obtener más información, consulte Configuración de Session Manager.
nota
La compatibilidad de Session Manager con nodos en las instalaciones se proporciona solo para el nivel de instancias avanzadas. Para obtener más información, consulte Activación del nivel de instancias avanzadas.
-
El usuario AWS que está cambiando la contraseña debe tener el permiso
ssm:SendCommandpara el nodo administrado. Para obtener más información, consulte Restricción de acceso de Run Command basado en etiquetas.
Restricción del acceso
Puede limitar la capacidad de un usuario para restablecer contraseñas para nodos administrados específicos. Esto se hace mediante políticas basadas en la identidad para la operación Session Manager de ssm:StartSession con el documento AWS-PasswordReset de SSM. Para obtener más información, consulte Control del acceso de las sesiones de usuario a las instancias.
Cifrado de datos
Active el cifrado completo de AWS Key Management Service (AWS KMS) para los datos de Session Manager a fin de utilizar la opción de restablecimiento de contraseña de los nodos administrados. Para obtener más información, consulte Activación del cifrado de datos de sesión con claves de KMS (consola).
Restablecer una contraseña en un nodo administrado
Puede restablecer una contraseña en un nodo administrado de Systems Manager mediante la consola Fleet Manager de Systems Manager o AWS Command Line Interface (AWS CLI).
Para cambiar la contraseña en un nodo administrado (consola)
Abra la consola de AWS Systems Manager en https://console.aws.amazon.com/systems-manager/
. En el panel de navegación, elija Fleet Manager.
-
Elija el botón situado al lado del nodo que necesita una nueva contraseña.
-
Seleccione Acciones de instancia, Restablecer la contraseña.
-
En el campo User name (Nombre de usuario), ingrese el nombre del usuario para el que va a cambiar la contraseña. Este puede ser cualquier nombre de usuario con una cuenta en el nodo.
-
Seleccione Enviar.
-
Siga las instrucciones en la ventana de comandos Introducir nueva contraseña para especificar la nueva contraseña.
nota
Si la versión de SSM Agent en el nodo administrado no admite restablecimientos de contraseñas, se le pedirá que instale una versión compatible con Run Command, una capacidad de AWS Systems Manager.
Para restablecer la contraseña en un nodo administrado (AWS CLI)
-
Para restablecer la contraseña de un usuario en un nodo administrado, ejecute el siguiente comando. Reemplace cada
example resource placeholdercon su propia información.nota
Para utilizar la AWS CLI para restablecer una contraseña, el complemento Session Manager debe estar instalado en su equipo local. Para obtener más información, consulte Instalación del complemento de Session Manager para la AWS CLI.
-
Siga las instrucciones en la ventana de comandos Introducir nueva contraseña para especificar la nueva contraseña.
Solucionar problemas de restablecimiento de contraseña en nodos administrados
Muchos problemas de restablecimiento de contraseña pueden resolverse; para ello, asegúrese de que ha completado los requisitos previos de restablecimiento de contraseña. Para otros problemas, utilice la siguiente información para ayudarle a solucionar problemas para restablecer la contraseña.
Temas
Nodo administrado no disponible
Problema: desea restablecer la contraseña de un nodo administrado en la página de la consola de Instancias administradas, pero el nodo no se encuentra en la lista.
-
Solución: el nodo administrado al que desea conectarse podría no estar configurado para Systems Manager. Para utilizar una instancia de EC2 con Systems Manager, el perfil de instancias de AWS Identity and Access Management (IAM) que concede permiso a Systems Manager para realizar acciones en sus instancias debe estar adjuntado a la instancia. Para obtener información, consulte Configuración de permisos de instancia requeridos para Systems Manager.
Para utilizar una máquina que no es de EC2 con Systems Manager, debe crear un rol de servicio de IAM que le conceda permiso a Systems Manager para realizar acciones en los nodos administrados. Para obtener más información, consulte Creación del rol de servicio de IAM requerido para Systems Manager en entornos híbridos y multinube. (Solo se ofrece compatibilidad de Session Manager con servidores locales y máquinas virtuales para el nivel de instancias avanzadas. Para obtener más información, consulte Activación del nivel de instancias avanzadas.)
SSM Agent no actualizada (consola)
Problema: un mensaje informa que la versión de SSM Agent no admite la función de restablecimiento de contraseñas.
-
Solución: se requiere la versión 2.3.668.0 o una versión posterior de SSM Agent para realizar restablecimientos de contraseñas. En la consola, puede actualizar el agente en el nodo administrado al elegir Update SSM Agent (Actualizar SSM Agente).
Cada vez que se agregan capacidades nuevas a Systems Manager o se actualizan las capacidades existentes, se lanza una versión actualizada de SSM Agent. No utilizar la versión más reciente del agente puede impedir que el nodo administrado utilice diversas capacidades y características de Systems Manager. Por este motivo, se recomienda automatizar el proceso de mantener SSM Agent actualizado en los equipos. Para obtener más información, consulte Automatización de las actualizaciones de SSM Agent. Suscríbase a la página SSM Agent Release Notes
en GitHub para recibir notificaciones sobre las actualizaciones de SSM Agent.
No se proporcionan las opciones de restablecimiento de contraseña (AWS CLI).
Problema: puede conectarse correctamente a un nodo administrado mediante el comando AWS CLI start-session. Ha especificado el documento de SSM AWS-PasswordReset y ha proporcionado un nombre de usuario válido, pero no se muestran las instrucciones para cambiar la contraseña.
-
Solución: la versión de SSM Agent en el nodo administrado no está actualizada. Es necesaria la versión 2.3.668.0 o una versión posterior para realizar restablecimientos de contraseña.
Cada vez que se agregan nuevas capacidades en Systems Manager o se actualizan las capacidades existentes, se lanza una versión actualizada de SSM Agent. No utilizar la versión más reciente del agente puede impedir que el nodo administrado utilice diversas capacidades y características de Systems Manager. Por este motivo, se recomienda automatizar el proceso de mantener SSM Agent actualizado en los equipos. Para obtener más información, consulte Automatización de las actualizaciones de SSM Agent. Suscríbase a la página SSM Agent Release Notes
en GitHub para recibir notificaciones sobre las actualizaciones de SSM Agent.
No hay autorización para ejecutar ssm:SendCommand
Problema: intenta conectarse a un nodo administrado para cambiar la contraseña, pero recibe un mensaje de error que indica que no cuenta con la autorización para ejecutar ssm:SendCommand en el nodo administrado.
-
Solución: la política de IAM debe incluir un permiso para ejecutar el comando
ssm:SendCommand. Para obtener más información, consulte Restricción de acceso de Run Command basado en etiquetas.
Mensaje de error Session Manager
Problema: recibe un mensaje de error relacionado con Session Manager.
-
Solución: el soporte para restablecer la contraseña requiere que Session Manager esté configurado correctamente. Para obtener más información, consulte Configuración de Session Manager y Solución de problemas de Session Manager.
