セキュリティを強化するために、Elastic Compute Service (ECS) インスタンスに接続するときは身元認証を完了する必要があります。 これにより、承認されたユーザーのみが ECS インスタンスリソースにアクセスして管理できるようになります。 インスタンスを作成するときは、初期ログオンユーザーとして事前設定ユーザーを選択します。 その後、事前設定ユーザーを使用して、作成したインスタンスにログオンできます。 このトピックでは、ログオンユーザーの特性と相違点、およびログオンユーザーの管理方法と追加方法について説明します。
Linux インスタンスの初期ログオンユーザー
初期ログオンユーザー
Linux インスタンスの初期ログオンユーザーとは、Linux インスタンスの作成時に指定するログオンユーザーのことです。 Linux インスタンスの場合、初期ログオンユーザーを root または ecs-user に設定できます。
root
システムのインストール中に自動的に作成され、オペレーティングシステムに対するすべての権限を持つ Linux のスーパーユーザーです。 root ユーザーは削除できません。 他のユーザーを使用してインスタンスにログオンする場合は、ログオンユーザーを追加します。
ecs-user (推奨)
Linux の一般ユーザーです。 ecs-user ユーザーはシステムレベルの権限を持たず、権限が付与されている操作のみを実行できます。 ただし、
sudoコマンドを実行して、ecs-user ユーザーに一時的な root 権限を付与できます。 特定のオペレーティングシステムでは、ecs-user を初期ログオンユーザーとして指定できます。
root ユーザーは、システムのインストール中に自動的に作成されます。 インスタンスの作成時に ecs-user をログオンユーザーとして選択すると、ecs-user ユーザーがインスタンスのオペレーティングシステムに自動的に作成されます。 この場合、root ユーザーと ecs-user ユーザーは共存しますが、root ユーザーはインスタンスへのログオンには使用されません。
root ユーザーを使用してログオンすると、セキュリティリスクが発生する可能性があります。 セキュリティを確保するために、オペレーティングシステムで ecs-user がサポートされているインスタンスの初期ログオンユーザーとして ecs-user を指定することをお勧めします。
オペレーティングシステムイメージで ecs-user がサポートされているかどうかを確認するには、ECS コンソールで ECS インスタンス購入ページにアクセスするか、DescribeImages オペレーションを呼び出してイメージ情報をクエリします。 レスポンスの
LoginAsNonRootSupportedパラメーターがtrueの場合、ecs-user を初期ログオンユーザーとして選択できます。
ログオン資格情報
インスタンスを作成するときは、[キーペア]、[カスタムパスワード]、または [後で設定] を選択して、初期ログオンユーザーのログオン資格情報を指定できます。 次のセクションでは、オプションについて説明します。
キーペア (推奨)
SSH 経由で Linux インスタンスに接続するために使用されるキーペアです。 キーペアは、公開鍵と秘密鍵で構成されます。 公開鍵はインスタンスに保存され、秘密鍵は自分で保存します。 認証プロセスでは、キーペアは明示的に送信されません。これは、パスワードベースの認証よりも安全です。
重要インスタンスの作成時にログオン資格情報としてキーペアを選択すると、パスワードベースのログオンは無効になります。 この場合、ユーザー名とパスワードを使用してインスタンスにログオンすることはできません。 Virtual Network Computing (VNC) を使用してインスタンスにログオンする場合は、ログオンパスワードを指定する必要があります。 ログオンパスワードの指定方法については、このトピックの Linux または Windows インスタンスの初期ログオンユーザーのパスワードをリセットする セクションを参照してください。
カスタムパスワード (非推奨)
Linux インスタンスに接続するために使用されるパスワードです。
後で設定
[後で設定] を選択すると、インスタンスの作成時に root ユーザーが初期ログオンユーザーとして自動的に使用されます。 ただし、セキュリティを確保するために、システムでは root ユーザーのログオンは許可されていません。 インスタンスに接続するには、次のいずれかの方法を使用できます。
