AWS

AWS Systems Manager のセッションマネージャーの小ネタ(Switchロールした際のログ表示、sudoの禁止)


はじめに

AWS Systems Manager のセッションマネージャーは、S3とCloudWatchLogsにログ出力できますが、Switchロールした場合は、どういった表示になるのか認識できてなかったので確認しました。ついでにsudoの禁止方法についても記載します。


Switchロールした場合のログ表示の確認


結論

Switchロール前のIAMユーザ名でセッションIDが表示されます。


実機確認

Switchロールする前のIAMユーザ(miyamoto)が表示されています。

image.png

CloudWatchLogsにも元のアカウントのIAMユーザ名がロギングされます。

Script started on 2019-02-28 01:47:39+0000

[?1034hsh-4.2# /usr/bin/ssm-session-logger /var/lib/amazon/ssm/i-030874ac1ad0d6f6d/sess
ion/orchestration/miyamoto-08d0033a7ae098d22/Standard_Stream/ipcTempFile.log fal
se
Error occurred fetching the seelog config file path: open /etc/amazon/ssm/seelog.xml: no such file or directory
Initializing new seelog logger
New Seelog Logger Creation Complete
[?1034hsh-4.2$
[Ksh-4.2$
sh-4.2$
sh-4.2$
sh-4.2$
sh-4.2$


sudoの禁止するには?

/etc/sudoers.d/ssm-agent-usersでssm-userに許可を削除すればSudoできる権限を剥奪可能です。

sh-4.2$ sudo cat /etc/sudoers.d/ssm-agent-users

# User rules for ssm-user
ssm-user ALL=(ALL) NOPASSWD:ALL


お約束

投稿内容は私個人の意見であり、所属企業・部門見解を代表するものではありません。