• AWS Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息,请参阅 [Amazon CloudWatch 控制面板文档](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
# 步骤 7:(可选)开启或关闭 ssm-user 账户管理权限
从 AWS Systems Manager SSM Agent 版本 2.3.50.0 开始,此代理会创建一个名为 `ssm-user` 的本地用户账户,并将其添加到 `/etc/sudoers`(Linux 和 macOS)或管理员组(Windows)。在 2.3.612.0 之前的代理版本上,账户会在 SSM Agent 安装后首次启动或重启时创建。在版本 2.3.612.0 及更高版本上,会话在节点上首次启动时会创建 `ssm-user` 账户。当 AWS Systems Manager Session Manager 会话启动时,此 `ssm-user` 为默认操作系统(OS)用户。SSM Agent 版本 2.3.612.0 于 2019 年 5 月 8 日发布。
如果要阻止 Session Manager 用户在节点上运行管理命令,可以更新 `ssm-user` 账户权限。这些权限在删除后还可以恢复。
**Topics**
+ [
## 在 Linux 和 macOS 上管理 ssm-user sudo 账户权限
](#ssm-user-permissions-linux)
+ [
## 在 Windows Server 上管理 ssm-user 管理员账户权限
](#ssm-user-permissions-windows)
## 在 Linux 和 macOS 上管理 ssm-user sudo 账户权限
使用以下过程之一在 Linux 和 macOS 托管式节点上启用或禁用 ssm-user 账户 sudo 权限。
**使用 Run Command 修改 ssm-user sudo 权限(控制台)**
+ 在[从控制台运行命令](running-commands-console.md)中的过程中使用以下值:
+ 对于 **Command document (命令文档)**,选择 `AWS-RunShellScript`。
+ 要删除 sudo 访问权限,请在 **Command parameters (命令参数)** 区域中,将以下内容粘贴到 **Commands (命令)** 框中:
```
cd /etc/sudoers.d
echo "#User rules for ssm-user" > ssm-agent-users
```
-或者-
要恢复 sudo 访问权限,请在 **Command parameters (命令参数)** 区域中,将以下内容粘贴到 **Commands (命令)** 框中:
```
cd /etc/sudoers.d
echo "ssm-user ALL=(ALL) NOPASSWD:ALL" > ssm-agent-users
```
**使用命令行修改 ssm-user sudo 权限 (AWS CLI)**
1. 连接到托管式节点并运行以下命令。
```
sudo -s
```
1. 使用以下命令更改工作目录。
```
cd /etc/sudoers.d
```
1. 打开名为 `ssm-agent-users` 的文件进行编辑。
1. 要删除 sudo 访问权限,请删除以下行。
```
ssm-user ALL=(ALL) NOPASSWD:ALL
```
-或者-
要恢复 sudo 访问权限,请添加以下行。
```
ssm-user ALL=(ALL) NOPASSWD:ALL
```
1. 保存该文件。
## 在 Windows Server 上管理 ssm-user 管理员账户权限
使用以下过程之一在 Windows Server 托管式节点上开启或关闭 ssm-user 账户管理员权限。
**使用 Run Command 修改管理员权限(控制台)**
+ 在[从控制台运行命令](running-commands-console.md)中的过程中使用以下值:
对于 **Command document (命令文档)**,选择 `AWS-RunPowerShellScript`。
要删除管理访问权限,请在 **Command parameters (命令参数)** 区域中,将以下内容粘贴到 **Commands (命令)** 框中:
```
net localgroup "Administrators" "ssm-user" /delete
```
-或者-
要恢复管理访问权限,请在 **Command parameters (命令参数)** 区域中,将以下内容粘贴到 **Commands (命令)** 框中:
```
net localgroup "Administrators" "ssm-user" /add
```
**使用 PowerShell 或命令提示符窗口修改管理员权限**
1. 连接到托管式节点并打开 PowerShell 或命令提示符窗口。
1. 要删除管理访问权限,请运行以下命令。
```
net localgroup "Administrators" "ssm-user" /delete
```
-或者-
要恢复管理访问权限,请运行以下命令。
```
net localgroup "Administrators" "ssm-user" /add
```
**使用 Windows 控制台修改管理员权限**
1. 连接到托管式节点并打开 PowerShell 或命令提示符窗口。
1. 在命令行中,运行 `lusrmgr.msc` 打开**本地用户和组**控制台。
1. 打开**用户**目录,然后打开 **ssm-user**。
1. 在 **Member Of (属于)** 选项卡上,执行以下操作之一:
+ 要删除管理员权限,请选择 **Administrators**,然后选择**删除**。
-或者-
要恢复管理访问权限,请在文本框中输入 **Administrators**,然后选择 **Add (添加)**。
1. 选择**确定**。