堡塁ホストのコンソールにユーザーを追加すると、O&M エンジニアは、そのユーザーとして堡塁ホストにログインし、ユーザーに権限があるホストまたはデータベースで O&M 操作を実行できます。
ユーザータイプ
堡塁ホストのコンソールでは、Alibaba Cloud Resource Access Management (RAM) ユーザーのインポート、ローカルユーザーの作成、Active Directory (AD) 認証済みユーザー、Lightweight Directory Access Protocol (LDAP) 認証済みユーザー、または Identity as a Service (IDaaS) 認証済みユーザーのインポートを実行できます。その後、O&M エンジニアは上記のユーザーとして堡塁ホストにログインできます。
IDaaS 認証済みユーザーは、クライアントでパスワードベースの認証を渡すことによって、資産 O&M 用の堡塁ホストにログインすることはできません。堡塁ホストを使用するには、IDaaS 認証済みユーザーはクライアントで O&M トークンベースの認証を渡すか、O&M ポータルを使用する必要があります。詳細については、「O&M マニュアル」をご参照ください。
ユーザータイプ | 説明 |
RAM ユーザー | RAM コンソールで RAM ユーザーを作成した後、堡塁ホストのコンソールで [RAM ユーザーのインポート] をクリックして RAM ユーザーをインポートします。 |
ローカルユーザー | 単一のユーザーを作成するか、ファイルから複数のユーザーをインポートしてローカルユーザーを作成します。 |
AD 認証または LDAP 認証のユーザー | 堡塁ホストで AD 認証または LDAP 認証を構成し、AD 認証または LDAP 認証のユーザーを堡塁ホストにインポートします。 説明 AD 認証または LDAP 認証のユーザーをインポートする前に、AD 認証または LDAP 認証が構成されていることを確認してください。詳細については、「AD 認証または LDAP 認証の構成」をご参照ください。 |
IDaaS 認証済みユーザー | 堡塁ホストで IDaaS 認証を構成し、IDaaS 認証済みユーザーを堡塁ホストにインポートします。 Enterprise 版と SM 版のみが IDaaS 認証済みユーザーとの統合をサポートしています。 Bastionhost インスタンスが Basic Edition の場合は、対応するバージョンにアップグレードしてください。詳細については、「インスタンスタイプのアップグレード」をご参照ください。 説明 IDaaS 認証済みユーザーをインポートする前に、IDaaS 認証が構成されていることを確認してください。詳細については、「IDaaS 認証の管理」をご参照ください。 |
ユーザーリストの説明
次の表は、ユーザーリストの列について説明しています。
列 | 説明 |
ユーザー名 | 堡塁ホストへのログインに使用されるアカウントのユーザー名。
|
認証ソース | ユーザーのタイプ。たとえば、ローカルユーザーの場合は [ローカル認証] と表示されます。 |
二要素認証方式 | ユーザーがユーザー名とパスワードのログイン方式を使用して堡塁ホストのコンソールにログインする場合、ユーザーに二要素認証が必要です。ユーザーは、ショートメッセージ、メール、または DingTalk 通知によって送信された動的確認コードを入力する必要があります。これにより、セキュリティリスクが軽減されます。
|
OTP アプリ | 現在のユーザーが時間ベースのワンタイムパスワード(TOTP)にバインドされているかどうかを示します。 TOTP をバインドするには、この Topic のユーザーを作成するセクションを参照してください。 説明 TOTP は、RAM ユーザーと IDaaS 認証済みユーザーには適用されません。 |
ステータス | ユーザーのステータス。ユーザー ステータスに関する詳細については、「ユーザー設定タブでパラメーターを構成する」をご参照ください。
|
アクション | 管理者がユーザーに権限を付与するために実行できる操作。詳細については、「ユーザーまたはユーザーグループに資産と資産アカウントを管理する権限を付与する」または「資産グループに対する権限の付与」をご参照ください。 |
ユーザーの作成
必要に応じて、堡塁ホストにユーザーを作成またはインポートできます。その後、O&M エンジニアは、そのユーザーとして堡塁ホストにログインできます。
RAM ユーザーのインポート
Bastionhost コンソールにログインし、上部のナビゲーションバーで堡塁ホストがデプロイされているリージョンを選択します。
