A partir da versão 2.3.50.0 do SSM Agent do AWS Systems Manager, o agente cria uma conta de usuário local chamada ssm-user
e a adiciona ao /etc/sudoers
(Linux e macOS) ou ao grupo de Administradores (Windows). Em versões do agente anteriores a 2.3.612.0, a conta é criada na primeira vez que o SSM Agent é iniciado ou reiniciado após a instalação. Na versão 2.3.612.0 e posteriores, a conta ssm-user
é criada na primeira vez que uma sessão é iniciada em um nó. Esse ssm-user
é o usuário padrão do sistema operacional (SO) quando uma sessão do AWS Systems Manager Session Manager é iniciada. A versão 2.3.612.0 do SSM Agent foi lançada em 8 de maio de 2019.
Para impedir que os usuários do Session Manager executem comandos de administrador em um nó, você pode atualizar as permissões da conta ssm-user
. Você também pode restaurar essas permissões depois de serem removidas.
Tópicos
Gerenciar as permissões da conta sudo do ssm-user no Linux e no macOS
Use um dos procedimentos a seguir para ativar ou desativar as permissões sudo da conta ssm-user em nós gerenciados do Linux e do macOS.
Usar o Run Command para modificar permissões sudo de ssm-user (console)
-
Use o procedimento em Executar comandos no console com os seguintes valores:
-
Para Command document (Documento de comando), escolha
AWS-RunShellScript
. -
Para remover o acesso sudo, na área Command parameters (Parâmetros de comando), cole o trecho a seguir na caixa Commands (Comandos).
cd /etc/sudoers.d echo "#User rules for ssm-user" > ssm-agent-users
- ou -
Para restaurar o acesso sudo, na área Command parameters (Parâmetros de comando), cole o trecho a seguir na caixa Commands (Comandos).
cd /etc/sudoers.d echo "ssm-user ALL=(ALL) NOPASSWD:ALL" > ssm-agent-users
-
Usar a linha de comando para modificar permissões sudo de ssm-user (AWS CLI)
-
Conecte-se ao nó gerenciado e execute o seguinte comando:
sudo -s
-
Altere o diretório de trabalho usando o seguinte comando:
cd /etc/sudoers.d
-
Abra o arquivo chamado
ssm-agent-users
para edição. -
Para remover o acesso sudo, exclua a linha a seguir.
ssm-user ALL=(ALL) NOPASSWD:ALL
- ou -
Para restaurar o acesso sudo, adicione a linha a seguir.
ssm-user ALL=(ALL) NOPASSWD:ALL
-
Salve o arquivo.
Gerenciar as permissões da conta de administrador ssm-user no Windows Server
Use um dos procedimentos a seguir para ativar ou desativar as permissões de Administrador da conta ssm-user em nós gerenciados do Windows Server.
Usar o Run Command para modificar permissões de Administrador (console)
-
Use o procedimento em Executar comandos no console com os seguintes valores:
Para Command document (Documento de comando), escolha
AWS-RunPowerShellScript
.Para remover o acesso de administrador, na área Command parameters (Parâmetros de comando), cole o trecho a seguir na caixa Commands (Comandos).
net localgroup "Administrators" "ssm-user" /delete
- ou -
Para restaurar o acesso de administrador, na área Command parameters (Parâmetros de comando), cole o trecho a seguir na caixa Commands (Comandos).
net localgroup "Administrators" "ssm-user" /add
Use a janela do prompt de comando ou o PowerShell para modificar permissões de administrador
-
Conecte-se ao nó gerenciado e abra o PowerShell ou a janela do prompt de comando.
-
Para remover o acesso administrativo, execute o comando a seguir.
net localgroup "Administrators" "ssm-user" /delete
- ou -
Para restaurar o acesso administrativo, execute o comando a seguir.
net localgroup "Administrators" "ssm-user" /add
Usar o console do Windows para modificar permissões de Administrador
-
Conecte-se ao nó gerenciado e abra o PowerShell ou a janela do prompt de comando.
-
Na linha de comando, execute
lusrmgr.msc
para abrir o console Local Users and Groups (Usuários locais e grupos). -
Abra o diretório Users (Usuários) e, em seguida, abra ssm-user.
-
Na guia Member Of (Membro do), faça o seguinte:
-
Para remover o acesso administrativo, selecione Administrators (Administradores)e, em seguida, escolha Remove (Remover).
- ou -
Para restaurar o acesso administrativo, digite
Administrators
na caixa de texto e, em seguida, escolha Add (Adicionar).
-
-
Escolha OK.