您可以创建动态ECS凭据,对ECS凭据进行定期或人工轮转,从而降低ECS凭据泄露的安全风险。本文为您介绍如何通过KMS控制台创建、轮转、删除或还原动态ECS凭据。
前提条件
- 请确保您已经创建阿里云ECS实例。具体操作,请参见创建ECS实例。
- 阿里云账号和具有相关权限的RAM用户或RAM角色都可以管理动态ECS凭据。
当RAM用户或RAM角色管理凭据时,需要将系统策略AliyunKMSSecretAdminAccess授予该RAM用户或RAM角色,使其拥有以下权限:
- 使用凭据管家相关功能的权限。
- 查询ECS实例的权限。
- 创建动态ECS凭据使用的服务关联角色的权限。
创建动态ECS凭据
- 登录密钥管理服务控制台。
- 在页面左上角的地域下拉列表,选择凭据所在的地域。说明 凭据所在的地域需要跟待托管的ECS实例所在地域相同。
- 在左侧导航栏,单击凭据。
- 单击创建凭据。
- 在创建凭据对话框,配置以下参数,然后单击下一步。
- 选择凭据类型:选择托管ECS凭据。
- 凭据名称:输入凭据名称。
- 托管实例:选择阿里云账号下已有的ECS实例。
- 托管用户:填写ECS实例上已有的用户名称,例如:root(Linux系统)或Administrator(Windows系统)。
- 设置凭据值:选择口令或密钥对,填入对应的初始值。说明 如果初始值不正确,您将在ECS凭据首次轮转后获取到正确的口令或密钥对。
- 描述信息:输入ECS凭据的描述信息。
- 在创建凭据对话框,选中开启自动轮转,配置轮转周期,然后单击下一步。说明 如果无需自动轮转ECS凭据,请选择关闭自动轮转。
- 在创建凭据对话框,审核凭据配置信息,单击确定。创建成功后,您可以在凭据列表中查看凭据类型为托管ECS凭据的动态ECS凭据。
轮转动态ECS凭据
当ECS凭据泄露时,您可以通过控制台立即轮转功能快速轮转动态ECS凭据,阻断入侵威胁。
- 单击目标ECS凭据名称,然后单击立即轮转。
- 在提示对话框,选择使用自定义凭据。
- 打开开关:使用自定义凭据并指定新凭据值。
- 关闭开关:KMS将自动创建32位的随机口令或RSA2048公私钥对。
- 单击确认轮转。
- 在立即轮转对话框,单击关闭。
删除动态ECS凭据
删除ECS凭据前,请确保该ECS凭据已不被使用。
您可以选择计划删除凭据和立即删除凭据两种方式,删除不需要的动态ECS凭据。删除动态ECS凭据不会影响ECS实例上已配置的口令或公私钥。
- 在目标ECS凭据右侧的操作列,选择。
- 在删除凭据对话框,选择凭据删除方式,然后单击确定。
- 选择计划删除凭据,然后设置预删除周期(7~30天)。系统将在预删除周期后删除凭据。
在预删除周期内,您可以还原凭据,取消删除操作。具体操作,请参见还原动态ECS凭据。
- 选择立即删除凭据,系统将立即删除凭据。
- 选择计划删除凭据,然后设置预删除周期(7~30天)。系统将在预删除周期后删除凭据。
还原动态ECS凭据
当您选择了计划删除凭据的方式删除动态ECS凭据时,在预删除周期内,可以还原动态ECS凭据,取消删除操作。还原动态ECS凭据后,即可正常使用动态ECS凭据。
- 在目标ECS凭据右侧的操作列,选择。
- 在还原凭据对话框,单击确定。