• Amazon Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息，请参阅 [Amazon CloudWatch 控制面板文档](https://docs.amazonaws.cn/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。

# 在托管式节点上重置密码
<a name="fleet-manager-reset-password"></a>

您可以在托管式节点上重置任何用户的密码。这包括 Amazon Elastic Compute Cloud (Amazon EC2) 实例；Amazon IoT Greengrass 核心设备；以及由 Amazon Systems Manager 管理的本地服务器、边缘设备和虚拟机 (VM)。密码重置功能构建于Session Manager（Amazon Systems Manager 中的一项工具）的基础之上。您可以使用此功能连接到托管式节点，而无需打开入站端口、维护堡垒主机或管理 SSH 密钥。

当用户忘记密码或者您想快速更新密码而不与托管式节点建立 RDP 或 SSH 连接时，密码重置很有用。

**先决条件**  
必须满足以下要求，才能在托管式节点上重置密码：
+ 要在其上更改密码的托管式节点必须是 Systems Manager 托管式节点。此外，必须在托管式节点上安装 SSM Agent 版本 2.3.668.0 或更高版本。有关安装或更新 SSM Agent 的信息，请参阅 [使用 SSM Agent](ssm-agent.md)。
+ 密码重置功能使用为您的账户设置的 Session Manager 配置连接到托管式节点。因此，必须已在当前 Amazon Web Services 区域中为您的账户完成使用 Session Manager 的先决条件。有关更多信息，请参阅 [设置 Session Manager](session-manager-getting-started.md)。
**注意**  
仅为高级实例套餐提供对本地节点的 Session Manager 支持。有关更多信息，请参阅 [打开高级实例套餐](fleet-manager-enable-advanced-instances-tier.md)。
+ 更改密码的 Amazon 用户必须对托管式节点具有 `ssm:SendCommand` 权限。有关更多信息，请参阅 [根据标签限制 Run Command 访问](run-command-setting-up.md#tag-based-access)。

**限制访问**  
您可以限制用户重置特定托管式节点的密码的能力。通过将基于身份的策略与 `AWS-PasswordReset` SSM 文档结合起来用于 Session Manager `ssm:StartSession` 操作，可以实现这一目的。有关更多信息，请参阅[控制用户会话对实例的访问权限](session-manager-getting-started-restrict-access.md)。

**加密数据**  
可为 Session Manager 数据打开 Amazon Key Management Service (Amazon KMS) 完全加密，以将密码重置选项用于托管式节点。有关更多信息，请参阅 [启用会话数据的 KMS 密钥加密（控制台）](session-preferences-enable-encryption.md)。

## 在托管式节点上重置密码
<a name="managed-instance-reset-a-password"></a>

您可以使用 Systems Manager **Fleet Manager** 控制台或 Amazon Command Line Interface (Amazon CLI)，在 Systems Manager 托管式节点上重置密码。

**在托管式节点（控制台）上更改密码**

1. 访问 [https://console.aws.amazon.com/systems-manager/](https://console.amazonaws.cn/systems-manager/)，打开 Amazon Systems Manager 控制台。

1. 在导航窗格中，请选择 **Fleet Manager**。

1. 选择需要新密码的节点旁边的按钮。

1. 选择**实例操作，重置密码**。

1. 对于 **User name (用户名)**，请输入您要更改其密码的用户的名称。这可以是任何在节点上具有账户的用户名。

1. 选择**提交**。

1. 按照**输入新密码**命令窗口中的提示指定新密码。
**注意**  
如果托管式节点上的 SSM Agent 版本不支持密码重置，系统将提示您使用 Run Command（Amazon Systems Manager 中的一项工具）安装受支持的版本。

**在托管式节点 (Amazon CLI) 上重置密码**

1. 要在托管式节点上重置用户的密码，请运行以下命令。将每个*示例资源占位符*替换为您自己的信息。
**注意**  
要使用 Amazon CLI 重置密码，Session Manager 插件必须已安装到您的本地计算机上。有关信息，请参阅[为 Amazon CLI 安装 Session Manager 插件](session-manager-working-with-install-plugin.md)。

------
#### [ Linux & macOS ]

   ```
   aws ssm start-session \
       --target instance-id \
       --document-name "AWS-PasswordReset" \
       --parameters '{"username": ["user-name"]}'
   ```

------
#### [ Windows ]

   ```
   aws ssm start-session ^
       --target instance-id ^
       --document-name "AWS-PasswordReset" ^
       --parameters username="user-name"
   ```

