• AWS Systems Manager CloudWatch ダッシュボードは、2026 年 4 月 30 日以降は利用できなくなります。お客様は、これまでと同様に Amazon CloudWatch コンソールを使用して、Amazon CloudWatch ダッシュボードの表示、作成、管理を継続できます。詳細については、「[Amazon CloudWatch ダッシュボードのドキュメント](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)」を参照してください。
# ステップ 7: (オプション) ssm-user アカウントの管理アクセス許可を有効または無効にする
AWS Systems Manager SSM Agent のバージョン 2.3.50.0 以降では、エージェントは `ssm-user` という名前のローカルユーザーアカウントを作成し、`/etc/sudoers` (Linux および macOS) または管理者グループ (Windows) に追加します。2.3.612.0 より前のエージェントバージョンでは、アカウントはインストール後に SSM Agent が最初に起動または再起動するときに作成されます。バージョン 2.3.612.0 以降の場合、`ssm-user` アカウントはノード上でセッションが最初に開始されたときに作成されます。この `ssm-user` は、AWS Systems Manager Session Manager セッションが開始された時のデフォルトオペレーティングシステム (OS) ユーザーです。SSM Agent のバージョン 2.3.612.0 は 2019 年 5 月 8 日にリリースされました。
Session Manager ユーザーがノード上で管理コマンドを実行できないようにする場合、`ssm-user` アカウントの許可を更新できます。これらのアクセス許可は、削除した後で復元することもできます。
**Topics**
+ [Linux と macOS で ssm-user sudo アカウントの許可を管理する](#ssm-user-permissions-linux)
+ [Windows Server で ssm-user の管理者アカウントのアクセス許可を管理する](#ssm-user-permissions-windows)
## Linux と macOS で ssm-user sudo アカウントの許可を管理する
Linux と macOS のマネージドノードで ssm-user アカウントの sudo 許可を有効または無効にする場合、以下のいずれかの手順を実行します。
**Run Command を使用して ssm-user sudo のアクセス許可を変更する (コンソール)**
+ [コンソールからコマンドを実行する](running-commands-console.md) の手順を次の値で使用します。
+ [**Command document**] (コマンドのドキュメント) で、`AWS-RunShellScript` を選択します。
+ sudo アクセスを削除するには、[**Command parameters (コマンドのパラメータ)**] 領域で、[**コマンド**] ボックスに以下を貼り付けます。
```
cd /etc/sudoers.d
echo "#User rules for ssm-user" > ssm-agent-users
```
-または-
sudo アクセスを復元するには、[**Command parameters (コマンドのパラメータ)**] 領域で、[**コマンド**] ボックスに以下を貼り付けます。
```
cd /etc/sudoers.d
echo "ssm-user ALL=(ALL) NOPASSWD:ALL" > ssm-agent-users
```
**コマンドラインを使用して ssm-user sudo のアクセス許可を変更する (AWS CLI)**
1. マネージドノードに接続して以下のコマンドを実行します。
```
sudo -s
```
1. 次のコマンドを使用して、作業ディレクトリを変更します。
```
cd /etc/sudoers.d
```
1. 編集する `ssm-agent-users` という名前のファイルを開きます。
1. sudo アクセスを削除するには、次の行を削除します。
```
ssm-user ALL=(ALL) NOPASSWD:ALL
```
-または-
sudo アクセスを復元するには、次の行を追加します。
```
ssm-user ALL=(ALL) NOPASSWD:ALL
```
1. ファイルを保存します。
## Windows Server で ssm-user の管理者アカウントのアクセス許可を管理する
Windows Server のマネージドノードで ssm-user アカウントの 管理者 許可を有効または無効にする場合、以下のいずれかの手順を実行します。
**Run Command を使用して管理者権限を変更する (コンソール)**
+ [コンソールからコマンドを実行する](running-commands-console.md) の手順を次の値で使用します。
[**Command document**] (コマンドのドキュメント) で、`AWS-RunPowerShellScript` を選択します。
管理アクセスを削除するには、[**Command parameters (コマンドのパラメータ)**] 領域で、[**コマンド**] ボックスに以下を貼り付けます。
```
net localgroup "Administrators" "ssm-user" /delete
```
-または-
管理アクセスを復元するには、[**Command parameters (コマンドのパラメータ)**] 領域で、[**コマンド**] ボックスに以下を貼り付けます。
```
net localgroup "Administrators" "ssm-user" /add
```
**PowerShell またはコマンドプロンプトウィンドウを使用して管理者許可を変更する**
1. マネージドノードに接続して PowerShell またはコマンドプロンプトのウィンドウを開きます。
1. 管理アクセスを削除するには、次のコマンドを実行します。
```
net localgroup "Administrators" "ssm-user" /delete
```
-または-
管理アクセスを復元するには、次のコマンドを実行します。
```
net localgroup "Administrators" "ssm-user" /add
```
**Windows コンソールを使用して管理者許可を変更する**
1. マネージドノードに接続して PowerShell またはコマンドプロンプトのウィンドウを開きます。
1. コマンドラインから `lusrmgr.msc` を実行して、[**Local Users and Groups (ローカルユーザーとグループ)**] コンソールを開きます。
1. [**Users (ユーザー)**] ディレクトリを開いて、[**ssm-user**] を開きます。
1. [**Member Of (所属するグループ)**] タブで、次のいずれかを実行します。
+ 管理アクセスを削除するには、[**Administrators (管理者)**] を選択し、[**Remove (削除)**] を選択します。
-または-
管理アクセスを復元するには、テキストボックスに **Administrators** と入力し、[**追加**] を選択します。
1. [**OK**] を選択します。