方法 1: インスタンスのログオンパスワードを指定するか、インスタンスにキーペアをバインドしてから、パスワードまたはキーペアを使用してインスタンスにログオンします。 インスタンスのログオンパスワードを指定する方法、またはインスタンスにキーペアをバインドする方法については、このトピックの Linux インスタンスの初期ログオンユーザーのキーペアをリセットする または Linux または Windows インスタンスの初期ログオンユーザーのパスワードをリセットする セクションを参照してください。
方法 2: インスタンスの Cloud Assistant を有効にします。 Cloud Assistant の Session Manager を使用すると、パスワードを設定せずにインスタンスにログオンできます。
Session Manager を使用してインスタンスにログオンする場合、ログオンユーザー名は ecs-assist-user です。 詳細については、「ECS コンソールで Session Manager を使用してインスタンスに接続する」をご参照ください。
Windows インスタンスの初期ログオンユーザー
初期ログオンユーザー
Windows インスタンスの初期ログオンユーザーとは、Windows インスタンスの作成時に指定するログオンユーザーのことです。 Windows インスタンスの場合、初期ログオンユーザーは Administrator です。 Administrator は、Windows オペレーティングシステムのスーパー管理者であり、Windows オペレーティングシステムに対するすべての権限を持っています。 ユーザーのパスワードの変更方法など、初期ログオンユーザーの管理方法については、このトピックの Linux または Windows インスタンスの初期ログオンユーザーのパスワードをリセットする セクションを参照してください。
ログオン資格情報
インスタンスを作成するときは、[カスタムパスワード] または [後で設定] を選択して、初期ログオンユーザーのログオン資格情報を指定できます。
カスタムパスワード
Windows インスタンスに接続するために使用されるパスワードです。
後で設定
[後で設定] を選択すると、インスタンスの作成時に Administrator ユーザーのパスワードは設定されません。 インスタンスに接続するには、次のいずれかの方法を使用できます。
方法 1: インスタンスのログオンパスワードを指定してから、Administrator ユーザー名と指定したパスワードを使用してインスタンスに接続します。 インスタンスのログオンパスワードを指定する方法については、このトピックの Linux または Windows インスタンスの初期ログオンユーザーのパスワードをリセットする セクションを参照してください。
方法 2: インスタンスの Cloud Assistant を有効にします。 Cloud Assistant の Session Manager を使用すると、パスワードを設定せずにインスタンスにログオンできます。
Session Manager を使用してインスタンスにログオンする場合、ログオンユーザー名は system です。 詳細については、「ECS コンソールで Session Manager を使用してインスタンスに接続する」をご参照ください。
インスタンスの初期ログオンユーザーのログオン資格情報を管理する
インスタンスを作成した後、ECS コンソールで初期ログオンユーザーのパスワードまたはキーペアを管理できます。
Linux インスタンスの初期ログオンユーザーのキーペアをリセットする
ECS コンソールで初期ログオンユーザーのキーペアを変更できます。 次の手順を実行します。
キーペアを作成します。
ECS コンソール - キーペア にアクセスします。
上部のナビゲーションバーで、管理するリソースのリージョンとリソースグループを選択します。
[キーペア] ページで、[キーペアの作成] をクリックします。
[キーペアの作成] ダイアログボックスで、プロンプトに従ってキーペアを構成します。
キーペアを自動的に作成する場合は、[自動作成] を選択します。 作成したキーペアをインポートする場合は、[SSH キーペアをインポート] を選択し、[公開鍵] を指定して、作成したキーペアの公開鍵をインポートします。 詳細については、「SSH キーペアをインポートする」をご参照ください。
[OK] をクリックします。
重要[作成モード] を [自動作成] に設定すると、秘密鍵ファイル (.pem ファイル) が自動的に作成され、ダウンロードされます。 Alibaba Cloud は秘密鍵を保存しません。 秘密鍵ファイルは安全な場所に保管してください。
キーペアを Linux インスタンスにバインドします。
