全部產品
Search

搜尋本產品

    Key Management Service:Bastionhost整合ECS憑據

    文件中心

    Key Management Service:Bastionhost整合ECS憑據

    更新時間:Jan 23, 2025

    Bastionhost已整合KMS的ECS憑據,您在KMS將ECS帳號口令或金鑰組儲存為ECS憑據後,可在Bastionhost直接匯入該ECS憑據,Bastionhost遠端連線ECS伺服器時,會自動從KMS擷取ECS憑據值,無需您在Bastionhost手動輸入ECS帳號口令或金鑰組。本文介紹Bastionhost使用ECS憑據遠端連線伺服器的流程。

    功能介紹

    您在KMS中將ECS帳號口令或SSH金鑰組儲存為ECS憑據,在Bastionhost側僅需匯入ECS憑據,不必在Bastionhost手動輸入ECS帳號口令或SSH金鑰組。遠端連線ECS伺服器時,Bastionhost會即時從KMS擷取ECS憑據的憑據值用於登入。

    KMS可以對ECS憑據設定周期性自動輪轉,由於Bastionhost會即時從KMS擷取憑據版本為ACSCurrent的憑據值,設定輪轉不會對Bastionhost遠端連線ECS伺服器有影響。關於憑據版本的詳細介紹,請參見憑據版本

    Bastionhost使用ECS憑據遠端連線伺服器的整體流程如下圖所示。

    image

    1. 憑據管理員在KMS中建立ECS憑據。

    2. Bastionhost管理員在Bastionhost中配置從KMS匯入ECS憑據。

    3. Bastionhost營運員發起遠端連線ECS執行個體的請求。

    4. Bastionhost調用KMS的ListSecretsGetSecretValue介面,即時從KMS擷取對應的ECS憑據值。

    5. Bastionhost使用ECS憑據值登入ECS執行個體。

    注意事項

    • Bastionhost僅基礎版、企業雙擎版的V3.2.40及以上版本,支援整合ECS憑據。

    • 如果您在KMS刪除ECS憑據,會導致Bastionhost無法擷取對應的憑據值,遠端連線ECS伺服器時會失敗。

    前提條件

    • 已在Bastionhost中匯入ECS資產。具體操作,請參見匯入本帳號ECS執行個體

    • 如果您使用RAM使用者(子帳號)管理ECS憑據以及Bastionhost,請確保阿里雲帳號(主帳號)已將AliyunKMSSecretAdminAccess(管理KMS憑據的許可權)和AliyunYundunBastionHostFullAccess(管理Alibaba Cloud Security Bastionhost的許可權)授予RAM使用者。具體操作,請參見為RAM使用者授權

    操作步驟

    1. 在KMS建立ECS憑據。詳細內容,請參見步驟一:建立ECS憑據

      1. 登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊资源 > 凭据管理

      2. 單擊ECS凭据頁簽,選擇实例ID後,單擊创建凭据,完成各項配置後單擊確定

        配置項

        說明

        凭据名称

        自訂的憑據名稱。

        托管实例

        選擇阿里雲帳號下已有的ECS執行個體。

        托管用户

        填寫ECS執行個體上已有的使用者名稱稱,例如:root(Linux系統)或Administrator(Windows系統)。

        初始凭据值

        長度不超過30720位元組(30KB)。

        • 口令:使用者登入ECS執行個體的密碼。

        • 金鑰組:使用者登入ECS執行個體的SSH金鑰組。

          擷取SSH金鑰組

          • 您是在ECS建立的SSH金鑰組

            • 私密金鑰:建立SSH金鑰組後,瀏覽器自動下載私密金鑰檔案(金鑰組名稱.pem)到本地電腦。詳細內容,請參見建立SSH金鑰組

            • 公開金鑰:如何查看公開金鑰資訊,請參見查看公開金鑰資訊

          • 您是自行產生的SSH金鑰組

            請在產生金鑰組的同時儲存私密金鑰和公開金鑰。以使用ssh-keygen命令產生並儲存3072位RSA金鑰組為例。

            ssh-keygen -t RSA -b 3072 -m PEM -f ~/.ssh/sshKey_demo -N ""

            執行完成後,會產生兩個檔案:

            • ~/.ssh/sshKey_demo:其中儲存的是私密金鑰。

            • ~/.ssh/sshKey_demo.pub:其中儲存的是公開金鑰。

        說明

        請您輸入正確的憑據值。如果輸入的憑據值不正確,在ECS憑據首次輪轉前,您從KMS擷取到的口令或金鑰組將不能正常登入ECS執行個體。

        加密主密钥

        選擇用於加密憑據值的密鑰。

        重要

        • 密鑰和憑據需要屬於同一個KMS執行個體,且密鑰必須為對稱金鑰。關於KMS支援哪些對稱金鑰,請參見密鑰管理類型和密鑰規格

        • 如果是RAM使用者、RAM角色,需要具備使用加密主要金鑰執行GenerateDataKey操作的許可權。

        標籤

        憑據的標籤,方便您對憑據進行分類管理。每個標籤由一個索引值對(Key:Value)組成,包含標籤鍵(Key)、標籤值(Value)。

        說明

        • 標籤鍵和標籤值的格式:最多支援128個字元,可以包含英文大小寫字母、數字、正斜線(/)、反斜線(\)、底線(_)、短劃線(-)、半形句號(.)、加號(+)、等號(=)、半形冒號(:)、字元at(@)。

        • 標籤鍵不能以aliyun或acs:開頭。

        • 每個憑據最多可以設定20個標籤索引值對。

        自动轮转

        選擇開啟或關閉憑據的周期性自動輪轉。

        轮转周期

        僅當开启自动轮转時需要設定。支援設定為1小時~365天。

        表示輪轉的周期,設定後KMS將定期為您更新憑據值。

        描述信息

        憑據的描述資訊。

        策略配置

        憑據的策略配置。詳細介紹,請參見憑據策略概述

        您可以先選擇預設策略,建立憑據後根據業務需要再修改策略。

        說明

        建立憑據時,系統會自動建立服務關聯角色AliyunServiceRoleForKMSSecretsManagerForECS,並為其授權權限原則AliyunServiceRolePolicyForKMSSecretsManagerForECS。KMS使用該角色為您管理ECS憑據,完成ECS口令、公私密金鑰的輪轉任務。

        您可以登入RAM控制台查看服務關聯角色和權限原則的詳細資料,具體操作,請參見查看RAM角色查看權限原則基本資料

    2. 在Bastionhost匯入ECS憑據。

      匯入成功後,使用者在Bastionhost中遠端連線ECS伺服器時,Bastionhost會自動從KMS擷取憑據值用於登入。

      1. 登入Bastionhost系統。具體操作,請參見登入系統

      2. 在左側導覽列,選擇資產管理 > 主機

      3. 在主機列表,定位到目標主機,在操作列,單擊匯入KMS憑據

      4. 匯入KMS憑據對話方塊,選中目標憑據,單擊匯入

        KMS憑據成功匯入後,您可以在主機列表,單擊對應的主機名稱,在主機賬戶頁簽查看和管理匯入的KMS憑據。

    後續操作

    1. 授權Bastionhost使用者營運該ECS伺服器。具體操作,請參見為使用者授權資產及資產賬戶

    2. Bastionhost使用者營運該ECS伺服器。詳細內容,請參見營運概述

    相關文檔

    什麼是Bastionhost