------

1. 按照**输入新密码**命令窗口中的提示指定新密码。

## 排除在托管式节点上重置密码的问题
<a name="password-reset-troubleshooting"></a>

通过确保您已完成[密码重置先决条件](#pw-reset-prereqs)，可以解决许多密码重置问题。对于其他问题，请使用以下信息来帮助您解决密码重置问题。

**Topics**
+ [托管式节点不可用](#password-reset-troubleshooting-instances)
+ [SSM Agent 不是最新版本（控制台）](#password-reset-troubleshooting-ssmagent-console)
+ [未提供密码重置选项 (Amazon CLI)](#password-reset-troubleshooting-ssmagent-cli)
+ [未获授权，无法运行 `ssm:SendCommand`](#password-reset-troubleshooting-sendcommand)
+ [Session Manager 错误消息](#password-reset-troubleshooting-session-manager)

### 托管式节点不可用
<a name="password-reset-troubleshooting-instances"></a>

**问题**：您希望在 **Managed instances**（托管式实例）控制台页面上重置托管式节点的密码，但该节点不在列表中。
+ **解决方案**：可能未为 Systems Manager 配置您要连接的托管式节点。要将 Amazon EC2 实例与 Systems Manager 结合使用，必须将 Amazon Identity and Access Management (IAM) 实例配置文件附加到该实例，该配置文件将向 Systems Manager 授予在您的实例上执行操作的权限。有关信息，请参阅[配置 Systems Manager 所需的实例权限](setup-instance-permissions.md)。

  要将非 EC2 计算机与 Systems Manager 结合使用，请创建一个 IAM 服务角色，该角色将向 Systems Manager 授予在您的托管式节点上执行操作的权限。有关更多信息，请参阅[在混合和多云环境中创建 Systems Manager 所需的 IAM 服务角色](hybrid-multicloud-service-role.md)。（仅为高级实例套餐提供对本地服务器和 VM 的 Session Manager 支持。有关更多信息，请参阅 [打开高级实例套餐](fleet-manager-enable-advanced-instances-tier.md)。）

### SSM Agent 不是最新版本（控制台）
<a name="password-reset-troubleshooting-ssmagent-console"></a>

**问题**：一条消息报告 SSM Agent 的此版本不支持密码重置功能。
+ **解决方案**：执行密码重置要求使用 SSM Agent 版本 2.3.668.0 或更高版本。在控制台中，您可以通过选择 **Update SSM Agent**（更新 ）来更新托管式节点上的代理。

  如果有新工具添加至 Systems Manager 或者对现有工具进行了更新，则将发布 SSM Agent 的更新版本。无法使用代理的最新版本可能会阻止托管式节点使用 Systems Manager 的各项工具和功能。因此，我们建议您自动完成确保机器上的 SSM Agent 为最新的过程。有关更多信息，请参阅 [自动更新到 SSM Agent](ssm-agent-automatic-updates.md)。要获得有关 SSM Agent 更新的通知，请在 GitHub 上订阅 [SSM Agent 发布说明](https://github.com/aws/amazon-ssm-agent/blob/mainline/RELEASENOTES.md)页面。

### 未提供密码重置选项 (Amazon CLI)
<a name="password-reset-troubleshooting-ssmagent-cli"></a>

**问题**：您使用 Amazon CLI `[https://docs.amazonaws.cn/cli/latest/reference/ssm/start-session.html](https://docs.amazonaws.cn/cli/latest/reference/ssm/start-session.html)` 命令成功连接到托管式节点。您指定了 SSM 文档 `AWS-PasswordReset` 并提供了有效的用户名，但不显示更改密码的提示。
+ **解决方案**：托管式节点上的 SSM Agent 版本不是最新版本。需要版本 2.3.668.0 或更高版本才能执行密码重置。

  如果有新工具添加至 Systems Manager 或者对现有工具进行了更新，则将发布 SSM Agent 的更新版本。无法使用代理的最新版本可能会阻止托管式节点使用 Systems Manager 的各项工具和功能。因此，我们建议您自动完成确保机器上的 SSM Agent 为最新的过程。有关更多信息，请参阅 [自动更新到 SSM Agent](ssm-agent-automatic-updates.md)。要获得有关 SSM Agent 更新的通知，请在 GitHub 上订阅 [SSM Agent 发布说明](https://github.com/aws/amazon-ssm-agent/blob/mainline/RELEASENOTES.md)页面。

### 未获授权，无法运行 `ssm:SendCommand`
<a name="password-reset-troubleshooting-sendcommand"></a>

**问题**：您尝试连接到托管式节点以更改密码，但收到错误消息，说明您未获授权在托管式节点上运行 `ssm:SendCommand`。
+ **解决方案**：您的 IAM policy 必须包括运行 `ssm:SendCommand` 命令的权限。有关信息，请参阅[根据标签限制 Run Command 访问](run-command-setting-up.md#tag-based-access)。

### Session Manager 错误消息
<a name="password-reset-troubleshooting-session-manager"></a>

**问题**：您收到与 Session Manager 相关的错误消息。
+ **解决方案**：密码重置要求正确地配置 Session Manager。有关更多信息，请参阅 [设置 Session Manager](session-manager-getting-started.md) 和 [排除 Session Manager 问题](session-manager-troubleshooting.md)。