Fase 7 (facoltativo): abilitazione o disabilitazione delle autorizzazioni amministrative dell'account ssm-account - AWS Systems Manager
Gestione delle autorizzazioni sudo per l'account ssm-user su Linux e macOSGestione delle autorizzazioni di amministratore per l'account ssm-user su Windows Server

AWS Systems ManagerChange Managernon è più aperto a nuovi clienti. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta AWS Systems ManagerChange Managerla pagina Modifica della disponibilità.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Fase 7 (facoltativo): abilitazione o disabilitazione delle autorizzazioni amministrative dell'account ssm-account

A partire dalla versione 2.3.50.0 di AWS Systems Manager SSM Agent, l'agente crea un account utente locale denominato ssm-user e lo aggiunge a /etc/sudoers (Linux e macOS) o al gruppo di amministratori (Windows). Nelle versioni dell'agente precedenti alla 2.3.612.0, l'account viene creato la prima volta che SSM Agent viene avviato o riavviato dopo l'installazione. Nella versione 2.3.612.0 e successive, l'account ssm-user viene creato la prima volta che una sessione viene avviata su un nodo. Questo ssm-user è l'utente di default del sistema operativo (OS) quando inizia una sessione AWS Systems Manager Session Manager. La versione SSM Agent 2.3.612.0 è stata rilasciata l'8 maggio 2019.

Se desideri impedire agli utenti Session Manager di eseguire comandi amministrativi su un nodo, puoi aggiornare le autorizzazioni dell'account ssm-user. Puoi anche ripristinare queste autorizzazioni dopo che sono state rimosse.

Gestione delle autorizzazioni sudo per l'account ssm-user su Linux e macOS

Utilizza una delle seguenti procedure per abilitare o disabilitare le autorizzazioni sudo per l'account ssm-user sui nodi gestiti Linux e macOS.

Utilizza Run Command per modificare le autorizzazioni sudo di ssm-user (console)

  • Utilizza la procedura descritta in Esecuzione di comandi dalla console con i seguenti valori:

    • Per Command document (Documento comando), scegliere AWS-RunShellScript.

    • Per rimuovere l'accesso sudo, nell'area Command parameters (Parametri di comando), incollare quanto segue nella casella Commands (Comandi).

      cd /etc/sudoers.d
echo "#User rules for ssm-user" > ssm-agent-users

      oppure

      Per ripristinare l'accesso sudo, nell'area Command parameters (Parametri di comando), incollare quanto segue nella casella Commands (Comandi).

      cd /etc/sudoers.d 
echo "ssm-user ALL=(ALL) NOPASSWD:ALL" > ssm-agent-users
Utilizza la riga di comando per modificare le autorizzazioni sudo di ssm-user (AWS CLI)

  1. Connettersi al nodo master ed eseguire il comando seguente.

    sudo -s

  2. Cambiare la directory di lavoro utilizzando il comando seguente.

    cd /etc/sudoers.d

  3. Aprire il file denominato ssm-agent-users per la modifica.

  4. Per rimuovere l'accesso sudo, eliminare la riga seguente.

    ssm-user ALL=(ALL) NOPASSWD:ALL

    oppure

    Per ripristinare l'accesso sudo, aggiungere la riga seguente.

    ssm-user ALL=(ALL) NOPASSWD:ALL

  5. Salvare il file.

Gestione delle autorizzazioni di amministratore per l'account ssm-user su Windows Server

Utilizza una delle seguenti procedure per abilitare o disabilitare le autorizzazioni di amministratore per l'account ssm-user sui nodi gestiti Windows Server:

Utilizza Run Command per modificare le autorizzazioni di amministratore (console)

  • Utilizza la procedura descritta in Esecuzione di comandi dalla console con i seguenti valori:

    Per Command document (Documento comando), scegliere AWS-RunPowerShellScript.

    Per rimuovere l'accesso amministrativo, nell'area Command parameters (Parametri di comando), incollare quanto segue nella casella Commands (Comandi).

    net localgroup "Administrators" "ssm-user" /delete

    oppure

    Per ripristinare l'accesso amministrativo, nell'area Command parameters (Parametri di comando), incollare quanto segue nella casella Commands (Comandi).

    net localgroup "Administrators" "ssm-user" /add
Utilizza PowerShell o la finestra del prompt dei comandi per modificare le autorizzazioni di amministratore

  1. Connettiti al nodo gestito e apri PowerShell o la finestra del prompt dei comandi.

  2. Per rimuovere l'accesso amministrativo, eseguire il comando riportato di seguito.

    net localgroup "Administrators" "ssm-user" /delete

    oppure

    Per ripristinare l'accesso amministrativo, eseguire il comando riportato di seguito.

    net localgroup "Administrators" "ssm-user" /add
Utilizza la console Windows per modificare le autorizzazioni di amministratore

  1. Connettiti al nodo gestito e apri PowerShell o la finestra del prompt dei comandi.

  2. Dalla riga di comando, eseguire lusrmgr.msc per aprire la console Local Users and Groups (Utenti e gruppi locali).

  3. Aprire la directory Users (Utenti), quindi aprire ssm-user.

  4. Nella scheda Member Of (Membro di), effettuare una delle seguenti operazioni:

    • Per rimuovere l'accesso amministrativo, selezionare Administrators (Amministratori), quindi scegliere Remove (Rimuovi).

      oppure

      Per ripristinare l'accesso amministrativo, inserire Administrators nella casella di testo, quindi scegliere Add (Aggiungi).

  5. Scegli OK.