[キーペア] ページで、手順 1 で作成したキーペアを見つけ、「操作」列の [キーペアのバインド] をクリックします。[キーペアのバインド] ダイアログボックスが表示されます。
[操作を確認] 手順で、キーペアをバインドする ECS インスタンスを選択し、[次へ] をクリックします。
インスタンスの再起動手順で、[再起動モード] を [再起動] または [強制再起動] に設定し、[OK] をクリックします。 キーペアは、インスタンスが再起動された後に有効になります。
Linux または Windows インスタンスの初期ログオンユーザーのパスワードをリセットする
ECS コンソールで初期ログオンユーザーのパスワードを変更できます。 次の手順を実行します。
ECS コンソールにログオンし、パスワードを変更するインスタンスを見つけ、[インスタンスパスワードのリセット] ダイアログボックスに移動します。
ECS コンソール - インスタンス にアクセスします。
上部のナビゲーションバーで、管理するリソースのリージョンとリソースグループを選択します。
インスタンスページで、パスワードを変更するインスタンスを見つけ、操作列の を選択します。
[インスタンスパスワードのリセット] ダイアログボックスで、インスタンスのログオンパスワードを変更します。
次のパラメーターに注意してください。
[ログイン名]: デフォルトでは、このパラメーターは ECS インスタンスの初期ログオンユーザーのユーザー名です。 このパラメーターを変更する必要はありません。
[新しいパスワード] と [パスワードの確認]: プロンプトに従って新しいパスワードを指定します。
[パスワードをリセットする方法]:
[オンラインのパスワード再設定] (推奨): インスタンスを再起動せずにパスワードを変更できます。オンラインでパスワードを変更する前に、インスタンスに Cloud Assistant Agent をインストールする必要があることに注意してください。[オンラインのパスワード再設定] は、インスタンスの他のユーザーのパスワードのリセットもサポートしています。
デフォルトでは、2017 年 12 月 1 日以降にパブリックイメージから作成された ECS インスタンスには、クラウドアシスタントクライアント がプリインストールされています。 詳細については、「Cloud Assistant Agent をインストールする」をご参照ください。
[オフラインのパスワード再設定]: ログオンパスワードを変更した後、新しいパスワードを有効にするには、インスタンスを再起動する必要があります。 この方法では、Cloud Assistant Agent をインストールする必要はありません。 オフラインパスワードリセット方法は、インスタンスの初期ログオンユーザーのパスワードをリセットする場合にのみ適しています。
[SSH パスワードログインポリシーの設定]。 このパラメーターは、Linux インスタンスにのみ適用されます。
[有効化] (推奨): SSH パスワードベースの認証を使用してインスタンスに接続する場合は、[有効化] を選択します。
[有効] を選択すると、アカウントの SSH 構成が変更され、SSH パスワードベースのログオンが有効になります。
/etc/ssh/sshd_configファイルのPasswordAuthenticationパラメーターは、自動的にtrueに設定されます。[元の設定を維持する]: VNC ログオンシナリオなど、SSH パスワードベースの認証を使用してインスタンスに接続する必要がない場合は、このオプションを選択します。 このオプションを使用すると、インスタンスのオペレーティングシステムでログオンユーザーのパスワードのみを変更できます。
[元の設定を保持] を選択すると、元の SSH 構成は変更されません。 SSH 構成ファイルの
PasswordAuthenticationパラメーターが false に設定されている場合、SSH パスワードベースの認証を使用して Linux インスタンスに接続できない可能性があります。
上記のパラメーターを確認し、[変更する] をクリックして、パスワードリセット操作を完了します。
ログオンユーザーを追加する
インスタンスに接続するために複数のユーザーを作成できます。 オペレーティングシステムで一般ユーザーを作成し、リモート接続を有効にするには、次の操作を実行します。
Linux インスタンス
Linux インスタンスでは、ユーザーを追加した後に、/etc/ssh/sshd_config という名前の SSH 構成ファイルを確認します。
インスタンスへのログオンにキーペア (SSH) を使用する場合は、SSH キーペアベースの認証を有効にする必要があります。 次の手順で説明するように、SSH 構成ファイルの
