すべてのプロダクト
Search
ドキュメントセンター

Elastic Compute Service:ワークベンチを使用したインスタンスへの接続

最終更新日:Jun 23, 2026

ワークベンチは Alibaba Cloud が提供するブラウザベースのリモート接続ツールです。ソフトウェアをインストールすることなく、ブラウザから直接 Elastic Compute Service (ECS) インスタンスに接続できます。

ワークベンチとは

ワークベンチの概要

ワークベンチは、インストール不要のブラウザベースのリモート接続ツールです。次の図は、ワークベンチを使用して ECS インスタンスに接続する方法を示しています。

ワークベンチの機能

  • パブリックネットワーク接続とプライベートネットワーク接続

    SSH または RDP を介してワークベンチを使用してインスタンスに接続する場合、パブリック IP アドレスまたはプライベート IP アドレスのいずれかを使用できます。

ワークベンチのその他の機能

ワークベンチは、次の機能も提供します。

  • ファイル管理:Linux インスタンス上のファイルを視覚的に管理し、ファイルのアップロードとダウンロードをサポートします。詳細については、「ワークベンチを使用した ECS インスタンス上のファイルの管理」をご参照ください。

  • AI Agent モード:AI Agent モードでは、自然言語を使用して Linux の O&M 操作を計画および実行でき、ソフトウェアのインストールや問題の診断などのタスクを簡素化します。詳細については、「AI Agent モード」をご参照ください。

  • ターミナルアシスタント:O&M タスク用のスクリプトとコマンドを生成します。詳細については、「ターミナルアシスタント」をご参照ください。

  • インテリジェントコマンド補完:コマンドラインに入力すると、コンテキストに基づいて後続のコマンド、パラメーター、またはオプションのリストを予測して表示します。詳細については、「インテリジェントコマンド補完」をご参照ください。

  • システム管理:Linux インスタンス上のユーザー、ログインログ、システムサービスを一元管理し、システムステータスをリアルタイムでモニターします。詳細については、「システム管理」をご参照ください。

  • スクリプトライブラリ:よく使用するコマンドやスクリプトのスニペットをワークベンチに保存し、ワークベンチを介して接続された任意のインスタンスセッションでワンクリックで実行できます。詳細については、「スクリプトライブラリ」をご参照ください。

  • マルチターミナル:複数の ECS インスタンスに同時に接続し、それらすべてで同じコマンドを実行できます。詳細については、「マルチターミナル」をご参照ください。

  • ソフトウェアインストール:AI Agent または CloudOps Orchestration Service (OOS) の事前定義パッケージを使用して、Docker や MySQL などのソフトウェアを自動的にデプロイできます。詳細については、「ソフトウェアインストール」をご参照ください。

ワークベンチのワークフロー

ワークベンチを使用してインスタンスに接続するためのワークフローを次の図に示します。

  1. 接続するインスタンスを特定します。

  2. ワークベンチと ECS インスタンス間のネットワーク接続を確立します。

    このステップでは、インスタンスのセキュリティグループとインスタンス上のファイアウォールを構成して、ワークベンチからのインバウンドトラフィックを許可する必要があります。

  3. ワークベンチを使用してインスタンスに接続します。

    コンソールで、ワークベンチを使用してインスタンスに接続することを選択し、ユーザー名とパスワード、またはキーペアなどの認証情報を入力します。

  4. サービスリンクロールを作成します。

    サービスリンクロールを作成していない場合、ワークベンチは作成を促すプロンプトを表示します。このロールは、ワークベンチに ECS インスタンスへのアクセス権限を付与します。

  5. インスタンスに接続し、O&M 操作を実行します。

ワークベンチのサービスリンクロール

ワークベンチを使用してインスタンスに初めて接続すると、AliyunServiceRoleForECSWorkbench サービスリンクロールの作成を促すプロンプトが表示されます。ワークベンチがご利用の ECS インスタンスにアクセスするには、このロールが必要です。サービスリンクロールの詳細については、「サービスリンクロール」をご参照ください。

