結論
ssm-userは
- 最初のセッション確立時に作成される。
- ただし、Run Asを有効化している場合は作成されない。
少し説明
GithubのレポジトリのREADMEに書いてある通り、
The first time a Session Manager session is started on an instance, the agent will create a user called "ssm-user" with sudo or administrator privilege. Session Manager sessions will be launched in context of this user.
ssm-userは最初のセッション確立時にssm-agentによって作成されます。インスタンスの起動時やssm-agentが起動したときには作成されません。
また、SSMにはSSMSessionRunAsというタグをIAMユーザーやロールで設定することで、SSMでのログインユーザを設定することができます。(セッションマネージャ側でRun Asを有効にする必要があります。)
この機能はユーザーのアクセス制御をする上でとても便利な機能です。
そして、この機能を有効化しているときはssm-userは作成されません。
おまけ
ちなみにssmだけを利用するのに必要なIAMポリシーは以下に貼っておきます。
EC2のインスタンスを見るためのポリシーは書いてません。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"ssm:GetConnectionStatus",
"ssm:ResumeSession",
"ssm:DescribeInstanceInformation",
"ssm:TerminateSession",
"ssm:StartSession"
],
"Resource": "*"
}
]
}