堡塁ホストリストで、ターゲットインスタンスを見つけて 管理 をクリックします。
左側のナビゲーションウィンドウで、 を選択します。
Users ページで、Import RAM Users をクリックします。
オプション。 RAM ユーザーが作成されていない場合は、Import RAM Users ダイアログボックスで Create RAM User をクリックし、プロンプトに従って RAM ユーザーを作成します。
詳細については、「RAM ユーザーの作成」をご参照ください。
Import RAM Users ダイアログボックスで、インポートする RAM ユーザーの Actions 列にある Import をクリックします。一度に複数の RAM ユーザーをインポートする場合は、RAM ユーザーを選択し、リストの下にある Import をクリックします。
説明RAM ユーザーの二要素認証を有効にするには、RAM コンソールにログインし、多要素認証 (MFA) を有効にします。詳細については、「Alibaba Cloud アカウントへの MFA デバイスのバインド」をご参照ください。
ローカルユーザーの作成
Bastionhost コンソールにログインし、上部のナビゲーションバーで堡塁ホストがデプロイされているリージョンを選択します。
堡塁ホストリストで、ターゲットインスタンスを見つけて 管理 をクリックします。
左側のナビゲーションウィンドウで、 を選択します。
[ユーザー] ページで、次の表に記載されている手順に基づいて、単一のローカルユーザーを作成するか、ファイルから複数のローカルユーザーをインポートします。
シナリオ
手順
単一のローカルユーザーの作成
Import Other Users > ユーザの作成 を選択します。
ユーザの作成 パネルで、ユーザー情報を構成し、Create をクリックします。
ユーザー情報を設定する場合は、認証方法 を Local Authentication に設定する必要があります。基本情報の設定に加えて、次の設定を行うことができます。
ユーザは次回ログイン時にパスワードをリセットする必要があります。 を選択します。このパラメータを選択すると、ローカルユーザーは次回ログイン時にパスワードをリセットする必要があります。このパラメータは、ローカルユーザーに対してのみ有効です。
Validity Period を指定します。ローカルユーザーに指定した有効期間が経過すると、ローカルユーザーの Status 列の値が Expired に変更されます。O&M エンジニアは、ローカルユーザーを使用して堡塁ホストにログインできません。
二要素認証方法 を設定します。二要素認証方式を有効にすると、ローカルユーザーは有効なパスワードを入力した後、ショートメッセージ、メール、または DingTalk によって送信された動的確認コードを入力する必要があります。これは、セキュリティリスクの軽減に役立ちます。
説明ローカルユーザーに対して二要素認証方式を有効にした場合、ローカルユーザーが堡塁ホストにログインしようとすると、ショートメッセージまたはメールで送信された動的確認コードを入力する必要があります。ローカルユーザーの有効な携帯電話番号またはメールアドレスを入力してください。ショートメッセージベースの二要素認証がサポートされている国と地域については、「サポートされている国と地域」をご参照ください。
入力した携帯電話番号とメールアドレスは、確認コードまたはアラート通知を受信するためにのみ使用されます。
二要素認証方法 の有効な値:
すべてのユーザ向け: System Settings ページで設定したグローバル二要素認証方式が使用されることを示します。詳細については、「二要素認証を有効にする」をご参照ください。
単一のユーザ向け: ローカルユーザーに特定の二要素認証方式を設定する必要があることを示します。Bastionhost は、次の二要素認証方式をサポートしています。
無効化: 二要素認証は無効になっています。
SMS: 二要素認証はショートメッセージを使用して実装されます。この方法を選択した場合は、ローカルユーザーの携帯電話番号を指定する必要があります。
メール: 二要素認証はメールを使用して実装されます。この方法を選択した場合は、ローカルユーザーのメールアドレスを指定する必要があります。
DingTalk: 2 要素認証は、DingTalk 通知を使用して実装されます。この方法を選択する場合は、ローカルユーザーの携帯電話番号を指定する必要があります。
説明二要素認証を有効にする際に DingTalk を選択する場合は、次の要件が満たされていることを確認してください。
