sudoers で Cmnd_Alias を使用してコマンド引数を使用するにはどうすればよいですか?

ワイルドカードは使用していませんが、引数を2つ指定しています。したがって、sudo記述されたとおりのコマンドを検索します（パス検索を除く）（man 5 sudoers):

 If a Cmnd has associated command line arguments, then the arguments in
 the Cmnd must match exactly those given by the user on the command line
 (or match the wildcards if there are any).

次のようなことを試してください:

Cmnd_Alias AWSS3_CMD = /usr/local/bin/aws s3 cp *, /usr/local/aws/bin/aws s3 cp *

ご了承ください：

 Wildcards in command line arguments should be used with care.  Because
 command line arguments are matched as a single, concatenated string, a
 wildcard such as ‘?’ or ‘*’ can match multiple words. 

したがって、コマンドごとに必要なワイルドカードは 1 つだけです。

@muru と同じですが、完全に動作する例が好きな人向けです:

# Cmnd alias specification
Cmnd_Alias ECHO_CMD=/bin/echo A *,/bin/echo B *

# Make USER run specific commands on given HOSTNAME
# USER_NAME 

#userx
userx ALL=(root) NOPASSWD: /sbin/cmd1,/sbin/cmd2,ECHO_CMD

/sbin/cmd1,には/sbin/cmd2他のコマンドも使用できます。

の目的は、パスフレーズを要求する場合と要求しない場合がECHO_CMDあることを示し、このような簡単な実験を通じて自信を持てるようにすることです。sudo echo X Asudo echo A X

(echo は にあると想定されています/bin/echo。システム上のどこにあるかを確認するには を試してくださいwhereis echo)

sudoers でも正規表現を使用できます。

これにより、/usr/bin/apt update upgrade and auto-removeパスワードなしで実行できるようになりますが、.deb 名を指定すると、apt installパスワードの入力を求められます。

Cmnd_Alias UPDATES = /usr/bin/apt (update|upgrade|auto-remove)
%sudo ALL=(ALL:ALL) NOPASSWD: UPDATES
%sudo ALL=(ALL:ALL) ALL

これは古い方法だとは思いますが、cat代わりに、ユーザーがアクセスできないechoファイルがあるとします。ユーザーを sudoers に追加すると、次のことが許可されます。C

# Cmnd alias specification
Cmnd_Alias ECHO_CMD=cat A *,cat B *

次のコマンドを実行すると、ファイル C にアクセスできるようになります。

sudo echo A C

C はワイルドカード構文に適切に従っているためです。これは、sudo コマンドでワイルドカードを使用する場合のセキュリティの悪さの良い例だと思います。この使用法には十分注意し、ワイルドカードによって生成される可能性のあるあらゆるバリエーションを考慮する必要があります。