步骤 7:(可选)开启或关闭 ssm-user 账户管理权限 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

步骤 7:(可选)开启或关闭 ssm-user 账户管理权限

从 Amazon Systems Manager SSM Agent 版本 2.3.50.0 开始,此代理会创建一个名为 ssm-user 的本地用户账户,并将其添加到 /etc/sudoers(Linux 和 macOS)或管理员组 (Windows)。在 2.3.612.0 之前的代理版本上,账户会在 SSM Agent 安装后首次启动或重启时创建。在版本 2.3.612.0 及更高版本上,会话在节点上首次启动时会创建 ssm-user 账户。当 Amazon Systems Manager Session Manager 会话启动时,此 ssm-user 为默认操作系统 (OS) 用户。SSM Agent 版本 2.3.612.0 于 2019 年 5 月 8 日发布。

如果要阻止 Session Manager 用户在节点上运行管理命令,可以更新 ssm-user 账户权限。这些权限在删除后还可以恢复。

在 Linux 和 macOS 上管理 ssm-user sudo 账户权限

使用以下过程之一在 Linux 和 macOS 托管式节点上启用或禁用 ssm-user 账户 sudo 权限。

使用 Run Command 修改 ssm-user sudo 权限(控制台)

  • 从控制台运行命令中的过程中使用以下值:

    • 对于 Command document (命令文档),选择 AWS-RunShellScript

    • 要删除 sudo 访问权限,请在 Command parameters (命令参数) 区域中,将以下内容粘贴到 Commands (命令) 框中:

      cd /etc/sudoers.d echo "#User rules for ssm-user" > ssm-agent-users

      -或者-

      要恢复 sudo 访问权限,请在 Command parameters (命令参数) 区域中,将以下内容粘贴到 Commands (命令) 框中:

      cd /etc/sudoers.d echo "ssm-user ALL=(ALL) NOPASSWD:ALL" > ssm-agent-users

使用命令行修改 ssm-user sudo 权限 (Amazon CLI)

  1. 连接到托管式节点并运行以下命令。

    sudo -s
  2. 使用以下命令更改工作目录。

    cd /etc/sudoers.d
  3. 打开名为 ssm-agent-users 的文件进行编辑。

  4. 要删除 sudo 访问权限,请删除以下行。

    ssm-user ALL=(ALL) NOPASSWD:ALL

    -或者-

    要恢复 sudo 访问权限,请添加以下行。

    ssm-user ALL=(ALL) NOPASSWD:ALL
  5. 保存该文件。

在 Windows Server 上管理 ssm-user 管理员账户权限

使用以下过程之一在 Windows Server 托管式节点上开启或关闭 ssm-user 账户管理员权限。

使用 Run Command 修改管理员权限(控制台)

  • 从控制台运行命令中的过程中使用以下值:

    对于 Command document (命令文档),选择 AWS-RunPowerShellScript

    要删除管理访问权限,请在 Command parameters (命令参数) 区域中,将以下内容粘贴到 Commands (命令) 框中:

    net localgroup "Administrators" "ssm-user" /delete

    -或者-

    要恢复管理访问权限,请在 Command parameters (命令参数) 区域中,将以下内容粘贴到 Commands (命令) 框中:

    net localgroup "Administrators" "ssm-user" /add

使用 PowerShell 或命令提示符窗口修改管理员权限

  1. 连接到托管式节点并打开 PowerShell 或命令提示符窗口。

  2. 要删除管理访问权限,请运行以下命令。

    net localgroup "Administrators" "ssm-user" /delete

    -或者-

    要恢复管理访问权限,请运行以下命令。

    net localgroup "Administrators" "ssm-user" /add

使用 Windows 控制台修改管理员权限

  1. 连接到托管式节点并打开 PowerShell 或命令提示符窗口。

  2. 在命令行中,运行 lusrmgr.msc 打开本地用户和组控制台。

  3. 打开用户目录,然后打开 ssm-user

  4. Member Of (属于) 选项卡上,执行以下操作之一:

    • 要删除管理员权限,请选择 Administrators,然后选择删除

      -或者-

      要恢复管理访问权限,请在文本框中输入 Administrators,然后选择 Add (添加)

  5. 选择 OK(确定)。