在托管式节点上重置密码 - Amazon Systems Manager
在托管式节点上重置密码排除在托管式节点上重置密码的问题
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在托管式节点上重置密码

您可以在托管式节点上重置任何用户的密码。这包括亚马逊弹性计算云 (Amazon EC2) 实例 Amazon IoT Greengrass ;核心设备;以及由管理的本地服务器、边缘设备和虚拟机 (VM)。 Amazon Systems Manager密码重置功能是在此基础上构建的Session Manager,该功能为 Amazon Systems Manager。您可以使用此功能连接到托管式节点,而无需打开入站端口、维护堡垒主机或管理 SSH 密钥。

当用户忘记密码或者您想快速更新密码而不与托管式节点建立 RDP 或 SSH 连接时,密码重置很有用。

先决条件

必须满足以下要求,才能在托管式节点上重置密码:

  • 要在其上更改密码的托管式节点必须是 Systems Manager 托管式节点。此外,必须在托管式节点上安装 SSM Agent 版本 2.3.668.0 或更高版本。有关安装或更新 SSM Agent 的信息,请参阅 使用 SSM Agent

  • 密码重置功能使用为您的账户设置的 Session Manager 配置连接到托管式节点。因此,必须已在当前 Amazon Web Services 区域中为您的账户完成使用 Session Manager 的先决条件。有关更多信息,请参阅 设置 Session Manager

    注意

    仅为高级实例套餐提供对本地节点的 Session Manager 支持。有关更多信息,请参阅 打开高级实例套餐

  • 更改密码的 Amazon 用户必须拥有托管节点的ssm:SendCommand权限。有关更多信息,请参阅 根据标签限制 Run Command 访问

限制访问

您可以限制用户重置特定托管式节点的密码的能力。通过将基于身份的策略与 AWS-PasswordReset SSM 文档结合起来用于 Session Manager ssm:StartSession 操作,可以实现这一目的。有关更多信息,请参阅控制用户会话对实例的访问权限

加密数据

启用 Amazon Key Management Service (Amazon KMS) 对Session Manager数据进行完全加密,即可使用托管节点的密码重置选项。有关更多信息,请参阅 启用会话数据的 KMS 密钥加密(控制台)

在托管式节点上重置密码

您可以使用 Systems Manager Fleet Manager控制台或 Amazon Command Line Interface (Amazon CLI) 在 Systems Manager 托管节点上重置密码。

在托管式节点(控制台)上更改密码

  1. 打开 Amazon Systems Manager 控制台,网址为 https://console.aws.amazon.com/systems-manager/

  2. 在导航窗格中,选择 Fleet Manager

    -或者-

    如果首先打开 Amazon Systems Manager 主页,请选择菜单图标 ( The menu icon ) 以打开导航窗格,然后在导航窗格Fleet Manager中进行选择。

  3. 选择需要新密码的节点旁边的按钮。

  4. 选择实例操作,重置密码

  5. 对于 User name (用户名),请输入您要更改其密码的用户的名称。这可以是任何在节点上具有账户的用户名。

  6. 选择提交

  7. 按照输入新密码命令窗口中的提示指定新密码。

    注意

    如果托管式节点上的 SSM Agent 版本不支持密码重置,系统将提示您使用 Amazon Systems Manager的功能 Run Command 安装受支持的版本。

在托管式节点 (Amazon CLI) 上重置密码

  1. 要在托管式节点上重置用户的密码,请运行以下命令。将每个示例资源占位符替换为您自己的信息。

    注意

    要使用重 Amazon CLI 置密码,必须将Session Manager插件安装在本地计算机上。有关信息,请参阅 安装Session Manager插件 Amazon CLI

    Linux & macOS
    aws ssm start-session \
    --target instance-id \
    --document-name "AWS-PasswordReset" \
    --parameters '{"username": ["user-name"]}'
    Windows
    aws ssm start-session ^
    --target instance-id ^
    --document-name "AWS-PasswordReset" ^
    --parameters username="user-name"

  2. 按照输入新密码命令窗口中的提示指定新密码。

排除在托管式节点上重置密码的问题

通过确保您已完成密码重置先决条件,可以解决许多密码重置问题。对于其他问题,请使用以下信息来帮助您解决密码重置问题。

托管式节点不可用

问题:您希望在 Managed instances(托管式实例)控制台页面上重置托管式节点的密码,但该节点不在列表中。

  • 解决方案:可能未为 Systems Manager 配置您要连接的托管式节点。要将 EC2 实例与 Systems Manager 配合使用,必须将授予系统管理员对您的实例执行操作的权限的 Amazon Identity and Access Management (IAM) 实例配置文件附加到该实例。有关信息,请参阅为 Systems Manager 配置实例权限

    要将非 EC2 计算机与 Systems Manager 结合使用,请创建一个 IAM 服务角色,该角色将向 Systems Manager 授予在您的托管式节点上执行操作的权限。有关更多信息,请参阅为混合环境创建 IAM 服务角色。(仅为高级实例套餐提供对本地服务器和 VM 的 Session Manager 支持。有关更多信息,请参阅 打开高级实例套餐。)

SSM Agent不是 up-to-date (控制台)

问题:一条消息报告 SSM Agent 的此版本不支持密码重置功能。

  • 解决方案:执行密码重置要求使用 SSM Agent 版本 2.3.668.0 或更高版本。在控制台中,您可以通过选择 Update SSM Agent(更新 )来更新托管式节点上的代理。

    如果有新功能添加至 Systems Manager 或者对现有功能进行了更新,则将发布 SSM Agent 的更新版本。不能使用代理的最新版本可能会阻止托管式节点使用各种 Systems Manager 功能和特性。因此,我们建议您自动完成确保机器上的 SSM Agent 为最新的过程。有关信息,请参阅 自动更新到 SSM Agent。订阅 “SSM Agent发行说明” 页面GitHub,获取有关SSM Agent更新的通知。

未提供密码重置选项 (Amazon CLI)

问题:您使用 Amazon CLI start-session命令成功连接到托管节点。您指定了 SSM 文档 AWS-PasswordReset 并提供了有效的用户名,但不显示更改密码的提示。

  • 解决方案:托管节点SSM Agent上的版本不是 up-to-date。需要版本 2.3.668.0 或更高版本才能执行密码重置。

    如果有新功能添加至 Systems Manager 或者对现有功能进行了更新,则将发布 SSM Agent 的更新版本。不能使用代理的最新版本可能会阻止托管式节点使用各种 Systems Manager 功能和特性。因此,我们建议您自动完成确保机器上的 SSM Agent 为最新的过程。有关信息,请参阅 自动更新到 SSM Agent。订阅 “SSM Agent发行说明” 页面GitHub,获取有关SSM Agent更新的通知。

未获授权,无法运行 ssm:SendCommand

问题:您尝试连接到托管式节点以更改密码,但收到错误消息,说明您未获授权在托管式节点上运行 ssm:SendCommand

Session Manager 错误消息

问题:您收到与 Session Manager 相关的错误消息。