ユーザーアカウントssm-userが作成されたことを確認する

SSM Agent のバージョン 2.3.50.0 以降、エージェントはマネージドノード上にルートまたは管理者アクセス許可 (ssm-user と呼ばれる) のあるユーザーアカウントを作成します。(2.3.612.0 より前のバージョンでは、SSM Agent が起動または再起動するときにアカウントが作成されます。2.3.612.0 以降のバージョンでは、マネージドノード上でセッションが開始されるときに ssm-user が初めて作成されます)
https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/session-manager-prerequisites.html

SSM Agentのセッションを初めて開始したとき、またはSSM Agentを起動するときにssm-userが作成されるとのことです。今回はこれを確認していきます。
なお、AMIはAmazon Linux 2023を使用しました。

事前確認

バージョンによって作成されるタイミングが異なるとのことなので、まずはSSH接続し、SSM Agentのバージョンを確認します。
https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/ssm-agent-get-version.html

[root@i-xxxxxxxxxx ~]# yum info amazon-ssm-agent
Installed Packages
Name         : amazon-ssm-agent
Version      : 3.3.380.0
Release      : 1.amzn2023
Architecture : x86_64
(中略)
[root@i-xxxxxxxxxx ~]#

上記バージョンの情報から、今回はセッションが開始されるタイミングで作成されることが推測できます。

変更箇所のbackup取得

[root@i-xxxxxxxxxx ~]# cp /etc/group /etc/group_backup

まずは変更がある箇所のbackupを取得します。のちにこれを差分比較の対象にします。

SSM Agentでログイン

次にSSM Agentを使ってログインをします。今回はコンソールのSSMから入ります。
セッションを開始すること（それによってユーザーが作成されること）が目的なのですぐセッションを終了します。

差分確認

再度SSH接続し、backupをとった箇所に差分が出ているか確認します。

[root@i-xxxxxxxxxx ssm]# diff /etc/group /etc/group_backup
xxxx
< ssm-user:x:00000:
[root@i-xxxxxxxxxx ssm]#

上記の通り、ssm-userが作成されていることを確認できました。
念のため、ログも確認します。

ログ確認

マネージドノードの SSM Agent ログは以下の場所で確認できます。
/var/log/amazon/ssm/
https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/ssm-agent-logs.html

/var/log/amazon/ssm/にあるamazon-ssm-agent.logを確認します。

2024-00-00 00:00:00 INFO [ssm-session-worker] [asano-test-xxxxx] [DataBackend] [pluginName=Standard_Stream] Starting command executor
2024-00-00 00:00:00 INFO [ssm-session-worker] [asano-test-xxxxx] [DataBackend] [pluginName=Standard_Stream] Successfully created ssm-user
2024-00-00 00:00:00 INFO [ssm-session-worker] [asano-test-xxxxx] [DataBackend] [pluginName=Standard_Stream] Successfully created file /etc/sudoers.d/ssm-agent-users
2024-00-00 00:00:00 INFO [ssm-session-worker] [asano-test-xxxxx] [DataBackend] [pluginName=Standard_Stream] Successfully changed mode of /etc/sudoers.d/ssm-agent-users to 288

上記の通り、ユーザー作成されている形跡があることを確認できました。

[root@i-xxxxxxxxxx ~]# ls -la /etc/ |grep group
-rw-r--r--.  1 root root      730 Jun 00 00:00 group
-rw-r--r--.  1 root root      713 Jun 00 00:00 group-
-rw-r--r--.  1 root root      713 Jun 00 00:00 group_backup
[root@i-xxxxxxxxxx ~]#

また、上記のようなコマンドで同時刻にファイルが変更されていることも確認できます。

ユーザーアカウントssm-userが作成されたことを確認する

事前確認

変更箇所のbackup取得

SSM Agentでログイン

差分確認

ログ確認

[アップデート]複数VPCのインターネット通信を制御する機能「VPC Block Public Access (BPA)」がリリースされました！

Arduinoを初めて使う時のセットアップと実例集

AWSの生成AI活用事例集GenUを使い倒す

『第3回 Well Architected Mini Bootcamp for iret（運用上の優秀性）in 名古屋』参加レポート

Google Cloud 認定資格のグッズ申請をしてみた

ユーザーアカウントssm-userが作成されたことを確認する

事前確認

変更箇所のbackup取得

SSM Agentでログイン

差分確認

ログ確認

関連記事Related Articles

SAMを使ってAPI Gateway Lambda Authorizerを設定する

Amazon Aurora と Amazon RDS が MySQL と PostgreSQL データベースの延長サポートを発表

【iretテクニカルアンバサダーブログリレー】-オンラインで快適に楽しむ- AWS re:Invent 2023に向けて（村上 桃子）

【iretテクニカルアンバサダーブログリレー】 -初re:Invent 5番勝負 想定vs実際- AWS re:Invent 2023に向けて（高橋 修一）

AWSome Day Online Conferenceに参加しました

【iretテクニカルアンバサダーブログリレー】-オンラインで快適に楽しむ- AWS re:Invent 2023に向けて（村上桃子）

【iretテクニカルアンバサダーブログリレー】 -初re:Invent 5番勝負想定vs実際- AWS re:Invent 2023に向けて（高橋修一）