Masuk ke instance ECS di Bastionhost tanpa kata sandi - Key Management Service

Rahasia Elastic Compute Service (ECS) yang dikelola di Key Management Service (KMS) diintegrasikan ke dalam Bastionhost. Setelah menyimpan kata sandi akun atau pasangan kunci SSH dari sebuah instance ECS sebagai rahasia ECS di KMS, Anda dapat mengimpor rahasia tersebut di Bastionhost. Saat Bastionhost membangun koneksi jarak jauh ke instance ECS, nilai rahasia ECS diambil dari KMS secara real-time, sehingga Anda tidak perlu memasukkan kata sandi akun atau pasangan kunci SSH di Bastionhost. Topik ini menjelaskan cara membangun koneksi jarak jauh ke instance ECS di Bastionhost menggunakan rahasia ECS.

Ikhtisar

Setelah menyimpan kata sandi akun atau pasangan kunci SSH dari sebuah instance ECS sebagai rahasia ECS di KMS, Anda cukup mengimpor rahasia tersebut di Bastionhost untuk masuk ke instance ECS. Anda tidak perlu memasukkan kata sandi akun atau pasangan kunci SSH di Bastionhost. Saat membangun koneksi jarak jauh ke instance ECS di Bastionhost, Bastionhost mengambil nilai rahasia ECS dari KMS secara real-time untuk masuk ke instance ECS.

KMS memungkinkan Anda mengonfigurasi rotasi otomatis untuk rahasia ECS. Bastionhost mengambil nilai rahasia versi ACSCurrent dari KMS secara real-time. Rotasi rahasia tidak memengaruhi koneksi antara Bastionhost dan instance ECS. Untuk informasi lebih lanjut, lihat Versi rahasia.

Gambar berikut menunjukkan cara membangun koneksi jarak jauh ke instance ECS di Bastionhost menggunakan rahasia ECS.

Administrator rahasia membuat rahasia ECS di KMS.
Administrator Bastionhost mengimpor rahasia ECS dari KMS di Bastionhost.
Insinyur O&M Bastionhost memulai permintaan koneksi jarak jauh ke instance ECS.
Bastionhost memanggil operasi ListSecrets dan GetSecretValue dari KMS untuk mengambil nilai rahasia ECS dari KMS secara real-time.
Bastionhost menggunakan nilai rahasia ECS untuk masuk ke instance ECS.

Catatan penggunaan

Anda hanya dapat mengintegrasikan rahasia ECS di Edisi Dasar Bastionhost dan Edisi Perusahaan Bastionhost V3.2.40 atau yang lebih baru.
Jika Anda menghapus rahasia ECS dari KMS, Bastionhost tidak dapat mengambil nilai rahasia ECS. Dalam hal ini, sistem gagal terhubung ke instance ECS.

Prasyarat

Instance ECS telah diimpor ke Bastionhost. Untuk informasi lebih lanjut, lihat Impor instance ECS.
Jika Anda menggunakan Pengguna Resource Access Management (RAM) untuk mengelola rahasia ECS dan bastion host, pengguna RAM harus diberikan izin AliyunKMSSecretAdminAccess untuk mengelola rahasia KMS dan izin AliyunYundunBastionHostFullAccess untuk mengelola bastion host. Untuk informasi lebih lanjut, lihat Berikan izin kepada pengguna RAM.

Prosedur

Buat rahasia ECS di KMS. Untuk informasi lebih lanjut, lihat Langkah 1: Buat rahasia ECS.

Masuk ke Konsol KMS. Di bilah navigasi atas, pilih wilayah. Di panel navigasi di sebelah kiri, pilih Resource > Secrets.

Klik tab ECS Secrets, pilih ID instance yang diperlukan dari daftar drop-down Instance ID, lalu klik Create a secret. Kemudian, konfigurasikan parameter dan klik OK.

