Gestione delle autorizzazioni sudo per l'account ssm-user su Linux e macOS Gestione delle autorizzazioni di amministratore per l'account ssm-user su Windows Server

• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la documentazione di Amazon CloudWatch Dashboard.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Fase 7 (facoltativo): abilitazione o disabilitazione delle autorizzazioni amministrative dell'account ssm-account

A partire dalla versione 2.3.50.0 di AWS Systems Manager SSM Agent, l'agente crea un account utente locale chiamato ssm-user e lo aggiunge a /etc/sudoers (LinuxandmacOS) o al gruppo Administrators (). Windows Nelle versioni dell'agente precedenti alla 2.3.612.0, l'account viene creato la prima volta che SSM Agent viene avviato o riavviato dopo l'installazione. Nella versione 2.3.612.0 e successive, l'account ssm-user viene creato la prima volta che una sessione viene avviata su un nodo. Si ssm-user tratta dell'utente predefinito del sistema operativo (OS) all'avvio di una AWS Systems Manager Session Manager sessione. SSM Agentla versione 2.3.612.0 è stata rilasciata l'8 maggio 2019.

Se desideri impedire agli utenti Session Manager di eseguire comandi amministrativi su un nodo, puoi aggiornare le autorizzazioni dell'account ssm-user. Puoi anche ripristinare queste autorizzazioni dopo che sono state rimosse.

Argomenti

Gestione delle autorizzazioni sudo per l'account ssm-user su Linux e macOS
Gestione delle autorizzazioni di amministratore per l'account ssm-user su Windows Server

Gestione delle autorizzazioni sudo per l'account ssm-user su Linux e macOS

Utilizza una delle seguenti procedure per abilitare o disabilitare le autorizzazioni sudo per l'account ssm-user sui nodi gestiti Linux e macOS.

Utilizza Run Command per modificare le autorizzazioni sudo di ssm-user (console)

Utilizza la procedura descritta in Esecuzione di comandi dalla console con i seguenti valori:
- Per Documenti di comando, scegli AWS-RunShellScript.
- Per rimuovere l'accesso sudo, nell'area Parametri di comando, incolla quanto segue nella casella Comandi.
```
cd /etc/sudoers.d
echo "#User rules for ssm-user" > ssm-agent-users
```
  oppure
  
  Per ripristinare l'accesso sudo, nell'area Parametri di comando, incolla quanto segue nella casella Comandi.
```
cd /etc/sudoers.d 
echo "ssm-user ALL=(ALL) NOPASSWD:ALL" > ssm-agent-users
```

Utilizza la riga di comando per modificare le autorizzazioni sudo di ssm-user (AWS CLI)

Connettersi al nodo master ed eseguire il comando seguente.
```
sudo -s
```
Cambiare la directory di lavoro utilizzando il comando seguente.
```
cd /etc/sudoers.d
```
Aprire il file denominato ssm-agent-users per la modifica.
Per rimuovere l'accesso sudo, eliminare la riga seguente.
```
ssm-user ALL=(ALL) NOPASSWD:ALL
```
oppure

Per ripristinare l'accesso sudo, aggiungere la riga seguente.
```
ssm-user ALL=(ALL) NOPASSWD:ALL
```
Salvare il file.

Gestione delle autorizzazioni di amministratore per l'account ssm-user su Windows Server

Utilizza una delle seguenti procedure per abilitare o disabilitare le autorizzazioni di amministratore per l'account ssm-user sui nodi gestiti Windows Server:

Utilizza Run Command per modificare le autorizzazioni di amministratore (console)

Utilizza la procedura descritta in Esecuzione di comandi dalla console con i seguenti valori:

Per Documenti di comando, scegli AWS-RunPowerShellScript.

Per rimuovere l'accesso amministrativo, nell'area Parametri di comando, incolla quanto segue nella casella Comandi.
```
net localgroup "Administrators" "ssm-user" /delete
```
oppure

Per ripristinare l'accesso amministrativo, nell'area Parametri di comando, incolla quanto segue nella casella Comandi.
```
net localgroup "Administrators" "ssm-user" /add
```

Utilizza PowerShell o la finestra del prompt dei comandi per modificare le autorizzazioni di amministratore

Connettiti al nodo gestito e apri PowerShell o la finestra del prompt dei comandi.
Per rimuovere l'accesso amministrativo, eseguire il comando riportato di seguito.
```
net localgroup "Administrators" "ssm-user" /delete
```
oppure

Per ripristinare l'accesso amministrativo, eseguire il comando riportato di seguito.
```
net localgroup "Administrators" "ssm-user" /add
```

Utilizza la console Windows per modificare le autorizzazioni di amministratore

Connettiti al nodo gestito e apri PowerShell o la finestra del prompt dei comandi.
Dalla riga di comando, esegui lusrmgr.msc per aprire la console Utenti e gruppi locali.
Apri la directory Utenti, quindi apri ssm-user.
Nella scheda Membro di, esegui una delle seguenti operazioni:
- Per rimuovere l'accesso amministrativo, seleziona Amministratori, quindi scegli Rimuovi.
  
  oppure
  
  Per ripristinare l'accesso amministrativo, inserire Administrators nella casella di testo, quindi scegli Aggiungi.
Scegli OK.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Fase 6: (Facoltativo) Utilizzare AWS PrivateLink per configurare un endpoint VPC per Session Manager

Fase 8: (facoltativo) abilitazione e controllo delle autorizzazioni per le connessioni SSH tramite Session Manager