• O AWS Systems Manager CloudWatch Dashboard não estará mais disponível a partir de 30 de abril de 2026. Os clientes podem continuar usando o console do Amazon CloudWatch para visualizar, criar e gerenciar os painéis do Amazon CloudWatch exatamente como fazem hoje. Para obter mais informações, consulte a [documentação do Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html). 

# Etapa 7: (Opcional) Ativar ou desativar permissões administrativas da conta ssm-user.
<a name="session-manager-getting-started-ssm-user-permissions"></a>

A partir da versão 2.3.50.0 do SSM Agent do AWS Systems Manager, o agente cria uma conta de usuário local chamada `ssm-user` e a adiciona ao `/etc/sudoers` (Linux e macOS) ou ao grupo de Administradores (Windows). Em versões do agente anteriores a 2.3.612.0, a conta é criada na primeira vez que o SSM Agent é iniciado ou reiniciado após a instalação. Na versão 2.3.612.0 e posteriores, a conta `ssm-user` é criada na primeira vez que uma sessão é iniciada em um nó. Esse `ssm-user` é o usuário padrão do sistema operacional (SO) quando uma sessão do AWS Systems Manager Session Manager é iniciada. A versão 2.3.612.0 do SSM Agent foi lançada em 8 de maio de 2019.

Para impedir que os usuários do Session Manager executem comandos de administrador em um nó, você pode atualizar as permissões da conta `ssm-user`. Você também pode restaurar essas permissões depois de serem removidas.

**Topics**
+ [Gerenciar as permissões da conta sudo do ssm-user no Linux e no macOS](#ssm-user-permissions-linux)
+ [Gerenciar as permissões da conta de administrador ssm-user no Windows Server](#ssm-user-permissions-windows)

## Gerenciar as permissões da conta sudo do ssm-user no Linux e no macOS
<a name="ssm-user-permissions-linux"></a>

Use um dos procedimentos a seguir para ativar ou desativar as permissões sudo da conta ssm-user em nós gerenciados do Linux e do macOS.

**Usar o Run Command para modificar permissões sudo de ssm-user (console)**
+ Use o procedimento em [Executar comandos no console](running-commands-console.md) com os seguintes valores:
  + Para **Command document (Documento de comando)**, escolha `AWS-RunShellScript`.
  + Para remover o acesso sudo, na área **Command parameters** (Parâmetros de comando), cole o trecho a seguir na caixa **Commands** (Comandos).

    ```
    cd /etc/sudoers.d
    echo "#User rules for ssm-user" > ssm-agent-users
    ```

    - ou -

    Para restaurar o acesso sudo, na área **Command parameters** (Parâmetros de comando), cole o trecho a seguir na caixa **Commands** (Comandos).

    ```
    cd /etc/sudoers.d 
    echo "ssm-user ALL=(ALL) NOPASSWD:ALL" > ssm-agent-users
    ```

**Usar a linha de comando para modificar permissões sudo de ssm-user (AWS CLI)**

1. Conecte-se ao nó gerenciado e execute o seguinte comando:

   ```
   sudo -s
   ```

1. Altere o diretório de trabalho usando o seguinte comando:

   ```
   cd /etc/sudoers.d
   ```

1. Abra o arquivo chamado `ssm-agent-users` para edição.

1. Para remover o acesso sudo, exclua a linha a seguir.

   ```
   ssm-user ALL=(ALL) NOPASSWD:ALL
   ```

   - ou -

   Para restaurar o acesso sudo, adicione a linha a seguir.

   ```
   ssm-user ALL=(ALL) NOPASSWD:ALL
   ```

1. Salve o arquivo.

## Gerenciar as permissões da conta de administrador ssm-user no Windows Server
<a name="ssm-user-permissions-windows"></a>

Use um dos procedimentos a seguir para ativar ou desativar as permissões de Administrador da conta ssm-user em nós gerenciados do Windows Server.

**Usar o Run Command para modificar permissões de Administrador (console)**
+ Use o procedimento em [Executar comandos no console](running-commands-console.md) com os seguintes valores:

  Para **Command document (Documento de comando)**, escolha `AWS-RunPowerShellScript`.

  Para remover o acesso de administrador, na área **Command parameters** (Parâmetros de comando), cole o trecho a seguir na caixa **Commands** (Comandos).

  ```
  net localgroup "Administrators" "ssm-user" /delete
  ```

  - ou -

  Para restaurar o acesso de administrador, na área **Command parameters** (Parâmetros de comando), cole o trecho a seguir na caixa **Commands** (Comandos).

  ```
  net localgroup "Administrators" "ssm-user" /add
  ```

**Use a janela do prompt de comando ou o PowerShell para modificar permissões de administrador**

1. Conecte-se ao nó gerenciado e abra o PowerShell ou a janela do prompt de comando.

1. Para remover o acesso administrativo, execute o comando a seguir.

   ```
   net localgroup "Administrators" "ssm-user" /delete
   ```

   - ou -

   Para restaurar o acesso administrativo, execute o comando a seguir.

   ```
   net localgroup "Administrators" "ssm-user" /add
   ```

**Usar o console do Windows para modificar permissões de Administrador**

1. Conecte-se ao nó gerenciado e abra o PowerShell ou a janela do prompt de comando.

1. Na linha de comando, execute `lusrmgr.msc` para abrir o console **Local Users and Groups (Usuários locais e grupos)**.

1. Abra o diretório **Users (Usuários)** e, em seguida, abra **ssm-user**.

1. Na guia **Member Of (Membro do)**, faça o seguinte:
   + Para remover o acesso administrativo, selecione **Administrators (Administradores)**e, em seguida, escolha **Remove (Remover)**.

     - ou -

     Para restaurar o acesso administrativo, digite **Administrators** na caixa de texto e, em seguida, escolha **Add** (Adicionar).

1. Escolha **OK**.