Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Activez Exécuter en tant que support pour Linux les nœuds macOS gérés
Par défaut, Session Manager authentifie les connexions lancées à l'aide des informations d'identification d'un compte ssm-user
généré par le système qui est créé sur un nœud géré. (Sur les machines Linux et macOS, le compte est ajouté à /etc/sudoers/
.) Si vous le souhaitez, vous pouvez authentifier les sessions à l'aide des informations d'identification d'un compte utilisateur du système d'exploitation (OS) ou d'un utilisateur de domaine pour les instances jointes à un Active Directory. Dans ce cas, le gestionnaire de session vérifie que le compte du système d'exploitation que vous avez spécifié existe sur le nœud ou dans le domaine avant de démarrer la session. Si vous tentez de démarrer une session à l'aide d'un compte de système d'exploitation qui n'existe pas sur le nœud ou dans le domaine, la connexion échoue.
Note
Le gestionnaire de session ne prend pas en charge l'utilisation d'un compte utilisateur root
de système d'exploitation pour authentifier les connexions. Pour les sessions authentifiées à l'aide d'un compte utilisateur de système d'exploitation, les politiques au niveau du système d'exploitation et de répertoire du nœud, telles que les restrictions de connexion ou les restrictions d'utilisation des ressources système, peuvent ne pas s'appliquer.
Comment ça marche
Si vous activez la prise en charge de Run As pour les sessions, le système vérifie les autorisations d'accès comme suit :
-
Pour l'utilisateur qui démarre la session, son IAM entité (utilisateur ou rôle) a-t-elle été taguée avec
SSMSessionRunAs =
?os user account name
Si oui, le nom d'utilisateur de système d'exploitation (SE) existe-t-il sur le nœud géré ? Si c'est le cas, démarrer la session. Si ce n'est pas le cas, ne pas autoriser une session à démarrer.
Si l'IAMentité n'a pas été étiquetée avec
SSMSessionRunAs =
, passez à l'étape 2.os user account name
-
Si l'IAMentité n'a pas été taguée avec
SSMSessionRunAs =
, un nom d'utilisateur du système d'exploitation a-t-il été spécifié dans les Session Manager préférences Compte AWS deos user account name
Si oui, le nom d'utilisateur de système d'exploitation (SE) existe-t-il sur le nœud géré ? Si c'est le cas, démarrer la session. Si ce n'est pas le cas, ne pas autoriser une session à démarrer.
Note
Lorsque vous activez la prise en charge de l'exécution en tant que, cela empêche le Gestionnaire de session de démarrer des sessions à l'aide du compte ssm-user
sur un nœud géré. Cela signifie que si Session Manager ne réussit pas la connexion à l'aide du compte utilisateur du système d'exploitation spécifié, il ne reviendra pas à la connexion à l'aide de la méthode par défaut.
Si vous activez Exécuter en tant que sans spécifier de compte de système d'exploitation ni étiqueter d'IAMentité, et si vous n'avez pas spécifié de compte de système d'exploitation dans les préférences du gestionnaire de session, les tentatives de connexion aux sessions échoueront.
Pour activer Exécuter en tant que support pour les nœuds gérés Linux et macOS
Ouvrez la AWS Systems Manager console à l'adresse https://console.aws.amazon.com/systems-manager/
. -
Dans le panneau de navigation, sélectionnez Session Manager.
-
Sélectionnez l'onglet Préférences, puis Modifier.
-
Cochez la case en regard de Activer Exécuter en tant que support des instances Linux.
-
Effectuez l’une des actions suivantes :
-
Option 1 : dans le champ Nom d'utilisateur de système d'exploitation, saisissez le nom du compte utilisateur de système d'exploitation (SE) que vous souhaitez utiliser pour démarrer les sessions. Avec cette option, toutes les sessions sont exécutées par le même utilisateur du système d'exploitation pour tous les utilisateurs de votre système Compte AWS qui se connectent en utilisantSession Manager.
-
Option 2 (recommandée) : Choisissez le lien de la IAMconsole. Dans le panneau de navigation, sélectionnez Users (Utilisateurs) ou Roles (Rôles). Sélectionnez l'entité (utilisateur ou rôle) à laquelle ajouter des balises, puis sélectionnez l'onglet Tags (Balises). Entrez
SSMSessionRunAs
pour le nom de la clé. Saisissez le nom d'un compte utilisateur de système d'exploitation (SE) pour la valeur de la clé. Sélectionnez Enregistrer les modifications.À l'aide de cette option, vous pouvez spécifier des utilisateurs de système d'exploitation uniques pour différentes IAM entités si vous le souhaitez. Pour plus d'informations sur le balisage IAM des entités (utilisateurs ou rôles), consultez les IAMressources relatives au balisage dans le guide de l'IAMutilisateur
Voici un exemple.
-
-
Choisissez Save (Enregistrer).