Gestione delle autorizzazioni sudo per l'account ssm-user su Linux e macOS Gestione delle autorizzazioni di amministratore per l'account ssm-user su Windows Server

Fase 7 (facoltativo): abilitazione o disabilitazione delle autorizzazioni amministrative dell'account ssm-account

A partire dalla versione 2.3.50.0 di AWS Systems Manager SSM Agent, l'agente crea un account utente locale denominato ssm-user e lo aggiunge a /etc/sudoers (Linux e macOS) o al gruppo di amministratori (Windows). Nelle versioni dell'agente precedenti alla 2.3.612.0, l'account viene creato la prima volta che SSM Agent viene avviato o riavviato dopo l'installazione. Nella versione 2.3.612.0 e successive, l'account ssm-user viene creato la prima volta che una sessione viene avviata su un nodo. Questo ssm-user è l'utente di default del sistema operativo (OS) quando inizia una sessione AWS Systems Manager Session Manager. La versione SSM Agent 2.3.612.0 è stata rilasciata l'8 maggio 2019.

Se desideri impedire agli utenti Session Manager di eseguire comandi amministrativi su un nodo, puoi aggiornare le autorizzazioni dell'account ssm-user. Puoi anche ripristinare queste autorizzazioni dopo che sono state rimosse.

Argomenti

Gestione delle autorizzazioni sudo per l'account ssm-user su Linux e macOS
Gestione delle autorizzazioni di amministratore per l'account ssm-user su Windows Server

Gestione delle autorizzazioni sudo per l'account ssm-user su Linux e macOS

Utilizza una delle seguenti procedure per abilitare o disabilitare le autorizzazioni sudo per l'account ssm-user sui nodi gestiti Linux e macOS.

Utilizza Run Command per modificare le autorizzazioni sudo di ssm-user (console)

Utilizza la procedura descritta in Esecuzione di comandi dalla console con i seguenti valori:
- Per Command document (Documento comando), scegliere AWS-RunShellScript.
- Per rimuovere l'accesso sudo, nell'area Command parameters (Parametri di comando), incollare quanto segue nella casella Commands (Comandi).
```
cd /etc/sudoers.d
echo "#User rules for ssm-user" > ssm-agent-users
```
  oppure
  
  Per ripristinare l'accesso sudo, nell'area Command parameters (Parametri di comando), incollare quanto segue nella casella Commands (Comandi).
```
cd /etc/sudoers.d 
echo "ssm-user ALL=(ALL) NOPASSWD:ALL" > ssm-agent-users
```

Utilizza la riga di comando per modificare le autorizzazioni sudo di ssm-user (AWS CLI)

Connettersi al nodo master ed eseguire il comando seguente.
```
sudo -s
```
Cambiare la directory di lavoro utilizzando il comando seguente.
```
cd /etc/sudoers.d
```
Aprire il file denominato ssm-agent-users per la modifica.
Per rimuovere l'accesso sudo, eliminare la riga seguente.
```
ssm-user ALL=(ALL) NOPASSWD:ALL
```
oppure

Per ripristinare l'accesso sudo, aggiungere la riga seguente.
```
ssm-user ALL=(ALL) NOPASSWD:ALL
```
Salva il file.

Gestione delle autorizzazioni di amministratore per l'account ssm-user su Windows Server

Utilizza una delle seguenti procedure per abilitare o disabilitare le autorizzazioni di amministratore per l'account ssm-user sui nodi gestiti Windows Server:

Utilizza Run Command per modificare le autorizzazioni di amministratore (console)

Utilizza la procedura descritta in Esecuzione di comandi dalla console con i seguenti valori:

Per Command document (Documento comando), scegliere AWS-RunPowerShellScript.

Per rimuovere l'accesso amministrativo, nell'area Command parameters (Parametri di comando), incollare quanto segue nella casella Commands (Comandi).
```
net localgroup "Administrators" "ssm-user" /delete
```
oppure

Per ripristinare l'accesso amministrativo, nell'area Command parameters (Parametri di comando), incollare quanto segue nella casella Commands (Comandi).
```
net localgroup "Administrators" "ssm-user" /add
```

Utilizza PowerShell o la finestra del prompt dei comandi per modificare le autorizzazioni di amministratore

Connettiti al nodo gestito e apri PowerShell o la finestra del prompt dei comandi.
Per rimuovere l'accesso amministrativo, eseguire il comando riportato di seguito.
```
net localgroup "Administrators" "ssm-user" /delete
```
oppure

Per ripristinare l'accesso amministrativo, eseguire il comando riportato di seguito.
```
net localgroup "Administrators" "ssm-user" /add
```

Utilizza la console Windows per modificare le autorizzazioni di amministratore

Connettiti al nodo gestito e apri PowerShell o la finestra del prompt dei comandi.
Dalla riga di comando, eseguire lusrmgr.msc per aprire la console Local Users and Groups (Utenti e gruppi locali).
Aprire la directory Users (Utenti), quindi aprire ssm-user.
Nella scheda Member Of (Membro di), effettuare una delle seguenti operazioni:
- Per rimuovere l'accesso amministrativo, selezionare Administrators (Amministratori), quindi scegliere Remove (Rimuovi).
  
  oppure
  
  Per ripristinare l'accesso amministrativo, inserire Administrators nella casella di testo, quindi scegliere Add (Aggiungi).
Scegli OK.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Fase 6: (facoltativo) utilizzo di AWS PrivateLink per configurare un endpoint VPC per Session Manager

Passaggio 8: (Facoltativo) Consentire e controllare le autorizzazioni per le SSH connessioni tramite Session Manager