• 2026 年 4 月 30 日之後, AWS Systems Manager CloudWatch Dashboard 將不再可用。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 步驟 7:(選用) 啟用或停用 ssm-user 帳戶管理許可
從 2.3.50.0 版開始 AWS Systems Manager SSM Agent,代理程式會建立名為 的本機使用者帳戶,`ssm-user`並將其新增至 `/etc/sudoers`(Linux 和 macOS) 或管理員群組 ()Windows。在代理程式 2.3.612.0 之前的版本中,當 SSM Agent 第一次啟動,或在安裝後重新啟動時,會建立該帳戶。在版本 2.3.612.0 和更高版本中,當受管節點上初次啟動工作階段時,會建立 `ssm-user` 帳戶。`ssm-user` 這是工作階段開始時的預設作業系統 (OS) 使用者 AWS Systems Manager Session Manager。2019 年 5 月 8 日發行 2.3.612.0 SSM Agent版。
如果您想要防止 Session Manager 使用者在節點上執行管理命令,您可以更新其 `ssm-user` 帳戶許可。您也可以移除這些權限之後恢復權限。
**Topics**
+ [在 Linux 和 macOS 上管理 ssm-user sudo 帳戶許可](#ssm-user-permissions-linux)
+ [在 Windows Server 上管理 ssm-user 管理員帳戶許可](#ssm-user-permissions-windows)
## 在 Linux 和 macOS 上管理 ssm-user sudo 帳戶許可
使用以下其中一個程序來停用或啟用在 Linux 和 macOS 受管節點上 ssm-user 帳戶的 sudo 許可:
**使用 Run Command 修改 ssm-user sudo 許可 (主控台)**
+ 搭配以下值在 [從主控台執行命令](running-commands-console.md) 中使用程序:
+ 如需 **Command document** (命令文件),請選擇 `AWS-RunShellScript`。
+ 移除 sudo 存取,在 **Command parameters** (命令參數) 區裡的 **Commands** (命令) 方塊貼上以下內容。
```
cd /etc/sudoers.d
echo "#User rules for ssm-user" > ssm-agent-users
```
-或-
要恢復 sudo 存取,請在 **Command parameters** (命令參數) 區裡的 **Commands** (命令) 方塊貼上以下內容。
```
cd /etc/sudoers.d
echo "ssm-user ALL=(ALL) NOPASSWD:ALL" > ssm-agent-users
```
**使用命令列修改 ssm-user sudo 許可 (AWS CLI)**
1. 連線至受管節點並執行下列命令。
```
sudo -s
```
1. 使用下列命令變更工作目錄。
```
cd /etc/sudoers.d
```
1. 開啟檔案 `ssm-agent-users` 進行編輯。
1. 移除 sudo 存取、刪除下行。
```
ssm-user ALL=(ALL) NOPASSWD:ALL
```
-或-
要還原 sudo 存取,請新增下行:
```
ssm-user ALL=(ALL) NOPASSWD:ALL
```
1. 儲存檔案。
## 在 Windows Server 上管理 ssm-user 管理員帳戶許可
使用以下其中一個程序來停用或啟用在 Windows Server 受管節點上 ssm-user 帳戶的管理者許可:
**使用 Run Command 來修改管理者許可 (主控台)**
+ 搭配以下值在 [從主控台執行命令](running-commands-console.md) 中使用程序:
如需 **Command document** (命令文件),請選擇 `AWS-RunPowerShellScript`。
移除管理的存取,在 **Command parameters** (命令參數) 區域裡,在 **Commands** (命令) 方塊貼上以下內容。
```
net localgroup "Administrators" "ssm-user" /delete
```
-或-
移除恢復的存取,在 **Command parameters** (命令參數) 區域裡,在 **Commands** (命令) 方塊貼上以下內容。
```
net localgroup "Administrators" "ssm-user" /add
```
**使用 PowerShell 或命令提示字元視窗修改管理員許可**
1. 連接到受管節點,並開啟 PowerShell 或命令提示字元視窗。
1. 移除管理的存取、執行下列命令。
```
net localgroup "Administrators" "ssm-user" /delete
```
-或-
要復原管理的存取,請執行下列命令。
```
net localgroup "Administrators" "ssm-user" /add
```
**使用 Windows 主控台修改管理員許可**
1. 連接到受管節點,並開啟 PowerShell 或命令提示字元視窗。
1. 從命令列執行 `lusrmgr.msc` 以開啟 **Local Users and Groups (本機使用者和群組)** 主控台。
1. 開啟 ** Users (使用者)** 目錄,然後開放 **ssm-user**。
1. 在 **Member Of (成員)** 標籤,執行以下其中一項:
+ 移除管理的存取,選取 **Administrators (管理員)**,然後選擇 **Remove (移除)**。
-或-
若要恢復的管理存取,在文字方塊裡輸入 **Administrators**,然後選擇 **Add** (新增)。
1. 選擇**確定**。