本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在受管節點上重設密碼
您可以在受管節點上為任何使用者重設密碼。這包括由 管理的 Amazon Elastic Compute Cloud (AmazonEC2) 執行個體; AWS IoT Greengrass 核心裝置;以及內部部署伺服器、邊緣裝置和虛擬機器 (VMs) AWS Systems Manager。密碼重設功能建立於 Session Manager, 的功能 AWS Systems Manager。您可以使用此功能連線到受管節點,而無需開啟傳入連接埠、維護基礎主機或管理SSH金鑰。
當使用者忘記密碼,或您想要快速更新密碼而不建立 RDP或 與受管節點的SSH連線時,密碼重設非常有用。
必要條件
在能夠在受管節點上重設密碼前,必須符合下列需求:
-
您想要在其中變更密碼的受管節點必須是 Systems Manager 受管節點。此外,SSM Agent 2.3.668.0 版或更新版本必須安裝在受管節點上。) 如需有關安裝或更新 的資訊 SSM Agent,請參閱使用 SSM Agent。
-
密碼重設功能使用 Session Manager 為您的帳戶設定的組態,以連線至受管節點。因此,使用 的先決條件 Session Manager 必須在目前的 中為您的帳戶完成 AWS 區域。如需詳細資訊,請參閱設定 Session Manager。
注意
Session Manager 對內部部署節點的支援僅適用於進階執行個體層。如需詳細資訊,請參閱開啟 advanced-instances 方案。
-
變更密碼 AWS 的使用者必須具有受管節點的
ssm:SendCommand許可。如需詳細資訊,請參閱限制 Run Command 根據標籤存取。
限制存取
您可以限制使用者將密碼重設為特定受管節點的能力。這是透過使用 的身分型政策來完成 Session Manager ssm:StartSession 操作AWS-PasswordResetSSM文件。如需詳細資訊,請參閱控制使用者工作階段存取執行個體。
加密資料
開啟 的 AWS Key Management Service (AWS KMS) 完整加密 Session Manager 資料,以使用受管節點的密碼重設選項。如需詳細資訊,請參閱開啟工作階段資料的 KMS 金鑰加密 (主控台)。
在受管節點上重設密碼
您可以使用 Systems Manager 在 Systems Manager 受管節點上重設密碼 Fleet Manager 主控台或 AWS Command Line Interface (AWS CLI)。
在受管節點上變更密碼 (主控台)
在 開啟 AWS Systems Manager 主控台https://console.aws.amazon.com/systems-manager/
。 在導覽窗格中,選擇 Fleet Manager.
-
選擇需要新密碼之節點旁的按鈕。
-
依次選擇執行個體動作、重設密碼。
-
對於 User name (使用者名稱),輸入您要變更密碼的使用者名稱。這可以是在節點上擁有帳戶的任何使用者名稱。
-
選擇提交。
-
遵循 Enter new password (輸入新密碼) 命令視窗中的指示,來指定新的密碼。
注意
如果 的版本 SSM Agent 不支援密碼重設,系統會提示您使用 安裝支援的版本 Run Command, 的功能 AWS Systems Manager。
若要在受管節點上重設密碼 (AWS CLI)
-
若要在受管節點上為使用者重設密碼,請執行下列命令。取代每個
example resource placeholder使用您自己的資訊。注意
若要使用 AWS CLI 重設密碼,Session Manager 外掛程式必須安裝在本機電腦上。如需相關資訊,請參閱 安裝Session Manager外掛程式 AWS CLI。
-
遵循 Enter new password (輸入新密碼) 命令視窗中的指示,來指定新的密碼。
對受管節點上的密碼重設進行疑難排解
您可透過確保已完成密碼重設事前準備來解決許多密碼重設的問題。對於其他問題,使用以下資訊以協助您對密碼重設的問題進行疑難排解。
主題
受管節點無法使用
問題:您想要在 Managed instances (受管執行個體) 主控台頁面上,為受管節點重設密碼,但該節點不在清單中。
-
解決方案:您想要連線的受管節點可能尚未設定用於 Systems Manager。若要將EC2執行個體與 Systems Manager 搭配使用,必須將 AWS Identity and Access Management (IAM) 執行個體設定檔連接至執行個體,以授予 Systems Manager 執行執行個體動作的許可。如需詳細資訊,請參閱設定 Systems Manager 所需的執行個體許可。
若要搭配 Systems Manager 使用非EC2機器,請建立IAM服務角色,授予 Systems Manager 在您的受管節點上執行動作的許可。如需詳細資訊,請參閱在混合雲端和多雲端環境中建立 Systems Manager 所需的IAM服務角色。 (Session Manager 支援內部部署伺服器VMs,且僅適用於進階執行個體層。如需詳細資訊,請參閱 開啟 advanced-instances 方案)。
SSM Agent 不是 up-to-date (主控台)
問題 :訊息報告 的版本 SSM Agent 不支援密碼重設功能。
-
解決方案:2.3.668.0 版或更新版本 SSM Agent 需要 才能執行密碼重設。在主控台中,您可以選擇更新,以更新受管節點上的代理程式 SSM Agent.
的更新版本 SSM Agent 會在將新功能新增至 Systems Manager 或更新現有功能時發行。若未使用最新版本的代理程式,您的受管節點可能會無法使用各種 Systems Manager 的功能及特點。因此,我們建議您將保留程序自動化 SSM Agent 電腦上的最新功能。如需相關資訊,請參閱 自動化 SSM Agent 更新。訂閱 SSM Agent 上的版本備註
頁面 GitHub 以取得有關 的通知 SSM Agent 更新。
不提供密碼重設選項 (AWS CLI)
問題 :您使用 AWS CLI start-session命令成功連線到受管節點。您已指定SSM文件AWS-PasswordReset並提供有效的使用者名稱,但不會顯示變更密碼的提示。
-
解決方案 : 的版本 SSM Agent 受管節點上的 不是 up-to-date。需要 2.3.668.0 版或更新版本來執行密碼重設。
的更新版本 SSM Agent 會在將新功能新增至 Systems Manager 或更新現有功能時發行。若未使用最新版本的代理程式,您的受管節點可能會無法使用各種 Systems Manager 的功能及特點。因此,我們建議您將保留程序自動化 SSM Agent 電腦上的最新功能。如需相關資訊,請參閱 自動化 SSM Agent 更新。訂閱 SSM Agent 上的版本備註
頁面 GitHub 以取得有關 的通知 SSM Agent 更新。
沒有 ssm:SendCommand 的執行授權
問題:您嘗試連線至受管節點來變更密碼,但收到錯誤訊息,告知您沒有在受管節點上執行 ssm:SendCommand 的授權。
-
解決方案 :您的IAM政策必須包含執行
ssm:SendCommand命令的許可。如需相關資訊,請參閱 限制 Run Command 根據標籤存取。
Session Manager 錯誤訊息
問題 :您會收到與 相關的錯誤訊息 Session Manager.
-
解決方案:密碼重設支援需要 Session Manager 已正確設定。如需詳細資訊,請參閱 設定 Session Manager 及 故障診斷 Session Manager。
