運維安全中心(堡壘機)(Bastionhost)已集成KMS的ECS憑據,您在KMS將ECS賬號口令或密鑰對保存為ECS憑據后,可在堡壘機直接導入該ECS憑據,堡壘機遠程連接ECS服務器時,會自動從KMS獲取ECS憑據值,無需您在堡壘機手動輸入ECS賬號口令或密鑰對。本文介紹堡壘機使用ECS憑據遠程連接服務器的流程。
功能介紹
您在KMS中將ECS賬號口令或SSH密鑰對保存為ECS憑據,在堡壘機側僅需導入ECS憑據,不必在堡壘機手動輸入ECS賬號口令或SSH密鑰對。遠程連接ECS服務器時,堡壘機會實時從KMS獲取ECS憑據的憑據值用于登錄。
KMS可以對ECS憑據設置周期性自動輪轉,由于堡壘機會實時從KMS獲取憑據版本為ACSCurrent的憑據值,設置輪轉不會對堡壘機遠程連接ECS服務器有影響。關于憑據版本的詳細介紹,請參見憑據管理概述。
堡壘機使用ECS憑據遠程連接服務器的整體流程如下圖所示。
憑據管理員在KMS中創建ECS憑據。
堡壘機管理員在堡壘機中配置從KMS導入ECS憑據。
堡壘機運維員發起遠程連接ECS實例的請求。
堡壘機調用KMS的ListSecrets、GetSecretValue接口,實時從KMS獲取對應的ECS憑據值。
堡壘機使用ECS憑據值登錄ECS實例。
注意事項
堡壘機僅基礎版、企業雙擎版的V3.2.40及以上版本,支持集成ECS憑據。
如果您在KMS刪除ECS憑據,會導致堡壘機無法獲取對應的憑據值,遠程連接ECS服務器時會失敗。
前提條件
已在堡壘機中導入ECS資產。具體操作,請參見導入阿里云ECS實例。
如果您使用RAM用戶(子賬號)管理ECS憑據以及堡壘機,請確保阿里云賬號(主賬號)已將AliyunKMSSecretAdminAccess(管理KMS憑據的權限)和AliyunYundunBastionHostFullAccess(管理云盾堡壘機的權限)授予RAM用戶。具體操作,請參見為RAM用戶授權。
操作步驟
在KMS創建ECS憑據。詳細內容,請參見步驟一:創建ECS憑據。
登錄密鑰管理服務控制臺,在頂部菜單欄選擇地域后,在左側導航欄單擊。
單擊ECS憑據頁簽,選擇實例ID后,單擊創建憑據,完成各項配置后單擊確定。
配置項
說明
憑據名稱
自定義的憑據名稱。
托管實例
選擇阿里云賬號下已有的ECS實例。
托管用戶
填寫ECS實例上已有的用戶名稱,例如:root(Linux系統)或Administrator(Windows系統)。
初始憑據值
長度不超過30720字節(30KB)。
口令:用戶登錄ECS實例的密碼。
密鑰對:用戶登錄ECS實例的SSH密鑰對。
說明請您輸入正確的憑據值。如果輸入的憑據值不正確,在ECS憑據首次輪轉前,您從KMS獲取到的口令或密鑰對將不能正常登錄ECS實例。
加密主密鑰
選擇用于加密憑據值的密鑰。
重要密鑰和憑據需要屬于同一個KMS實例,且密鑰必須為對稱密鑰。關于KMS支持哪些對稱密鑰,請參見密鑰管理類型和密鑰規格。
標簽
憑據的標簽,方便您對憑據進行分類管理。每個標簽由一個鍵值對(Key:Value)組成,包含標簽鍵(Key)、標簽值(Value)。
說明標簽鍵和標簽值的格式:最多支持128個字符,可以包含英文大小寫字母、數字、正斜線(/)、反斜線(\)、下劃線(_)、短劃線(-)、半角句號(.)、加號(+)、等于號(=)、半角冒號(:)、字符at(@)。
標簽鍵不能以aliyun或acs:開頭。
每個憑據最多可以設置20個標簽鍵值對。
自動輪轉
選擇開啟或關閉憑據的周期性自動輪轉。
輪轉周期
僅當開啟自動輪轉時需要設置。支持設置為1小時~365天。
表示輪轉的周期,設置后KMS將定期為您更新憑據值。
描述信息
憑據的描述信息。
說明創建憑據時,系統會自動創建服務關聯角色AliyunServiceRoleForKMSSecretsManagerForECS,并為其授權權限策略AliyunServiceRolePolicyForKMSSecretsManagerForECS。KMS使用該角色為您管理ECS憑據,完成ECS口令、公私鑰的輪轉任務。
您可以登錄RAM控制臺查看服務關聯角色和權限策略的詳細信息,具體操作,請參見查看RAM角色和查看權限策略基本信息。
在堡壘機導入ECS憑據。
導入成功后,用戶在堡壘機中遠程連接ECS服務器時,堡壘機會自動從KMS獲取憑據值用于登錄。
登錄堡壘機系統。具體操作,請參見登錄系統。
在左側導航欄,選擇。
在主機列表,定位到目標主機,在操作列,單擊導入KMS憑據。
在導入KMS憑據對話框,選中目標憑據,單擊導入。
KMS憑據成功導入后,您可以在主機列表,單擊對應的主機名稱,在主機賬戶頁簽查看和管理導入的KMS憑據。