Aktifkan dukungan Run As untuk Linux dan node macOS terkelola - AWS Systems Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Aktifkan dukungan Run As untuk Linux dan node macOS terkelola

Secara default, Session Manager mengautentikasi koneksi menggunakan kredensi ssm-user akun yang dihasilkan sistem yang dibuat pada node terkelola. (Di Linux dan mesin macOS, akun ini ditambahkan ke /etc/sudoers/.) Jika Anda memilih, Anda dapat mengautentikasi sesi menggunakan kredensi akun pengguna sistem operasi (OS), atau pengguna domain untuk instance yang bergabung ke Direktori Aktif. Dalam hal ini, Session Manager memverifikasi bahwa akun OS yang Anda tentukan ada di node, atau di domain, sebelum memulai sesi. Jika Anda mencoba memulai sesi menggunakan akun OS yang tidak ada di node, atau di domain, koneksi gagal.

catatan

Session Manager tidak mendukung penggunaan akun root pengguna sistem operasi untuk mengautentikasi koneksi. Untuk sesi yang diautentikasi menggunakan akun pengguna OS, kebijakan tingkat OS dan direktori node, seperti pembatasan login atau pembatasan penggunaan sumber daya sistem, mungkin tidak berlaku.

Cara kerjanya

Jika Anda mengaktifkan dukungan Run As untuk sesi, sistem memeriksa izin akses sebagai berikut:

  1. Untuk pengguna yang memulai sesi, apakah IAM entitas mereka (pengguna atau peran) telah ditandai? SSMSessionRunAs = os user account name

    Jika Ya, apakah nama pengguna OS ada di node terkelola? Jika ya, mulai sesi. Jika tidak, jangan izinkan sesi dimulai.

    Jika IAM entitas belum diberi tagSSMSessionRunAs = os user account name, lanjutkan ke langkah 2.

  2. Jika IAM entitas belum diberi tagSSMSessionRunAs = os user account name, apakah nama pengguna OS telah ditentukan dalam Akun AWSSession Manager preferensi?

    Jika Ya, apakah nama pengguna OS ada di node terkelola? Jika ya, mulai sesi. Jika tidak, jangan izinkan sesi dimulai.

catatan

Saat Anda mengaktifkan dukungan Run As, ini mencegah Session Manager memulai sesi menggunakan ssm-user akun pada node terkelola. Ini berarti bahwa jika Session Manager gagal terhubung menggunakan akun pengguna OS yang ditentukan, itu tidak akan kembali ke koneksi menggunakan metode default.

Jika Anda mengaktifkan Run As tanpa menentukan akun OS atau menandai IAM entitas, dan Anda belum menentukan akun OS dalam preferensi Session Manager, upaya koneksi sesi akan gagal.

Untuk mengaktifkan dukungan Run As untuk Linux dan node macOS terkelola

  1. Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.

  2. Di panel navigasi, pilih Session Manager.

  3. Pilih tab Preferensi, dan kemudian pilih Edit.

  4. Pilih kotak centang di samping Aktifkan dukungan Run As untuk Linux instance.

  5. Lakukan salah satu hal berikut ini:

    • Opsi 1: Di bidang Nama pengguna sistem operasi, masukkan nama akun pengguna OS yang ingin Anda gunakan untuk memulai sesi. Menggunakan opsi ini, semua sesi dijalankan oleh pengguna OS yang sama untuk semua pengguna di Anda Akun AWS yang terhubung menggunakanSession Manager.

    • Opsi 2 (Disarankan): Pilih tautan IAMkonsol. Di panel navigasi, pilih Pengguna atau Peran. Pilih entitas (pengguna atau peran) untuk menambahkan tanda, dan kemudian pilih tab Tanda. Masukkan SSMSessionRunAs untuk nama kunci. Masukkan nama akun pengguna OS untuk nilai kunci. Pilih Simpan perubahan.

      Dengan menggunakan opsi ini, Anda dapat menentukan pengguna OS unik untuk IAM entitas yang berbeda jika Anda memilih. Untuk informasi selengkapnya tentang menandai IAM entitas (pengguna atau peran), lihat Menandai IAM sumber daya di IAM Panduan Pengguna

      Berikut adalah contohnya.

      Screenshot dari menentukan tag untuk izin Session Manager Run As.

  6. Pilih Simpan.