Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Etapa 7: (Opcional) Ativar ou desativar permissões administrativas da conta ssm-user.

Modo de foco
Etapa 7: (Opcional) Ativar ou desativar permissões administrativas da conta ssm-user. - AWS Systems Manager

A partir da versão 2.3.50.0 do SSM Agent do AWS Systems Manager, o agente cria uma conta de usuário local chamada ssm-user e a adiciona ao /etc/sudoers (Linux e macOS) ou ao grupo de Administradores (Windows). Em versões do agente anteriores a 2.3.612.0, a conta é criada na primeira vez que o SSM Agent é iniciado ou reiniciado após a instalação. Na versão 2.3.612.0 e posteriores, a conta ssm-user é criada na primeira vez que uma sessão é iniciada em um nó. Esse ssm-user é o usuário padrão do sistema operacional (SO) quando uma sessão do AWS Systems Manager Session Manager é iniciada. A versão 2.3.612.0 do SSM Agent foi lançada em 8 de maio de 2019.

Para impedir que os usuários do Session Manager executem comandos de administrador em um nó, você pode atualizar as permissões da conta ssm-user. Você também pode restaurar essas permissões depois de serem removidas.

Gerenciar as permissões da conta sudo do ssm-user no Linux e no macOS

Use um dos procedimentos a seguir para ativar ou desativar as permissões sudo da conta ssm-user em nós gerenciados do Linux e do macOS.

Usar o Run Command para modificar permissões sudo de ssm-user (console)
  • Use o procedimento em Executar comandos no console com os seguintes valores:

    • Para Command document (Documento de comando), escolha AWS-RunShellScript.

    • Para remover o acesso sudo, na área Command parameters (Parâmetros de comando), cole o trecho a seguir na caixa Commands (Comandos).

      cd /etc/sudoers.d echo "#User rules for ssm-user" > ssm-agent-users

      - ou -

      Para restaurar o acesso sudo, na área Command parameters (Parâmetros de comando), cole o trecho a seguir na caixa Commands (Comandos).

      cd /etc/sudoers.d echo "ssm-user ALL=(ALL) NOPASSWD:ALL" > ssm-agent-users
Usar a linha de comando para modificar permissões sudo de ssm-user (AWS CLI)
  1. Conecte-se ao nó gerenciado e execute o seguinte comando:

    sudo -s
  2. Altere o diretório de trabalho usando o seguinte comando:

    cd /etc/sudoers.d
  3. Abra o arquivo chamado ssm-agent-users para edição.

  4. Para remover o acesso sudo, exclua a linha a seguir.

    ssm-user ALL=(ALL) NOPASSWD:ALL

    - ou -

    Para restaurar o acesso sudo, adicione a linha a seguir.

    ssm-user ALL=(ALL) NOPASSWD:ALL
  5. Salve o arquivo.

Gerenciar as permissões da conta de administrador ssm-user no Windows Server

Use um dos procedimentos a seguir para ativar ou desativar as permissões de Administrador da conta ssm-user em nós gerenciados do Windows Server.

Usar o Run Command para modificar permissões de Administrador (console)
  • Use o procedimento em Executar comandos no console com os seguintes valores:

    Para Command document (Documento de comando), escolha AWS-RunPowerShellScript.

    Para remover o acesso de administrador, na área Command parameters (Parâmetros de comando), cole o trecho a seguir na caixa Commands (Comandos).

    net localgroup "Administrators" "ssm-user" /delete

    - ou -

    Para restaurar o acesso de administrador, na área Command parameters (Parâmetros de comando), cole o trecho a seguir na caixa Commands (Comandos).

    net localgroup "Administrators" "ssm-user" /add
Use a janela do prompt de comando ou o PowerShell para modificar permissões de administrador
  1. Conecte-se ao nó gerenciado e abra o PowerShell ou a janela do prompt de comando.

  2. Para remover o acesso administrativo, execute o comando a seguir.

    net localgroup "Administrators" "ssm-user" /delete

    - ou -

    Para restaurar o acesso administrativo, execute o comando a seguir.

    net localgroup "Administrators" "ssm-user" /add
Usar o console do Windows para modificar permissões de Administrador
  1. Conecte-se ao nó gerenciado e abra o PowerShell ou a janela do prompt de comando.

  2. Na linha de comando, execute lusrmgr.msc para abrir o console Local Users and Groups (Usuários locais e grupos).

  3. Abra o diretório Users (Usuários) e, em seguida, abra ssm-user.

  4. Na guia Member Of (Membro do), faça o seguinte:

    • Para remover o acesso administrativo, selecione Administrators (Administradores)e, em seguida, escolha Remove (Remover).

      - ou -

      Para restaurar o acesso administrativo, digite Administrators na caixa de texto e, em seguida, escolha Add (Adicionar).

  5. Escolha OK.

PrivacidadeTermos do sitePreferências de cookies
© 2024, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.