ssm-userを削除したときの影響
困っていた内容
ssm-user は、SSM Agent をインストールした際に自動的に作成されるアカウントであると認識しております。
弊社では、Session Manager を用いたサーバログインは実施しておらず、現状では ssm-user を利用していないと考えております。
そのため、セキュリティ上の観点から、ssm-userを削除することを検討しております。
ssm-user が、Session Manager 以外の AWS サービスに関与する可能性はありますか。
ssm-user を削除することで、SSM 関連の機能に支障が出る可能性がありますか。
どう対応すればいいの?
ssm-user は、Session Manager を使ってインスタンスに接続する際に使用されるユーザーです。
そのため、ssm-user を削除しても、Session Manager以外のAWSサービスに関与する可能性はありません。
なお、ssm-user を削除しても、SSM Agent のバージョンが 2.3.612.0 以前の場合は、SSM Agent が最初に起動または再起動するときに ssm-user が再作成され、
SSM Agent のバージョンが 2.3.612.0 以降の場合、マネージドノード上でセッションが最初に開始された際にssm-userが再作成されますのでご留意ください。
参考資料
AWS Systems Manager SSM Agent のバージョン 2.3.50.0 以降では、エージェントは ssm-user という名前のローカルユーザーアカウントを作成し、/etc/sudoers (Linux および macOS) または管理者グループ (Windows) に追加します。2.3.612.0 より前のエージェントバージョンでは、アカウントはインストール後に SSM Agent が最初に起動または再起動するときに作成されます。バージョン 2.3.612.0 以降の場合、ssm-user アカウントはノード上でセッションが最初に開始されたときに作成されます。この ssm-user は、AWS Systems Manager Session Manager セッションが開始された時のデフォルトオペレーティングシステム (OS) ユーザーです。
