Ative o suporte a Executar como para nós gerenciados do Linux e do macOS
Por padrão, o Session Manager autentica as conexões ao usar as credenciais da conta ssm-user gerada pelo sistema que é criada em um nó gerenciado. (Em máquinas macOS e Linux, a conta é adicionada ao /etc/sudoers/). Se desejar, em vez disso, é possível autenticar as sessões usando as credenciais de uma conta de usuário do sistema operacional (SO) ou um usuário de domínio para instâncias ingressadas para um Active Directory. Nesse caso, o Session Manager verifica se a conta do SO especificada existe no nó ou no domínio antes de iniciar a sessão. Se você tentar iniciar uma sessão usando uma conta do SO que não existe no nó ou no domínio, a conexão falhará.
nota
O Gerenciador de Sessões não oferece suporte ao uso de uma conta de usuário root do sistema operacional para autenticar conexões. Para sessões que são autenticadas usando uma conta de usuário do SO, o nível do sistema operacional e as políticas de diretório do nó, como restrições de login ou restrições de uso de recursos do sistema, podem não se aplicar.
Como funciona
Se você ativar o suporte a Run As (Executar como) para sessões, o sistema verificará a existência de permissões de acesso da seguinte forma:
-
Para o usuário que está iniciando a sessão, a entidade do IAM (usuário ou perfil) foi marcada com
SSMSessionRunAs =?os user account nameEm caso afirmativo, o nome do usuário do SO existe no nó gerenciado? Se a resposta for sim, iniciar a sessão. Se isso não acontecer, não permita que uma sessão seja iniciada.
Se a entidade do IAM não tiver sido marcada com
SSMSessionRunAs =, continue para a etapa 2.os user account name -
Se a entidade do IAM não foi marcada com
SSMSessionRunAs =, um nome de usuário do SO foi especificado nas preferências do Session Manager da Conta da AWS?os user account nameEm caso afirmativo, o nome do usuário do SO existe no nó gerenciado? Se a resposta for sim, iniciar a sessão. Se isso não acontecer, não permita que uma sessão seja iniciada.
nota
Quando você ativa o suporte “Executar como”, ele evita que o Gerenciador de Sessões inicie sessões usando a conta ssm-user em um nó gerenciado. Isso significa que, se o Session Manager falhar ao se conectar usando a conta de usuário do SO especificada, ele não voltará a se conectar pelo método padrão.
Se você ativar “Executar como” sem especificar uma conta do SO ou marcar uma entidade do IAM e não tiver especificado uma conta do SO nas preferências do Gerenciador de Sessões, as tentativas de conexão da sessão falharão.
Para ativar o suporte para Executar como para nós gerenciados do Linux e do macOS
Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/
. -
No painel de navegação, escolha Session Manager.
-
Escolha a guia Preferences (Preferências) e, em seguida, escolha Edit (Editar).
-
Marque a caixa de seleção ao lado de Habilitar o suporte a Executar como para instâncias do Linux.
-
Execute um destes procedimentos:
-
Opção 1: no campo Nome de usuário do sistema operacional, insira o nome da conta de usuário do SO que você deseja usar para iniciar as sessões. Usando essa opção, todas as sessões são executadas pelo mesmo usuário do SO para todos os usuários em sua Conta da AWS que se conectam usando o Session Manager.
-
Opção 2 (recomendada): escolha o link IAM console (Console do IAM). No painel de navegação, selecione Users (Usuários) ou Roles (Funções). Escolha a entidade (usuário ou função) à qual adicionar tags e escolha a guia Tags. Insira
SSMSessionRunAspara o nome da chave. Insira o nome de uma conta de usuário do SO para o valor da chave. Escolha Salvar alterações.Usando esta opção, é possível especificar usuários únicos do SO para diferentes entidades do IAM, se desejar. Para obter mais informações sobre a marcação de entidades do IAM (usuários ou perfis), consulte Recursos de etiquetas do IAM no Guia do usuário do IAM.
Veja um exemplo a seguir.
-
-
Escolha Salvar.
