步骤 7:(可选)禁用或启用 ssm-user 账户管理权限 - Amazon Web Services Systems Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

步骤 7:(可选)禁用或启用 ssm-user 账户管理权限

从的 2.3.50.0 版开始Amazon Web Services Systems ManagerSSM 代理时,代理会创建一个名为ssm-user并将其添加到/etc/sudoers(Linux 和macOS)或管理员组(Windows)。在 2.3.612.0 之前的代理版本上,账户是在 SSM 代理在安装后首次启动或重启时创建的。在版本 2.3.612.0 及更高版本上,ssm-user 账户将在会话在实例上首次启动时创建。该ssm-user是默认操作系统 (OS) 用户,当Amazon Web Services Systems Manager会话管理器会话已启动。

如果要阻止 Session Manager 用户在实例上运行管理命令,可以更新ssm-user账户权限。这些权限在删除后还可以恢复。

在 Linux 上管理 ssm-user sudo 账户权限macOS

使用以下过程之一在 Linux 和上禁用或启用 ssm-user 账户 sudo 权限。macOS实例:

使用 Run 命令修改 ssm-user sudo 权限(控制台)

  • 从控制台运行命令中的过程中使用以下值:

    • 对于 Command document (命令文档),选择 AWS-RunShellScript

    • 要删除 sudo 访问权限,请在Command parameters区域中,将以下内容粘贴到命令

      cd /etc/sudoers.d echo "#User rules for ssm-user" > ssm-agent-users

      -或者-

      要恢复 sudo 访问权限,请在Command parameters区域中,将以下内容粘贴到命令

      cd /etc/sudoers.d echo "ssm-user ALL=(ALL) NOPASSWD:ALL" > ssm-agent-users

使用命令行修改 ssm-user sudo 权限 (AmazonCLI)

  1. Connect 到实例并运行以下命令。

    sudo -s
  2. 使用以下命令更改工作目录。

    cd /etc/sudoers.d
  3. 打开名为 ssm-agent-users 的文件进行编辑。

  4. 要删除 sudo 访问权限,请删除以下行。

    ssm-user ALL=(ALL) NOPASSWD:ALL

    -或者-

    要恢复 sudo 访问权限,请添加以下行。

    ssm-user ALL=(ALL) NOPASSWD:ALL
  5. 保存文件。

在管理 ssm-user 管理员账户权限Windows Server

使用以下过程之一在上禁用或启用 ssm-user 账户管理员权限Windows Server实例。

使用 Run Command 修改管理员权限(控制台)

  • 从控制台运行命令中的过程中使用以下值:

    对于 Command document (命令文档),选择 AWS-RunPowerShellScript

    要删除管理访问权限,请在Command parameters区域中,将以下内容粘贴到命令

    net localgroup "Administrators" "ssm-user" /delete

    -或者-

    要恢复管理访问权限,请在Command parameters区域中,将以下内容粘贴到命令

    net localgroup "Administrators" "ssm-user" /add

使用 PowerShell 或命令提示符窗口修改管理员权限

  1. 连接到实例并打开 PowerShell 或命令提示符窗口。

  2. 要删除管理访问权限,请运行以下命令。

    net localgroup "Administrators" "ssm-user" /delete

    -或者-

    要恢复管理访问权限,请运行以下命令。

    net localgroup "Administrators" "ssm-user" /add

使用 Windows 控制台修改管理员权限

  1. 连接到实例并打开 PowerShell 或命令提示符窗口。

  2. 在命令行中,运行 lusrmgr.msc 打开本地用户和组控制台。

  3. 打开用户目录,然后打开 ssm-user

  4. Member Of (属于) 选项卡上,执行以下操作之一:

    • 要删除管理员权限,请选择 Administrators,然后选择删除

      -或者-

      要恢复管理访问权限,请输入Administrators在文本框中,然后选择Add

  5. 选择 OK (确定)