Parameter	Deskripsi
Secret Name	Nama rahasia. Nama rahasia bersifat unik di dalam wilayah saat ini.
Managed Instance	Instance ECS yang ada yang ingin Anda kelola di dalam akun Alibaba Cloud Anda.
Managed User	Nama pengguna yang ada pada instance ECS, seperti pengguna root untuk sistem operasi Linux atau pengguna Administrator untuk sistem operasi Windows.
Initial Secret Value	Nilai tersebut tidak boleh melebihi 30.720 byte panjangnya, yang setara dengan ukuran 30 KB. Kata Sandi: kata sandi pengguna yang digunakan untuk masuk ke instance ECS. Pasangan Kunci: pasangan kunci SSH pengguna yang digunakan untuk masuk ke instance ECS. Peroleh pasangan kunci SSH Pasangan kunci SSH yang dibuat di ECS Kunci privat: Setelah Anda membuat pasangan kunci SSH, browser secara otomatis mengunduh file kunci privat ke komputer Anda. Nama file tersebut dalam format Nama pasangan kunci.pem. Untuk informasi lebih lanjut, lihat Buat pasangan kunci SSH. Kunci Publik: Untuk informasi lebih lanjut tentang cara melihat informasi tentang kunci publik, lihat Lihat informasi kunci publik. Pasangan kunci SSH yang dihasilkan secara otomatis Simpan kunci privat dan kunci publik dari pasangan kunci setelah pasangan kunci dihasilkan. Misalnya, jalankan perintah `ssh-keygen` untuk menghasilkan dan menyimpan pasangan kunci Rivest-Shamir-Adleman (RSA) 3072-bit. `ssh-keygen -t RSA -b 3072 -m PEM -f ~/.ssh/sshKey_demo -N ""` File berikut dihasilkan: `~/.ssh/sshKey_demo`: berisi kunci privat. `~/.ssh/sshKey_demo.pub`: berisi kunci publik. Catatan Masukkan nilai rahasia yang valid. Jika Anda memasukkan nilai rahasia yang tidak valid, kata sandi atau pasangan kunci yang Anda ambil dari KMS tidak dapat digunakan untuk masuk ke instance ECS sebelum kali pertama rahasia ECS diputar.
CMK	Kunci yang digunakan untuk mengenkripsi nilai saat ini dari rahasia. Penting Kunci dan rahasia Anda harus milik instans KMS yang sama. Kunci tersebut harus berupa kunci simetris. Untuk informasi lebih lanjut tentang kunci simetris yang didukung oleh KMS, lihat Spesifikasi kunci untuk enkripsi simetris dan asimetris. Jika Anda adalah pengguna RAM atau peran RAM, Anda harus memiliki izin untuk memanggil operasi GenerateDataKey menggunakan kunci.
Tag	Tag yang ingin Anda tambahkan ke rahasia. Anda dapat menggunakan tag untuk mengklasifikasikan dan mengelola rahasia. Tag terdiri dari pasangan key-value. Catatan Sebuah key tag atau value tag bisa mencapai hingga 128 karakter panjangnya dan dapat berisi huruf, angka, garis miring (/), backslash (\), underscore (_), tanda hubung (-), titik (.), tanda plus (+), tanda sama dengan (=), titik dua (:), at sign (@), dan spasi. Sebuah key tag tidak boleh dimulai dengan aliyun atau acs:. Anda dapat mengonfigurasi hingga 20 pasangan key-value untuk setiap rahasia.
Automatic Rotation	Menentukan apakah akan mengaktifkan rotasi rahasia otomatis.
Rotation Period	Interval rotasi rahasia otomatis. Pengaturan ini hanya diperlukan saat Anda mengaktifkan rotasi otomatis. Nilainya berkisar dari 1 jam hingga 365 hari. KMS secara berkala memperbarui rahasia berdasarkan nilai parameter ini.
Description	Deskripsi rahasia.
Policy Settings	Pengaturan kebijakan rahasia. Untuk informasi lebih lanjut, lihat Ikhtisar. Anda dapat menggunakan kebijakan default dan kemudian memodifikasi kebijakan berdasarkan kebutuhan bisnis Anda setelah Anda membuat rahasia.

Catatan

Saat Anda membuat rahasia ECS, sistem secara otomatis membuat peran terkait layanan AliyunServiceRoleForKMSSecretsManagerForECS dan melampirkan kebijakan AliyunServiceRolePolicyForKMSSecretsManagerForECS ke peran tersebut. KMS menggunakan peran tersebut untuk mengelola rahasia ECS dan memutar kata sandi ECS serta pasangan kunci SSH.

Anda dapat masuk ke konsol RAM untuk melihat detail peran terkait layanan dan kebijakan. Untuk informasi lebih lanjut, lihat Lihat informasi tentang peran RAM dan Lihat informasi tentang kebijakan.

Impor rahasia ECS di Bastionhost.
Setelah mengimpor rahasia ECS, Bastionhost mengambil nilai rahasia ECS dari KMS untuk masuk ke instance ECS.
1. Masuk ke sistem Bastionhost. Untuk informasi lebih lanjut, lihat Masuk ke sistem.
2. Di panel navigasi di sebelah kiri, pilih Assets > Hosts.
3. Dalam daftar host, temukan host yang ingin Anda kelola dan klik Import KMS Secret di kolom Actions.
4. Di kotak dialog Import KMS Secret, pilih rahasia ECS yang ingin Anda impor dan klik Import.
  Setelah rahasia ECS diimpor, Anda dapat mengklik nama host di daftar host. Pada tab Host Account, lihat dan kelola rahasia ECS yang diimpor.

Apa yang harus dilakukan selanjutnya

Otorisasi pengguna Bastionhost untuk mengelola instance ECS. Untuk informasi lebih lanjut, lihat Otorisasi pengguna untuk mengelola aset dan akun aset.
Kelola instance ECS sebagai pengguna bastionhost. Untuk informasi lebih lanjut, lihat Ikhtisar O&M.

Referensi

Apa itu Bastionhost?