運用および保守操作を実行するユーザーの携帯電話番号が指定されていること。ユーザーの携帯電話番号を追加する方法の詳細については、「ローカルユーザーの基本情報を変更する」をご参照ください。
DingTalk 管理者が社内エンタープライズ アプリケーションを作成し、そのアプリケーションに [携帯電話番号と名前に基づいてメンバー情報を取得するための API へのアクセス許可] を付与していること。
社内エンタープライズ アプリケーションの [AppKey]、[AppSecret]、および [AgentId] が取得されていること。
OTP アプリによる認証: 2 要素認証は、現在のユーザーのモバイル OTP トークンを使用して実装されます。ユーザーは最初に OTP トークンをバインドする必要があります。
説明このメソッドを選択する場合は、Alibaba Cloud アプリなどの標準 TOTP 認証アプリをダウンロードする必要があります。次に、パブリックエンドポイントを使用して Bastionhost O&M ポータルにログインします。左側のナビゲーションウィンドウで、セキュリティ設定 をクリックします。OTP の有効化 タブで、OTP アプリのバインド をクリックし、クイックレスポンス(QR)コードをスキャンして認証用の OTP トークンをバインドします。要塞ホストの O&M アドレスを取得するには、概要ページ を参照してください。
二要素通知の送信言語 を設定します。
すべてのユーザ向け を選択した場合、現在のユーザーは System Settings ページで設定された二要素通知送信言語を使用します。詳細については、「二要素認証を有効にする」をご参照ください。
単一のユーザ向け を選択した場合、二要素通知送信言語として [簡体字中国語] または [英語] を選択します。
ファイルから複数のローカルユーザーをインポートする
Import Users from File を Import Other Users ドロップダウンリストから選択します。
Download User Template をクリックし、ユーザーテンプレートパッケージをコンピューターにダウンロードして、パッケージを解凍します。次に、インポートするローカルユーザーに関する情報をユーザーテンプレートファイルに入力して、情報を保存します。
Import Local Users パネルで、Upload をクリックして、編集したユーザーテンプレートファイルをアップロードします。
Preview ダイアログボックスで、インポートするローカルユーザーを選択し、Import をクリックします。
Import Local Users パネルで、ローカルユーザーの情報を確認し、Import Local Users をクリックします。
ユーザは次回ログイン時にパスワードをリセットする必要があります。 を選択すると、インポートされたすべてのローカルユーザーは、次回ログイン時にパスワードをリセットする必要があります。
説明インポートするローカルユーザーは表に表示されます。たとえば、最初のユーザー、3 番目のユーザー、5 番目のユーザーなど、一部のローカルユーザーが同じユーザー名を共有している場合、堡塁ホストは 5 番目のユーザーのみをインポートします。インポートするローカルユーザーが堡塁ホストの既存のユーザーと同じユーザー名を共有している場合、ローカルユーザーに関する情報はインポートされません。Details を Import Local Users パネルでクリックすると、インポートされていないユーザーに関する情報を表示できます。
オプション。堡塁ホストに O&M アドレスをユーザーに通知させる場合は、ローカルユーザーの携帯電話番号またはメールアドレスを指定し、ユーザに O&M アドレスを送信 を選択する必要があります。
AD または LDAP で認証されたユーザーをインポートする
AD または LDAP で認証されたユーザーをインポートする前に、AD または LDAP 認証が構成されていることを確認してください。詳細については、「AD 認証または LDAP 認証を構成する」をご参照ください。
[Bastionhost コンソール] にログオンし、上部のナビゲーションバーで Bastion ホストがデプロイされているリージョンを選択します。
Bastion ホストリストで、ターゲットインスタンスを見つけ、管理 をクリックします。
左側のナビゲーションウィンドウで、 を選択します。
Import Other Users > Import AD Users または Import LDAP Users を選択します。
