Key Management Service (KMS) は Bastionhost に接続されています。Elastic Compute Service (ECS) インスタンスのシークレットを KMS でホストしている場合、Bastionhost にシークレットをインポートし、ECS インスタンスとインポートされたシークレットに対する権限を Bastionhost ユーザーに付与できます。その後、Bastionhost ユーザーは ECS シークレットを使用して、パスワードを入力することなく ECS インスタンスにログインできます。
サポートされているバージョン
Enterprise Edition および SM Edition。
Bastionhost インスタンスが Basic Edition の場合は、対応するバージョンにアップグレードしてください。詳細については、「インスタンスタイプをアップグレードする」をご参照ください。
前提条件
ECS シークレットは KMS でホストされています。詳細については、「ECS シークレットを管理および使用する」をご参照ください。
ECS インスタンスは Bastionhost にインポートされています。詳細については、「ECS インスタンスをインポートする」をご参照ください。
AliyunYundunBastionHostFullAccess ポリシーは、Bastionhost の管理に使用する RAM ユーザーにアタッチされています。RAM ユーザーが属する Alibaba Cloud アカウントを使用して、ポリシーをアタッチします。詳細については、「RAM ユーザーに権限を付与する」をご参照ください。
手順
Bastionhost システムにログインします。詳細については、「システムにログインする」をご参照ください。
左側のナビゲーションウィンドウで、 を選択します。
ホストリストで、管理するホストを見つけ、[アクション] 列の KMS 資格情報のインポート をクリックします。
KMS 資格情報のインポート ダイアログボックスで、インポートする ECS シークレットを選択し、[インポート] をクリックします。
ECS シークレットがインポートされた後、ホスト リストでホストの名前を [クリック] できます。 [ホストアカウント] タブで、インポートされた ECS シークレットを表示および管理します。
次の手順
ホストリストで、ホスト名をクリックできます。[ホストアccount] タブで、インポートされた ECS シークレットを管理します。
ECS シークレットを削除する:1 つ以上の ECS シークレットを選択して、ECS シークレットを削除します。ECS シークレットを削除した後、Bastion ホストからのみ削除され、KMS からは削除されません。
説明KMS から ECS シークレットを削除した後、Bastion ホストの ECS シークレットは削除済みとしてマークされ、使用できなくなります。
SFTP 権限のみを有効にする をオンにする:アカウントに対して [SFTP 権限のみを有効にする] をオンにすると、そのアカウントの SSH ベースのログインは無効になります。
参照
ECS インスタンスおよびシークレットに対する権限を Bastionhost ユーザーに付与するには、「ホストを管理する権限をユーザーに付与する」をご参照ください。
Bastionhost ユーザーによって実行される O&M 操作を管理するには、「制御ポリシーを設定する」をご参照ください。