Activation de la prise en charge de Run As pour les nœuds gérés Linux et macOS - AWS Systems Manager

AWS Systems ManagerChange Managern'est plus ouvert aux nouveaux clients. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez AWS Systems ManagerChange Managerla section Modification de la disponibilité.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activation de la prise en charge de Run As pour les nœuds gérés Linux et macOS

Par défaut, Session Manager authentifie les connexions lancées à l'aide des informations d'identification d'un compte ssm-user généré par le système qui est créé sur un nœud géré. (Sur les machines Linux et macOS, le compte est ajouté à /etc/sudoers/.) Si vous préférez, vous pouvez authentifier les sessions à l’aide des informations d’identification d’un compte utilisateur de système d’exploitation (OS) ou d’un utilisateur de domaine pour les instances jointes à un Active Directory. Dans ce cas, le Gestionnaire de session vérifie que le compte de système d’exploitation (OS) que vous avez spécifié existe sur le nœud, ou dans le domaine, avant de démarrer la session. Si vous essayez de démarrer une session à l’aide d’un compte OS qui n’existe pas sur le nœud ou dans le domaine, la connexion échoue.

Note

Le gestionnaire de session ne prend pas en charge l'utilisation d'un compte utilisateur root de système d'exploitation pour authentifier les connexions. Pour les sessions authentifiées à l'aide d'un compte utilisateur de système d'exploitation, les politiques au niveau du système d'exploitation et de répertoire du nœud, telles que les restrictions de connexion ou les restrictions d'utilisation des ressources système, peuvent ne pas s'appliquer.

Fonctionnement

Si vous activez la prise en charge de Run As pour les sessions, le système vérifie les autorisations d'accès comme suit :

  1. Pour l'utilisateur qui démarre la session, son entité IAM (utilisateur ou rôle) a-t-elle été balisée avec SSMSessionRunAs = os user account name ?

    Si oui, le nom d'utilisateur de système d'exploitation (SE) existe-t-il sur le nœud géré ? Si c'est le cas, démarrer la session. Si ce n'est pas le cas, ne pas autoriser une session à démarrer.

    Si l'entité IAM n'a pas été balisée avec SSMSessionRunAs = os user account name, passez à l'étape 2.

  2. Si l'entité IAM n'a pas été balisée avec SSMSessionRunAs = os user account name, un nom d'utilisateur de système d'exploitation (SE) a-t-il été spécifié dans les préférences Session Manager du Compte AWS ?

    Si oui, le nom d'utilisateur de système d'exploitation (SE) existe-t-il sur le nœud géré ? Si c'est le cas, démarrer la session. Si ce n'est pas le cas, ne pas autoriser une session à démarrer.

Note

Lorsque vous activez la prise en charge de l'exécution en tant que, cela empêche le Gestionnaire de session de démarrer des sessions à l'aide du compte ssm-user sur un nœud géré. Cela signifie que si Session Manager ne réussit pas la connexion à l'aide du compte utilisateur du système d'exploitation spécifié, il ne reviendra pas à la connexion à l'aide de la méthode par défaut.

Si vous activez l'exécution en tant que sans spécifier de compte de système d'exploitation (SE) ni baliser une entité IAM et que vous n'avez pas spécifié de compte de système d'exploitation (SE) dans les préférences du Gestionnaire de session, les tentatives de connexion à la session échoueront.

Pour activer Exécuter en tant que support pour les nœuds gérés Linux et macOS

  1. Ouvrez la console AWS Systems Manager à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, sélectionnez Session Manager.

  3. Sélectionnez l'onglet Préférences, puis Modifier.

  4. Cochez la case en regard de Activer Exécuter en tant que support des instances Linux.

  5. Effectuez l’une des actions suivantes :

    • Option 1 : dans le champ Nom d'utilisateur de système d'exploitation, saisissez le nom du compte utilisateur de système d'exploitation (SE) que vous souhaitez utiliser pour démarrer les sessions. À l'aide de cette option, toutes les sessions sont exécutées par le même utilisateur de système d'exploitation (SE) pour tous les utilisateurs de votre Compte AWS qui se connectent à l'aide de Session Manager.

    • Option 2 (Recommandé) : choisir le lien Ouvrir la console IAM. Dans le panneau de navigation, sélectionnez Users (Utilisateurs) ou Roles (Rôles). Sélectionnez l'entité (utilisateur ou rôle) à laquelle ajouter des balises, puis sélectionnez l'onglet Tags (Balises). Entrez SSMSessionRunAs pour le nom de la clé. Saisissez le nom d'un compte utilisateur de système d'exploitation (SE) pour la valeur de la clé. Sélectionnez Enregistrer les modifications.

      Avec cette option, vous pouvez spécifier des utilisateurs de système d'exploitation (SE) uniques pour différentes entités IAM si vous le souhaitez. Pour plus d’informations sur le balisage des entités IAM (utilisateurs ou rôles), consultez la section Balisage des ressources IAM dans le Guide de l’utilisateur IAM.

      Voici un exemple.

      Capture d'écran de la spécification de balises pour l'autorisation Exécuter en tant que de Session Manager.

  6. Choisissez Enregistrer.