システムのセキュリティを確保するために、ユーザーのログイン設定、アカウントのロックアウトポリシー、およびユーザーステータス設定を構成できます。ユーザーログイン設定を構成して、ユーザーが SSH モードで Bastionhost にログインする際に、認証にキーペアのみを使用できるようにすることができます。アカウントのロックアウトポリシーを構成して、ブルートフォース攻撃からリソースを保護できます。また、[ユーザーステータス設定] セクションのパラメーターを構成して、パスワードの有効期間を指定し、長期間システムへのログインに使用されていないアカウントを「非アクティブ」としてマークすることもできます。
Bastionhost コンソールにログインします。上部のナビゲーションバーで、Bastionhost インスタンスが配置されているリージョンを選択します。
Bastionhost インスタンスのリストで、対象のインスタンスを見つけ、管理 をクリックします。
左側のナビゲーションウィンドウで、System Settings をクリックします。
ユーザ設定 タブで、次の表に基づいてパラメーターを設定し、Save をクリックします。
パラメーター
説明
ユーザログイン設定
パスワードベースの SSH ログインの無効化
この機能を有効にすると、ユーザーは SSH プロトコルまたは SSH トンネルを介して O&M 操作を実行するために Bastionhost にログインするときに、認証にキーペアまたは O&M トークンのみを使用できます。
SSH キーログインの禁止
この機能を有効にすると、ユーザーは SSH ベースの O&M ツールを使用してホストで O&M 操作を実行したり、SSH トンネルを介してデータベースで O&M 操作を実行したりするために Bastionhost にログインするときに、認証にパスワードまたは O&M トークンのみを使用できます。
プライベートネットワーク O&M ポータルのマンマシン認証の無効化
ユーザーに対してこの機能を有効にすると、ユーザーがプライベートエンドポイントを使用して Bastionhost の O&M ポータルにログインする際に、コンピューターと人間を区別するための完全に自動化された公開チューリングテスト (CAPTCHA) は実行されません。O&M ポータルからのユーザーログイン時には、CAPTCHA はパブリックネットワーク経由でのみ実行できます。ユーザーがクライアントを使用してパブリックエンドポイント経由で Bastionhost にアクセスできない場合は、この機能を有効にして、ユーザーがプライベート O&M ポータルから Bastionhost にログインできるようにする必要があります。
ログインのロック設定
Account Lockout Policy
Account Lockout Threshold
アカウントがロックされる原因となる連続したログイン失敗試行回数。
有効な値: 0~999。デフォルト値は 5 です。このパラメーターを 0 に設定すると、アカウントはロックされません。
Account Lockout Duration
ロックされたアカウントがシステムへのログインに使用できない期間。単位: 分。
有効な値: 0~10080。デフォルト値は 30 です。このパラメーターを 0 に設定すると、ユーザーは管理者がロックを解除するまでロックされます。
Reset Account Lockout Counter After
失敗した試行回数が Account Lockout Threshold の値を超えない場合に、パスワード試行失敗カウンターがリセットされるまでの期間。単位: 分。
説明たとえば、Account Lockout Threshold が 5 に設定され、Reset Account Lockout Counter After が 5 に設定されている場合、14:00:00 に 4 回目の不正なパスワードでのログインに失敗し、14:00:00 から 14:05:00 の間に不正なパスワードで再度試行しないと、パスワード試行失敗カウンターは同日の 14:05:00 以降に 0 にリセットされます。
有効な値: 0~10080。デフォルト値は 5 です。
IP アドレスのロック設定
Account Lockout Threshold
同じソース IP アドレスからのログイン失敗回数が指定されたしきい値に達すると、その IP アドレスは自動的にロックされます。デフォルト値は 30 です。このパラメーターを 0 に設定すると、IP アドレスはロックされません。ロックされた IP アドレスは自動的にロック解除されません。手動でロックを解除する必要があります。
Reset Account Lockout Counter After
有効な値: 1~10080。ログイン失敗後、ログイン失敗カウンターが 0 にリセットされるまでに経過する必要がある期間。デフォルト値は 5 です。
ブラックリスト IP アドレス
ロックされた IP アドレスがテーブルに表示されます。Bastionhost へのアクセスに使用する前に、IP アドレスを手動でロック解除する必要があります。
ユーザーパスワードのセキュリティ設定
パスワードの有効期間
パスワードの有効期間。有効期間が経過すると、パスワードのリセットが必要になります。このパラメーターは、ローカルユーザーにのみ有効です。
有効な値: 0~365。デフォルト値は 0 です。単位: 日。このパラメーターを 0 に設定すると、パスワードは無期限になります。
パスワードの関連性
ユーザーがパスワードをリセットする際に使用できない、以前のパスワードの数。有効な値: 0~30。デフォルト値は 5 です。このパラメーターを 0 に設定した場合、制限は課されません。
ユーザステータスの設定
アカウントが長時間ログインしていないマーク
アカウントが「非アクティブ」としてマークされるまでの日数。指定された期間内にアカウントがシステムへのログインに使用されない場合、そのアカウントは「非アクティブ」としてマークされます。単位: 日。
有効な値: 0~365。デフォルト値は 0 です。このパラメーターを 0 に設定した場合、ステータスはマークされません。
長時間ログインしていないアカウントの自動ロック
この機能を有効にすると、システムは長期間非アクティブなユーザーを自動的にロックします。ロックされたユーザーは、管理者がアカウントのロックを解除した後にのみ、再度アカウントを使用できます。
システムが非アクティブなユーザーを自動的にチェックしてロックする間隔を設定できます。ロックされたユーザーは、管理者がアカウントのロックを解除した後にのみ、再度アカウントを使用できます。デフォルト値は 10 分です。有効な値: 10~1440 分、または 1~24 時間。
AD/LDAP ユーザの情報とステータスの自動同期間隔
Bastionhost にインポートされた Active Directory (AD) 認証または Lightweight Directory Access Protocol (LDAP) 認証ユーザーの構成とステータスが自動的に同期される間隔。単位: 分。
有効な値: 15~14400。デフォルト値は 240 です。