Import AD Users または Import LDAP Users ダイアログボックスで、インポートする AD または LDAP で認証されたユーザーの Actions 列の Import をクリックします。
複数の AD または LDAP で認証されたユーザーを一度にインポートすることもできます。
IDaaS 認証済みユーザーのインポート
IDaaS 認証済みユーザーをインポートする前に、IDaaS 認証が構成されていることを確認します。詳細については、「IDaaS 認証の管理」をご参照ください。
IDaaS 認証済みユーザーは、クライアントでパスワードベースの認証を通過することで、資産 O&M のための堡塁ホストにログオンできません。堡塁ホストを使用するには、IDaaS 認証済みユーザーは、クライアントで O&M トークンベースの認証を通過するか、O&M ポータルを使用する必要があります。詳細については、「O&M マニュアル」をご参照ください。
[Bastionhost コンソール] にログオンし、上部のナビゲーションバーで堡塁ホストがデプロイされているリージョンを選択します。
堡塁ホストリストで、ターゲットインスタンスを見つけ、管理 をクリックします。
左側のナビゲーションウィンドウで、 を選択します。
Import Other Users > IDaaS ユーザのインポート を選択します。
IDaaS ユーザのインポート ダイアログボックスで、インポートする IDaaS 認証済みユーザーの Actions 列にある Import をクリックします。
複数の AD 認証済みユーザーまたは LDAP 認証済みユーザーを一度にインポートすることもできます。ダイアログボックスに IDaaS 認証済みユーザーが表示されない場合は、今すぐ同期 をクリックします。
ユーザーログイン制限
ビジネス要件に基づいて、承認済みの送信元 IP アドレスとログイン期間を指定して、堡塁ホストへのアクセスを制御できます。
Bastionhost コンソール にログインし、上部のナビゲーションバーで堡塁ホストがデプロイされているリージョンを選択します。
堡塁ホストリストで、ターゲットインスタンスを見つけ、管理 をクリックします。
左側のナビゲーションウィンドウで、 を選択します。
ユーザーページで、管理するユーザーのユーザー名をクリックします。
[ユーザーログイン制限] タブで、ログインの送信元 IP アドレスと期間の制限を指定し、[更新] をクリックします。
(ホワイトリスト)リストされている IP アドレスのみ許可:指定された期間内は、ホワイトリストにある送信元 IP アドレスのみを使用して堡塁ホストにログインできます。
(ブラックリスト)リストされている IP アドレスは許可されない:ブラックリストにある送信元 IP アドレスは、堡塁ホストへのログインに使用できません。ブラックリストにない送信元 IP アドレスは、指定された期間内にのみ堡塁ホストへのログインに使用できます。
ユーザーのエクスポート
ユーザーをエクスポートした後、ローカルの CSV ファイルでユーザーを表示できます。
Bastionhost コンソール にログインし、上部のナビゲーションバーで Bastion ホストがデプロイされているリージョンを選択します。
Bastion ホストリストで、ターゲットインスタンスを見つけ、管理 をクリックします。
左側のナビゲーションウィンドウで、 を選択します。
Users ページで、右上隅にある Export Users をクリックします。
ローカルユーザーの基本情報を変更する
AD 認証ユーザー、LDAP 認証ユーザー、RAM ユーザー、または IDaaS 認証ユーザーの基本情報を変更するには、各認証元のコンソールに移動します。
ユーザーの携帯電話番号やメールアドレスなどの情報が変更された場合は、できるだけ早く、ユーザーがインポートされている堡塁ホストのコンソールに移動して情報を更新する必要があります。そうしないと、ユーザーは確認コードを受け取ることができず、堡塁ホストにログインできません。ユーザーの携帯電話番号が変更され、堡塁ホストでタイムリーに更新されない場合、確認コードは以前の携帯電話番号に送信されるため、ユーザーは堡塁ホストにログインできません。
堡塁ホストコンソール にログインし、上部のナビゲーションバーで堡塁ホストがデプロイされているリージョンを選択します。
堡塁ホストリストで、ターゲットインスタンスを見つけ、管理 をクリックします。
左側のナビゲーションウィンドウで、 を選択します。
情報を変更するユーザーを見つけ、ユーザー名をクリックします。
Basic Info タブで、ユーザー情報を変更し、アップデート をクリックします。
