為 Linux 和 macOS 受管節點開啟執行身分支援 - AWS Systems Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

為 Linux 和 macOS 受管節點開啟執行身分支援

依預設,Session Manager 會使用系統產生之 ssm-user 帳戶 (帳戶在受管節點上建立) 的憑證來驗證連線。在 Linux 和 macOS 機器上,帳戶新增到 /etc/sudoers/。如果可以選擇,您可以改為使用作業系統 (OS) 使用者帳戶的憑證,或是加入了 Active Directory 的執行個體的網域使用者來驗證工作階段。在此情況下,Session Manager 會在啟動工作階段之前,驗證您指定的作業系統帳戶是否存在於節點上或網域中。如果您嘗試使用節點上或網域中不存在的作業系統帳戶來啟動工作階段,則連線將會失敗。

注意

Session Manager 不支援使用作業系統的 root 使用者帳戶來驗證連線。對於使用作業系統使用者帳戶驗證的工作階段,節點的作業系統層級和目錄政策 (如登入限制或系統資源使用限制) 可能不適用。

運作方式

如果您為工作階段開啟執行身分支援,系統會如下檢查存取許可:

  1. 啟動工作階段的使用者的 IAM 實體 (使用者或角色) 是否都已使用 SSMSessionRunAs = os user account name 標記?

    如果是,該受管節點上是否存在作業系統使用者名稱? 如果有,就開始工作階段。如果沒有,則不允許工作階段開始。

    如果 IAM 實體尚使用 SSMSessionRunAs = os user account name 標記,請繼續執行步驟 2。

  2. 如果 IAM 實體尚未使用 SSMSessionRunAs = os user account name 標記,是否在 AWS 帳戶 的 Session Manager 偏好設定中已指定作業系統使用者名稱?

    如果是,該受管節點上是否存在作業系統使用者名稱? 如果有,就開始工作階段。如果沒有,則不允許工作階段開始。

注意

如果啟動執行身分支援,它會防止 Session Manager 使用受管理節點上的 ssm-user 帳戶啟動工作階段。這表示如果 Session Manager 無法使用指定的作業系統使用者帳戶進行連線,則不會返回使用預設方法進行連線。

如果您在未指定作業系統帳戶或標記 IAM 實體的情況下啟用執行身分,且尚未在 Session Manager 偏好設定中指定作業系統帳戶,則工作階段連線嘗試將會失敗。

為 Linux 和 macOS 受管節點開啟執行身分支援

  1. 開啟位於 https://console.aws.amazon.com/systems-manager/ 的 AWS Systems Manager 主控台。

  2. 在導覽窗格中,選擇 Session Manager

  3. 選擇 Preferences (偏好) 標籤,然後選擇 Edit (編輯)

  4. 選取 為 Linux 執行個體啟用執行身分支援旁的核取方塊。

  5. 執行以下任意一項:

    • 選項 1:在作業系統使用者名稱欄位,輸入您想要用來啟動工作階段的作業系統使用者帳戶名稱。使用此選項,相同的作業系統使用者會為您 AWS 帳戶 中的所有使用者執行所有工作階段,這些使用者會使用 Session Manager 進行連線。

    • 選項 2 (建議):選擇開啟 IAM 主控台連結。在導覽窗格中,選擇 Users (使用者) 或者 Roles (角色)。選擇要新增標籤的實體 (使用者或角色),然後選擇 Tags (標籤) 標籤。在金鑰名稱輸入 SSMSessionRunAs。在鍵值中輸入作業系統使用者帳戶的名稱。選擇儲存變更

      使用此選項,您可以視需要為不同的 IAM 實體指定唯一的作業系統使用者。如需有關標記 IAM 實體 (使用者或角色) 的詳細資訊,請參閱 IAM User Guide 中的 Tagging IAM resources

      以下是範例。

      指定 Session Manager 執行身分許可標籤的螢幕擷取畫面。

  6. 選擇儲存