Alibaba Cloud Workbench で一時的な SSH キーペアを使用して、パスワードなしでインスタンスに安全にログインします。 この方法では、長期パスワードまたはキーを管理または公開する必要がなくなります。 資格情報の漏洩とブルートフォース攻撃のリスクを効果的に軽減します。
一時キーペアを使用したパスワードなしログインを使用する理由
パスワードや長期 SSH キーペアなどの従来の静的資格情報は、セキュリティリスクをもたらします。 これらは長期間有効であるため、それらをクラックまたは盗んだ攻撃者は、サーバーへの永続的なアクセス権を取得します。 さらに、これらの資格情報を配布、ローテーション、および失効させるプロセスは複雑であり、エラーが発生しやすくなっています。 Workbench は、一時キーペアを使用してこれらの問題を解決します。
主な利点 | 説明 |
資格情報漏洩のリスク軽減 | ユーザーは永続的なパスワードやキーを処理しません。 これにより、人為的ミスによる資格情報漏洩のリスクが軽減されます。 |
ブルートフォース攻撃に対する防御 | ログイン資格情報は 1 回限りの使用のために生成され、60 秒間のみ有効です。 これにより、ECS インスタンスに対するブルートフォース攻撃のリスクが大幅に軽減されます。 |
一元的な権限管理 | RAM アクセスポリシーを使用して、インスタンスにログインできるユーザーをきめ細かく制御します。 |
仕組み
一時キーペアを使用したログインには、依然として認証が必要です。 静的資格情報を、Alibaba Cloud によって管理されるより安全で一元化された認証方式に置き換えます。 次のリストは、その仕組みを示しています。
[コンソール] からパスワードなしログインを開始します。
RAM 権限の検証: Workbench は、現在の Resource Access Management (RAM) ユーザーに対象インスタンスにログインする権限があるかどうかを確認します。
一時 SSH キーペアの生成: 権限が検証されると、Workbench は 60 秒間有効な 1 回限りの SSH キーペア (公開鍵と秘密鍵) を動的に生成します。 秘密鍵は Alibaba Cloud Workbench サーバーに一時的に保存されます。
インスタンスへの公開鍵の送信: Workbench は、ECS インスタンスにインストールされている [クラウドアシスタントクライアント] を使用して、一時公開鍵をインスタンスに追加します。
SSH 認証の完了と接続の確立: Workbench は、サーバーに保存されている一時秘密鍵を使用して、インスタンス上の SSH サービスとの 公開鍵認証プロセス を完了し、接続を確立します。
キーペアの自動破棄: 60 秒の有効期限が過ぎると、ログインが成功したかどうかに関係なく、一時キーペアは即座に自動的に破棄されます。 公開鍵は ECS インスタンスから削除され、秘密鍵は Workbench から破棄されます。 このプロセスにより、各キーは 1 回だけ使用され、再利用できないことが保証されます。