• El panel de AWS Systems Manager CloudWatch dejará de estar disponible después del 30 de abril de 2026. Los clientes pueden seguir utilizando la consola de Amazon CloudWatch para ver, crear y administrar sus paneles de Amazon CloudWatch, tal y como lo hacen actualmente. Para obtener más información, consulte la [documentación del panel de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

# Paso 7: (Opcional) Activar o desactivar los permisos administrativos de la cuenta ssm-user
<a name="session-manager-getting-started-ssm-user-permissions"></a>

A partir de la versión 2.3.50.0 de AWS Systems Manager SSM Agent, el agente crea una cuenta de usuario local llamada `ssm-user` y la agrega a `/etc/sudoers` (Linux y macOS) o al grupo de administradores (Windows). En las versiones anteriores a la 2.3.612.0 del agente, la cuenta se crea la primera vez que SSM Agent se inicia o reinicia después de la instalación. En la versión 2.3.612.0 y posteriores, la cuenta `ssm-user` se crea la primera vez que se inicia una sesión en un nodo. Este `ssm-user` es el usuario predeterminado del sistema operativo (SO) cuando se inicia una sesión de AWS Systems Manager Session Manager. La versión 2.3.612.0 de SSM Agent se lanzó el 8 de mayo de 2019.

Si desea impedir que los usuarios de Session Manager ejecuten comandos administrativos en un nodo, puede actualizar los permisos de las cuentas `ssm-user`. También puede restaurar estos permisos después de que se hayan eliminado.

**Topics**
+ [Administración de permisos de cuentas ssm-user sudo en Linux y macOS](#ssm-user-permissions-linux)
+ [Administración de los permisos de las cuentas de administrador ssm-user en Windows Server](#ssm-user-permissions-windows)

## Administración de permisos de cuentas ssm-user sudo en Linux y macOS
<a name="ssm-user-permissions-linux"></a>

Utilice uno de los siguientes procedimientos para activar o desactivar los permisos sudo de las cuentas ssm-user en nodos administrados de Linux y macOS.

**Use Run Command para modificar permisos sudo de ssm-user (consola)**
+ Utilice el procedimiento en [Ejecución de comandos desde la consola](running-commands-console.md) con los siguientes valores:
  + En **Command document (Documento Command)**, elija `AWS-RunShellScript`.
  + Para eliminar el acceso sudo, en el área **Command parameters** (Parámetros de comandos), pegue lo siguiente en el cuadro **Commands** (Comandos).

    ```
    cd /etc/sudoers.d
    echo "#User rules for ssm-user" > ssm-agent-users
    ```

    -o bien-

    Para restaurar el acceso sudo, en el área **Command parameters** (Parámetros de comandos), pegue lo siguiente en el cuadro **Commands** (Comandos).

    ```
    cd /etc/sudoers.d 
    echo "ssm-user ALL=(ALL) NOPASSWD:ALL" > ssm-agent-users
    ```

**Uso de la línea de comandos para modificar permisos sudo de ssm-user (AWS CLI)**

1. Conéctese al nodo administrado y ejecute el siguiente comando.

   ```
   sudo -s
   ```

1. Cambie el directorio de trabajo con el siguiente comando.

   ```
   cd /etc/sudoers.d
   ```

1. Abra el archivo con el nombre `ssm-agent-users` para editarlo.

1. Para eliminar el acceso sudo, elimine la siguiente línea.

   ```
   ssm-user ALL=(ALL) NOPASSWD:ALL
   ```

   -o bien-

   Para restaurar el acceso sudo, agregue la siguiente línea.

   ```
   ssm-user ALL=(ALL) NOPASSWD:ALL
   ```

1. Guarde el archivo.

## Administración de los permisos de las cuentas de administrador ssm-user en Windows Server
<a name="ssm-user-permissions-windows"></a>

Utilice uno de los siguientes procedimientos para activar o desactivar los permisos de administrador de las cuentas ssm-user en los nodos administrados de Windows Server.

**Uso de Run Command para modificar los permisos de administrador (consola)**
+ Utilice el procedimiento en [Ejecución de comandos desde la consola](running-commands-console.md) con los siguientes valores:

  En **Command document (Documento Command)**, elija `AWS-RunPowerShellScript`.

  Para eliminar el acceso administrativo, en el área **Command parameters** (Parámetros de comandos), pegue lo siguiente en el cuadro **Commands** (Comandos).

  ```
  net localgroup "Administrators" "ssm-user" /delete
  ```

  -o bien-

  Para restaurar el acceso administrativo, en el área **Command parameters** (Parámetros de comandos), pegue lo siguiente en el cuadro **Commands** (Comandos).

  ```
  net localgroup "Administrators" "ssm-user" /add
  ```

**Uso de la ventana de PowerShell o del símbolo del sistema para modificar los permisos de administrador**

1. Conéctese al nodo administrado y abra la ventana de PowerShell o del símbolo del sistema.

1. Para eliminar el acceso administrativo, ejecute el siguiente comando.

   ```
   net localgroup "Administrators" "ssm-user" /delete
   ```

   -o bien-

   Para restaurar el acceso administrativo, ejecute el siguiente comando.

   ```
   net localgroup "Administrators" "ssm-user" /add
   ```

**Uso de la consola de Windows para modificar los permisos de administrador**

1. Conéctese al nodo administrado y abra la ventana de PowerShell o del símbolo del sistema.

1. En la línea de comandos, ejecute `lusrmgr.msc` para abrir la consola **Local Users and Groups (Grupos y usuarios locales)**.

1. Abra el directorio **Usuarios** y, a continuación, **ssm-user**.

1. En la pestaña **Member Of (Miembro de)**, realice una de las siguientes acciones:
   + Para eliminar el acceso administrativo, seleccione **Administradores** y, a continuación, seleccione **Quitar**.

     -o bien-

     Para restaurar el acceso administrativo, ingrese **Administrators** en el cuadro de texto y, a continuación, elija **Add** (Agregar).

1. Seleccione **Aceptar**.