ユーザーアカウントssm-userが作成されたことを確認する

SSM Agent のバージョン 2.3.50.0 以降、エージェントはマネージドノード上にルートまたは管理者アクセス許可 (ssm-user と呼ばれる) のあるユーザーアカウントを作成します。(2.3.612.0 より前のバージョンでは、SSM Agent が起動または再起動するときにアカウントが作成されます。2.3.612.0 以降のバージョンでは、マネージドノード上でセッションが開始されるときに ssm-user が初めて作成されます)
https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/session-manager-prerequisites.html

SSM Agentのセッションを初めて開始したとき、またはSSM Agentを起動するときにssm-userが作成されるとのことです。今回はこれを確認していきます。
なお、AMIはAmazon Linux 2023を使用しました。

事前確認

バージョンによって作成されるタイミングが異なるとのことなので、まずはSSH接続し、SSM Agentのバージョンを確認します。
https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/ssm-agent-get-version.html

[root@i-xxxxxxxxxx ~]# yum info amazon-ssm-agent
Installed Packages
Name         : amazon-ssm-agent
Version      : 3.3.380.0
Release      : 1.amzn2023
Architecture : x86_64
(中略)
[root@i-xxxxxxxxxx ~]#

上記バージョンの情報から、今回はセッションが開始されるタイミングで作成されることが推測できます。

変更箇所のbackup取得

[root@i-xxxxxxxxxx ~]# cp /etc/group /etc/group_backup

まずは変更がある箇所のbackupを取得します。のちにこれを差分比較の対象にします。

SSM Agentでログイン

次にSSM Agentを使ってログインをします。今回はコンソールのSSMから入ります。
セッションを開始すること（それによってユーザーが作成されること）が目的なのですぐセッションを終了します。

差分確認

再度SSH接続し、backupをとった箇所に差分が出ているか確認します。

[root@i-xxxxxxxxxx ssm]# diff /etc/group /etc/group_backup
xxxx
< ssm-user:x:00000:
[root@i-xxxxxxxxxx ssm]#

上記の通り、ssm-userが作成されていることを確認できました。
念のため、ログも確認します。

ログ確認

マネージドノードの SSM Agent ログは以下の場所で確認できます。
/var/log/amazon/ssm/
https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/ssm-agent-logs.html

/var/log/amazon/ssm/にあるamazon-ssm-agent.logを確認します。

2024-00-00 00:00:00 INFO [ssm-session-worker] [asano-test-xxxxx] [DataBackend] [pluginName=Standard_Stream] Starting command executor
2024-00-00 00:00:00 INFO [ssm-session-worker] [asano-test-xxxxx] [DataBackend] [pluginName=Standard_Stream] Successfully created ssm-user
2024-00-00 00:00:00 INFO [ssm-session-worker] [asano-test-xxxxx] [DataBackend] [pluginName=Standard_Stream] Successfully created file /etc/sudoers.d/ssm-agent-users
2024-00-00 00:00:00 INFO [ssm-session-worker] [asano-test-xxxxx] [DataBackend] [pluginName=Standard_Stream] Successfully changed mode of /etc/sudoers.d/ssm-agent-users to 288

上記の通り、ユーザー作成されている形跡があることを確認できました。

[root@i-xxxxxxxxxx ~]# ls -la /etc/ |grep group
-rw-r--r--.  1 root root      730 Jun 00 00:00 group
-rw-r--r--.  1 root root      713 Jun 00 00:00 group-
-rw-r--r--.  1 root root      713 Jun 00 00:00 group_backup
[root@i-xxxxxxxxxx ~]#

また、上記のようなコマンドで同時刻にファイルが変更されていることも確認できます。

ユーザーアカウントssm-userが作成されたことを確認する

事前確認

変更箇所のbackup取得

SSM Agentでログイン

差分確認

ログ確認

『技術サービス』だけでなく『誠意も売る』営業として
〜仕事はとにかく楽しく誠実に〜

大規模クラウドインフラ設計・構築案件の歩き方(AWS-28)がインフラエンジニアに刺さりまくりな内容だった

【もくもく会ブログリレー1日目】React + @vercel/og で PNG 形式のサムネイルを自動生成する（10分で終わるハンズオン付き）

【AWS Summit Japan 2024】オフライン参加をおすすめする理由

RHEL7を8に, 8を9にインプレースアップグレードする

ユーザーアカウントssm-userが作成されたことを確認する

事前確認

変更箇所のbackup取得

SSM Agentでログイン

差分確認

ログ確認

関連記事Related Articles

わたしたちの強い味方〜タグエディタ〜

Twilioを使ったブラウザからの電話発信サービス

AWS Summit Tokyo 2023 1日目 まとめレポート

[AWS Summit Tokyo 2023] AWS Jam体験記

Terraform Cloudの使い方

AWS Summit Tokyo 2023 1日目まとめレポート