開啟對Linux和macOS受管節點的執行身分支援 - AWS Systems Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

開啟對Linux和macOS受管節點的執行身分支援

依預設,Session Manager 會使用系統產生之 ssm-user 帳戶 (帳戶在受管節點上建立) 的憑證來驗證連線。在 Linux 和 macOS 機器上,帳戶新增到 /etc/sudoers/。如果您選擇,您可以改為使用作業系統 (OS) 使用者帳戶的認證,或使用加入 Active Directory 之執行個體的網域使用者認證來驗證工作階段。在這種情況下,工作階段管理員會在啟動工作階段之前,驗證您指定的作業系統帳戶是否存在於節點或網域中。如果您嘗試使用節點上或網域中不存在的作業系統帳戶啟動工作階段,則連線會失敗。

注意

Session Manager 不支援使用作業系統的 root 使用者帳戶來驗證連線。對於使用作業系統使用者帳戶驗證的工作階段,節點的作業系統層級和目錄政策 (如登入限制或系統資源使用限制) 可能不適用。

運作方式

如果您為工作階段開啟執行身分支援,系統會如下檢查存取許可:

  1. 對於正在啟動工作階段的使用者,其IAM實體 (使用者或角色) 是否已標記SSMSessionRunAs = os user account name

    如果是,該受管節點上是否存在作業系統使用者名稱? 如果有,就開始工作階段。如果沒有,則不允許工作階段開始。

    如果IAM實體尚加上標籤SSMSessionRunAs = os user account name,請繼續執行步驟 2。

  2. 如果尚未標記IAM實體SSMSessionRunAs = os user account name, AWS 帳戶是否已在Session Manager偏好設定中指定作業系統使用者名稱?

    如果是,該受管節點上是否存在作業系統使用者名稱? 如果有,就開始工作階段。如果沒有,則不允許工作階段開始。

注意

如果啟動執行身分支援,它會防止 Session Manager 使用受管理節點上的 ssm-user 帳戶啟動工作階段。這表示如果 Session Manager 無法使用指定的作業系統使用者帳戶進行連線,則不會返回使用預設方法進行連線。

如果您在未指定作業系統帳戶或標記IAM實體的情況下啟動執行身分,且尚未在工作階段管理員偏好設定中指定作業系統帳戶,則工作階段連線嘗試將會失敗。

為 Linux 和 macOS 受管節點開啟執行身分支援

  1. 在開啟 AWS Systems Manager 主控台https://console.aws.amazon.com/systems-manager/

  2. 在導覽窗格中,選擇 Session Manager

  3. 選擇 Preferences (偏好) 標籤,然後選擇 Edit (編輯)

  4. 選取 為 Linux 執行個體啟用執行身分支援旁的核取方塊。

  5. 執行以下任意一項:

    • 選項 1:在作業系統使用者名稱欄位,輸入您想要用來啟動工作階段的作業系統使用者帳戶名稱。使用此選項,所有工作階段都會由相同的作業系統使用者執行,以供您使用連線的所有使用 AWS 帳戶 者使用Session Manager。

    • 選項 2(建議使用):選擇IAM主機連結。在導覽窗格中,選擇 Users (使用者) 或者 Roles (角色)。選擇要新增標籤的實體 (使用者或角色),然後選擇 Tags (標籤) 標籤。在金鑰名稱輸入 SSMSessionRunAs。在鍵值中輸入作業系統使用者帳戶的名稱。選擇 Save changes (儲存變更)。

      使用此選項,您可以視需要為不同的IAM實體指定唯一的作業系統使用者。如需有關標記IAM實體 (IAM使用者或角色) 的詳細資訊,請參閱《使用指南》中的〈標記IAM資源

      以下是範例。

      指定 Session Manager 執行身分許可標籤的螢幕擷取畫面。

  6. 選擇 Save (儲存)。