PubkeyAuthenticationパラメーターが yes に設定されていることを確認します。インスタンスへのログオンにパスワード (SSH) を使用する場合は、SSH パスワードベースの認証を有効にする必要があります。 次の手順で説明するように、SSH 構成ファイルの
PasswordAuthenticationパラメーターが yes に設定されていることを確認します。インスタンスへのログオンに VNC または Session Manager を使用する場合は、SSH 構成ファイルを変更する必要はありません。
この例では、exampleuser という名前のユーザーが作成されます。
Linux ECS インスタンスに接続します。
適切な方法を選択して、ECS インスタンスに接続します。 詳細については、「ECS インスタンスに接続する方法」トピックの ECS インスタンスに接続する方法 または ECS インスタンスに接続する方法 セクションを参照してください。
ユーザーを作成します。
次のコマンドを実行して、ユーザーを作成します。
sudo useradd -m <username><username>を使用するユーザー名に置き換えます。 たとえば、次のコマンドを実行して、exampleuserという名前のユーザーを作成します。sudo useradd -m exampleuserパスワードまたはキーペアを構成します。
キーペアを構成する
キーペアは、公開鍵と秘密鍵で構成されます。 公開鍵はインスタンスに保存され、秘密鍵は自分で保存します。 ログオンには秘密鍵が必要です。
キーペアを準備する
既存のキーペアを使用するか、キーペアを作成できます。 キーペアを作成するには、ssh-keygen コマンドを実行します。
公開鍵を
authorized_keys構成ファイルで指定します。公開鍵の内容を、作成したユーザーのルートディレクトリにある
.ssh/authorized_keysファイルにコピーします。作成したユーザーのルートディレクトリに .ssh フォルダーを作成します。
sudo mkdir /home/<username>/.ssh<username>を、手順 2 で作成したユーザーの名前に置き換えます。 たとえば、exampleuserを作成した場合は、次のコマンドを実行してexampleuserの構成ファイルを変更します。sudo mkdir /home/exampleuser/.ssh新しいユーザーのルートディレクトリに
.ssh/authorized_keys構成ファイルを作成し、サブステップ a で生成された公開鍵ファイル (id_rsa.pub) の内容を構成ファイルにコピーします。sudo touch /home/<username>/.ssh/authorized_keys<username>を、手順 2 で作成したユーザーの名前に置き換えます。 たとえば、exampleuserを作成した場合は、次のコマンドを実行して、exampleuserの.ssh/authorized_keys構成ファイルを作成します。sudo touch /home/exampleuser/.ssh/authorized_keysVim エディターを使用して構成ファイルを変更できます。 Vim エディターの使用方法については、「Vim エディター」をご参照ください。
.sshディレクトリとauthorized_keysファイルの権限を変更します。sudo chown -R <username>:<username> /home/<username>/.ssh sudo chmod 700 /home/<username>/.ssh sudo chmod 600 /home/<username>/.ssh/authorized_keys<username>を、手順 2 で作成したユーザーの名前に置き換えます。 たとえば、exampleuserを作成した場合は、次のコマンドを実行して権限を変更します。sudo chown -R exampleuser:exampleuser /home/exampleuser/.ssh sudo chmod 700 /home/exampleuser/.ssh sudo chmod 600 /home/exampleuser/.ssh/authorized_keys
という名前の SSH 構成ファイルを確認して変更します。
/etc/ssh/sshd_config.キーペアを構成した後、