インスタンスに初めて接続すると、ダイアログボックスが表示されます。[OK] をクリックすると、サービスリンクロールが自動的に作成されます。

RAM ユーザーの場合は、Alibaba Cloud アカウントの管理者に、AliyunECSWorkbenchFullAccess システムアクセスポリシーを RAM ユーザーにアタッチするよう依頼してください。これにより、ワークベンチのサービスリンクロールを作成するために必要な権限が付与されます。

RAM ユーザーの権限

サービスリンクロールが作成された後、RAM ユーザーが ワークベンチ を使用してすべての ECS インスタンスに接続するには、次のアクセスポリシーが必要です。

{
  "Version": "1",
  "Statement": [
    {
      "Action": "ecs-workbench:LoginInstance",
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

ユーザーがワークベンチを使用して接続できるインスタンスを制限するには、次のように Resource フィールドを変更します。

{
  "Version": "1",
  "Statement": [
    {
      "Action": "ecs-workbench:LoginInstance",
      "Resource": [
        "acs:ecs-workbench:{#regionId}:{#accountId}:workbench/{#instanceId}",
        "acs:ecs-workbench:{#regionId}:{#accountId}:workbench/{#instanceId}"
      ],
      "Effect": "Allow"
    }
  ]
}

次の表にパラメーターを示します。

  • {#regionId}インスタンスが存在するリージョンの ID。ワイルドカード (*) を使用できます。

  • {#accountId}Alibaba Cloud アカウントの ID。ワイルドカード (*) を使用できます。

  • {#instanceId}ターゲットインスタンスの ID。ワイルドカード (*) を使用できます。

たとえば、RAM ユーザーがワークベンチを使用してすべてのリージョンとアカウントのインスタンス i-001 および i-002 に接続できるようにするには、次のアクセスポリシーを構成します。

{
  "Version": "1",
  "Statement": [
    {
      "Action": "ecs-workbench:LoginInstance",
      "Resource": [
        "acs:ecs-workbench:*:*:workbench/i-001",
        "acs:ecs-workbench:*:*:workbench/i-002"
      ],
      "Effect": "Allow"
    }
  ]
}

セキュリティグループの設定

SSH または RDP を介してワークベンチを使用してインスタンスに接続する場合、インスタンスのセキュリティグループでワークベンチサーバーからのインバウンドトラフィックを許可する必要があります。次の表を参照して、ネットワークタイプに基づいてセキュリティグループルールを追加できます。詳細については、「セキュリティグループルールの追加」をご参照ください。

重要

インスタンスでファイアウォールが有効になっている場合は、ファイアウォールルールを更新してセキュリティグループルールと一致させる必要があります。

権限付与ポリシー

優先度

プロトコルタイプ

ポート範囲

権限付与オブジェクト

許可

1

カスタム TCP

ポートは、インスタンスのリモート接続サービスによって異なります。

  • Linux インスタンスに接続する場合:

    [SSH (22)] を選択します。

    Linux インスタンスのデフォルトのリモート接続サービスは SSH で、デフォルトのポートは 22 です。
  • Windows インスタンスに接続する場合:

    [RDP (3389)] を選択します。

    Windows インスタンスのデフォルトのリモート接続サービスは RDP で、デフォルトのポートは 3389 です。
重要

インスタンスのリモートサービスのポートを変更した場合は、それに応じてポートを構成してください。

  • パブリックネットワーク接続の場合:161.117.0.0/16 を追加します。

  • プライベートネットワーク接続の場合:100.104.0.0/16 を追加します。

警告

権限付与オブジェクトを 0.0.0.0/0 に設定すると、すべての IP アドレスがリモートサービスポートにアクセスできます。この構成はセキュリティリスクをもたらします。この設定は注意して使用してください。