Attiva il supporto RunAs per Linux i nodi macOS gestiti - AWS Systems Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Attiva il supporto RunAs per Linux i nodi macOS gestiti

Per impostazione predefinita, Session Manager autentica le connessioni utilizzando le credenziali di un account ssm-user generato dal sistema che viene creato su un nodo gestito. (Su computer Linux e macOS, l'account viene aggiunto a /etc/sudoers/). Se lo desideri, puoi invece autenticare le sessioni utilizzando le credenziali di un account utente del sistema operativo (OS) o un utente di dominio per le istanze unite a un Active Directory. In questo caso, Session Manager verifica che l'account del sistema operativo specificato esista nel nodo o nel dominio prima di iniziare la sessione. Se tenti di avviare una sessione utilizzando un account del sistema operativo che non esiste nel nodo o nel dominio, la connessione fallisce.

Nota

Session Manager non supporta l'utilizzo di un account utente root del sistema operativo per autenticare le connessioni. Per le sessioni autenticate utilizzando un account utente del sistema operativo, le policy a livello di sistema operativo e di directory del nodo, come le restrizioni di accesso o le restrizioni sull'utilizzo delle risorse di sistema, potrebbero non essere applicabili.

Come funziona

Se attivi il supporto Esegui come per le sessioni, il sistema controlla le autorizzazioni di accesso come segue:

  1. L'utente che sta avviando la sessione, ha ricevuto il tag con la sua IAM entità (utente o ruolo)SSMSessionRunAs = os user account name?

    Se Sì, il nome utente dell'OS esiste sul nodo gestito? In tal caso, avviare la sessione. In caso negativo, non consentire l'avvio di una sessione.

    Se l'IAMentità non è stata taggata conSSMSessionRunAs = os user account name, continua con il passaggio 2.

  2. Se l'IAMentità non è stata taggata conSSMSessionRunAs = os user account name, è stato specificato un nome utente del sistema operativo nelle Session Manager preferenze Account AWS del sistema operativo?

    Se Sì, il nome utente dell'OS esiste sul nodo gestito? In tal caso, avviare la sessione. In caso negativo, non consentire l'avvio di una sessione.

Nota

Quando attivi il supporto Esegui come, esso impedisce a Session Manager di avviare sessioni utilizzando l'account ssm-user su un nodo gestito. Ciò significa che se Session Manager non riesce a connettersi utilizzando l'account utente del sistema operativo specificato, non ricorre alla connessione utilizzando il metodo predefinito.

Se attivi RunAs senza specificare un account del sistema operativo o taggare un'IAMentità e non hai specificato un account del sistema operativo nelle preferenze di Session Manager, i tentativi di connessione alla sessione avranno esito negativo.

Per attivare il supporto Esegui come per i nodi gestiti Linux e macOS

  1. Apri la AWS Systems Manager console all'indirizzo. https://console.aws.amazon.com/systems-manager/

  2. Nel riquadro di navigazione, scegli Session Manager.

  3. Scegli la scheda Preferences (Preferenze), quindi seleziona Edit (Modifica).

  4. Seleziona la casella di controllo accanto a Abilita supporto Esegui come per le istanze Linux.

  5. Esegui una di queste operazioni:

    • Opzione 1: nel campo Nome utente del sistema operativo, inserisci il nome dell'account utente del sistema operativo che desideri utilizzare per avviare le sessioni. Utilizzando questa opzione, tutte le sessioni vengono eseguite dallo stesso utente del sistema operativo per tutti gli utenti del sistema operativo Account AWS che si connettono tramiteSession Manager.

    • Opzione 2 (consigliata): scegli il collegamento alla IAMconsole. Nel riquadro di navigazione, scegliere Users (Utenti) o Roles (Ruoli). Scegliere l'entità (utente o ruolo) cui aggiungere tag e quindi selezionare la scheda Tags (Tag). Inserire SSMSessionRunAs per il nome chiave. Inserisci il nome di un account utente del sistema operativo per il valore della chiave. Scegli Save changes (Salva modifiche).

      Utilizzando questa opzione, puoi specificare utenti del sistema operativo unici per IAM entità diverse, se lo desideri. Per ulteriori informazioni sull'etichettatura IAM delle entità (utenti o ruoli), consulta Tagging IAM resources nella Guida per l'IAMutente

      Di seguito è riportato un esempio.

      Screenshot di come specificare i tag per l'autorizzazione Esegui come di Session Manager.

  6. Seleziona Salva.