ユーザーをロックまたはロック解除する
ユーザーが特定の期間内に堡塁ホストを使用して O&M 操作を実行する必要がなくなった場合は、ユーザーを手動でロックするか、トリガー条件を設定してユーザーを自動的にロックできます。ロックされたユーザーが O&M 操作を実行する必要がある場合は、ユーザーのロックを解除できます。
ユーザーを自動的にロックする
デフォルトでは、Bastionhost はユーザーを自動的にロックする機能を提供します。ユーザーが無効なパスワードを 5 回以上連続で入力すると、Bastionhost はユーザーをロックします。 Bastionhost 管理者は、Account Lockout Threshold を指定できます。詳細については、「ユーザー設定タブのパラメーターを設定する」をご参照ください。
ユーザーを手動でロックまたはロック解除する
ユーザーの手動ロックまたはロック解除はすぐに有効になります。ユーザーが手動でロックされている場合、ユーザーはサーバーにログインして O&M 操作を実行できません。注意して進めてください。
Bastionhost コンソール にログインし、上部のナビゲーションバーで堡塁ホストがデプロイされているリージョンを選択します。
堡塁ホストリストで、ターゲットインスタンスを見つけ、管理 をクリックします。
左側のナビゲーションウィンドウで、 を選択します。
Users ページで、ロックまたはロック解除するユーザーを選択します。ユーザーリストの下で、 または を選択します。
Locked:ユーザーをロックした後、The user is locked. メッセージが表示されます。ロックされたユーザーの [ステータス] 列の値は、[標準] から [ロック済み] に変わります。ユーザーをロックした後も、ユーザーの基本情報を変更したり、ユーザーにホストとアセットグループの管理を承認したりできます。
Unlock:ユーザーのロックを解除した後、The user is unlocked. メッセージが表示されます。ユーザーは堡塁ホストにログインし、権限を持つホストで O&M 操作を実行できます。
ユーザーの公開鍵をホストする
ユーザーの公開鍵を設定し、公開鍵を堡塁ホストでホストできます。その後、ユーザーは秘密鍵を使用して O&M クライアントから堡塁ホストにログインできます。詳細については、「SSH ベースの O&M を実行する」をご参照ください。
[Bastionhost コンソール] にログインし、上部のナビゲーションバーで堡塁ホストがデプロイされているリージョンを選択します。
堡塁ホストリストで、ターゲットインスタンスを見つけ、管理 をクリックします。
左側のナビゲーションウィンドウで、 を選択します。
[ユーザー] ページで、公開鍵を設定するユーザーのユーザー名をクリックします。ユーザー詳細ページで、[ユーザー公開鍵] タブをクリックし、[SSH 公開鍵の追加] をクリックします。
[SSH 公開鍵の追加] パネルで、公開鍵の名前と内容を設定します。次に、[SSH 公開鍵の追加] をクリックします。
公開鍵を設定すると、公開鍵は堡塁ホストでホストされます。公開鍵は公開鍵リストで表示できます。
ユーザーを削除する
ユーザーが踏み台ホストを使用してホストで O&M 操作を実行する必要がなくなった場合は、セキュリティリスクを軽減するためにユーザーを削除できます。
Bastionhost コンソール にログインし、トップナビゲーションバーで、踏み台ホストがデプロイされているリージョンを選択します。
踏み台ホストリストで、ターゲットインスタンスを見つけ、管理 をクリックします。
左側のナビゲーションウィンドウで、 を選択します。
ユーザーリストで、削除するユーザーを選択し、ユーザーリストの下にある [削除] をクリックします。
ローカルユーザーの次回ログオン時のパスワードリセット要件の構成を変更する
ローカルユーザーの作成後に ユーザは次回ログイン時にパスワードをリセットする必要があります。 を有効または無効にする場合は、次の手順を実行します。
Bastionhost コンソール にログオンし、上部のナビゲーションバーで、Bastionhost がデプロイされているリージョンを選択します。
Bastionhost リストで、ターゲットインスタンスを見つけ、管理 をクリックします。
左側のナビゲーションウィンドウで、 を選択します。
ユーザーページで、管理するユーザーを選択し、ユーザーリストの下にある を選択します。
表示されるダイアログボックスで、ドロップダウンリストから [有効] または [無効] を選択し、[OK] をクリックします。