/etc/ssh/sshd_config構成ファイルのPubkeyAuthenticationパラメーターをyesに変更して、SSH キーペアベースの認証を有効にします。Vim エディターを使用してこの操作を実行できます。 Vim エディターの使用方法については、「Vim エディター」をご参照ください。
sshdサービスを再起動して、構成を有効にします。sudo systemctl restart sshd
パスワードを指定する
重要セキュリティを確保するために、インスタンスへのログオンに弱いパスワードを指定しないでください。
インスタンスで次のコマンドを実行して、パスワードを指定します。
sudo passwd <username><username>を、手順 2 で作成したユーザーの名前に置き換えます。 たとえば、手順 2 でexampleuserを作成した場合は、次のコマンドを実行してexampleuserのパスワードを指定します。sudo passwd exampleuser画面の指示に従って、新しいパスワードを入力して確認します。
という名前の SSH 構成ファイルを確認して変更します。
/etc/ssh/sshd_configwp/v1SSH パスワードベースの認証を有効にするには、
/etc/ssh/sshd_config構成ファイルのPasswordAuthenticationパラメーターをyesに設定します。Vim エディターを使用してこの操作を実行できます。 Vim エディターの使用方法については、「Vim エディター」をご参照ください。
次のコマンドを実行して
sshdサービスを再起動し、構成を有効にします。sudo systemctl restart sshd
作成したユーザーを使用して ECS インスタンスにログオンできるかどうかを確認します。
Windows インスタンス
Windows インスタンスにユーザーを追加するには、ユーザーを作成し、Remote Desktop Users ユーザーグループにユーザーを追加する必要があります。
Windows インスタンスに同時に 2 人を超えるユーザーがログオンできるようにするには、Microsoft リモートデスクトップサービス (RDS) を使用する必要があります。 RDS については、Windows Server のリモートデスクトップサービスの概要 を参照してください。
この例では、Windows Server 2022 を実行しているインスタンスに exampleuser という名前のユーザーが作成されます。 GUI は、オペレーティングシステムのバージョンによって異なります。
Windows ECS インスタンスに接続します。
適切な方法を選択して、ECS インスタンスに接続します。 詳細については、「ECS インスタンスに接続する方法」トピックの ECS インスタンスに接続する方法 を参照してください。
ユーザーを作成します。
コントロールパネルを開き、[ユーザーアカウント] の下の [アカウントの種類の変更] をクリックします。
[アカウントの管理] ページで、[ユーザーアカウントの追加] をクリックします。 [ユーザーの追加] ページが表示されます。
[ユーザーの追加] ページで、プロンプトに従って新しいユーザーの [ユーザー名] パラメーターと [パスワード] パラメーターを構成します。
この例では、exampleuser という名前のユーザーが作成されます。 ビジネス要件に基づいて [ユーザー名] パラメーターの値を置き換えます。
[次へ] をクリックし、次に [完了] をクリックします。 新しいユーザーが作成されます。
新しいユーザーを
Remote Desktop Usersユーザーグループに追加します。タスクバーの検索ボックスに [コンピューターの管理] と入力して検索します。 [コンピューターの管理] をクリックして、[コンピューターの管理] ページに移動します。
左側のナビゲーションウィンドウで、 を選択し、[Remote Desktop Users] を見つけます。 [Remote Desktop Users] をダブルクリックして、[Remote Desktop Users のプロパティ] ダイアログボックスに移動します。
右の図に示すように、次の操作を実行します。
[Remote Desktop Users のプロパティ] ダイアログボックスで、[追加] をクリックします。
手順 2 で作成したユーザーの名前を入力し、[名前の確認] をクリックします。
[OK] をクリックします。 [Remote Desktop Users のプロパティ] ダイアログボックスで、[適用] をクリックし、次に [OK] をクリックします。 exampleuser ユーザーがユーザーグループに追加されます。
新しいユーザーを使用して ECS インスタンスにログオンできるかどうかを確認します。