すべてのプロダクト
Search
ドキュメントセンター

Elastic Compute Service:インスタンスのログインユーザーの管理

最終更新日:Nov 25, 2024

セキュリティを強化するには、Elastic Compute Service (ECS) インスタンスに接続するときにID認証を完了する必要があります。 これにより、許可されたユーザーのみがECSインスタンスリソースにアクセスおよび管理できます。 インスタンスを作成するときに、初期ログインユーザーとしてプリセットユーザーを選択します。 次に、プリセットユーザーを使用して、作成したインスタンスにログインできます。 このトピックでは、ログオンユーザーの特徴と違い、およびログオンユーザーを管理および追加する方法について説明します。

Linuxインスタンスの初期ログインユーザー

初期ログインユーザー

Linuxインスタンスの初期ログインユーザーは、Linuxインスタンスの作成時に指定したログインユーザーを指します。 Linuxインスタンスの場合、初期ログインユーザーをrootまたはecs-userに設定できます。

  • ルート

    システムのインストール中に自動的に作成され、オペレーティングシステムに対するすべての権限を持つLinuxのスーパーユーザー。 rootユーザーを削除することはできません。 他のユーザーを使用してインスタンスにログインする場合は、「ログオンユーザーの追加」をご参照ください。

  • ecs-user (推奨)

    Linuxのレギュラーユーザー。 ecs-userユーザーにはシステムレベルの権限がなく、権限が付与されている操作のみを実行できます。 ただし、sudoコマンドを実行して、ecs-userユーザーに一時的なroot権限を付与できます。 特定のオペレーティングシステムでは、最初のログオンユーザーとしてecs-userを指定できます。

重要
  • rootユーザーは、システムのインストール中に自動的に作成されます。 インスタンスの作成時にログインユーザーとしてecs-userを選択した場合、ecs-userユーザーはインスタンスのオペレーティングシステムに自動的に作成されます。 この場合、rootユーザーとecs-userユーザーは共存しますが、rootユーザーはインスタンスへのログインには使用されません。

  • rootユーザーを使用してログインすると、セキュリティ上のリスクが発生します。 セキュリティを確保するために、オペレーティングシステムがecs-userをサポートするインスタンスの初期ログオンユーザーとしてecs-userを指定することを推奨します。

  • オペレーティングシステムイメージがecs-userをサポートしているかどうかを確認するには、ECSコンソールのECSインスタンス購入ページに移動するか、DescribeImages操作を呼び出してイメージ情報を照会します。 レスポンスのLoginAsNonRootSupportedパラメーターがtrueの場合、最初のログインユーザーとしてecs-userを選択できます。

ログオン資格情報

インスタンスを作成するときに、[キーペア][カスタムパスワード] 、または [後で設定] を選択して、最初のログオンユーザーのログイン資格情報を指定できます。 次のセクションでは、オプションについて説明します。

  • キーペア (推奨)

    SSH経由でLinuxインスタンスに接続するために使用されるキーペア。 キーペアは、公開キーと秘密キーで構成されます。 パブリックキーはインスタンスに保存され、プライベートキーは自分で保存されます。 認証プロセスでは、鍵ペアは明示的に送信されず、パスワードベースの認証よりも安全である。

    重要

    インスタンスの作成時にログイン資格情報としてキーペアを選択した場合、パスワードベースのログインは無効になります。 この場合、ユーザー名とパスワードを使用してインスタンスにログインすることはできません。 Virtual Network Computing (VNC) を使用してインスタンスにログインする場合は、ログインパスワードを指定する必要があります。 ログインパスワードの指定方法については、このトピックの「LinuxまたはWindowsインスタンスの初期ログインユーザーのパスワードのリセット」をご参照ください。

  • カスタムパスワード (非推奨)

    Linuxインスタンスへの接続に使用されるパスワード。。

  • 後で設定

    [後で設定] を選択すると、インスタンスの作成時にルートユーザーが自動的に初期ログオンユーザーとして使用されます。 ただし、セキュリティを確保するためにrootユーザーのログインは許可されていません。 インスタンスに接続するには、次のいずれかの方法を使用します。

Windowsインスタンスの初期ログインユーザー

初期ログインユーザー

Windowsインスタンスの初期ログインユーザーは、Windowsインスタンスの作成時に指定したログインユーザーを指します。 Windowsインスタンスの場合、初期ログインユーザーはAdministratorです。 管理者は、Windowsオペレーティングシステムのスーパー管理者であり、Windowsオペレーティングシステムに対するすべての権限を持っています。 ユーザーのパスワードを変更する方法など、初期ログインユーザーを管理する方法については、このトピックの「LinuxまたはWindowsインスタンスの初期ログインユーザーのパスワードのリセット」をご参照ください。

ログオン資格情報

インスタンスを作成するときに、[カスタムパスワード] または [後で設定] を選択して、最初のログオンユーザーのログイン資格情報を指定できます。

  • カスタムパスワード

    Windowsインスタンスへの接続に使用されるパスワード。

  • 後で設定

    [後で設定] を選択した場合、インスタンスの作成時に管理者ユーザーのパスワードは設定されません。 インスタンスに接続するには、次のいずれかの方法を使用します。

    • 方法1: インスタンスのログインパスワードを指定し、管理者のユーザー名とパスワードを使用してインスタンスに接続します。 インスタンスのログインパスワードを指定する方法については、このトピックの「LinuxまたはWindowsインスタンスの初期ログインユーザーのパスワードのリセット」をご参照ください。

    • 方法2: インスタンスのクラウドアシスタントを有効にします。 Cloud AssistantのSession Managerを使用して、パスワードを設定しなくてもインスタンスにログインできます。

      Session Managerを使用してインスタンスにログインすると、ログインユーザー名はsystemになります。 詳細については、「Session Managerを使用したインスタンスへの接続」をご参照ください。

インスタンスの初期ログインユーザーのログイン資格情報の管理

インスタンスを作成した後、ECSコンソールで初期ログオンユーザーのパスワードまたはキーペアを管理できます。

Linuxインスタンスの初期ログオンユーザーのキーペアのリセット

ECSコンソールで初期ログオンユーザーのキーペアを変更できます。 以下の手順を実行します。

  1. キーペアを作成します。

    1. ECSコンソール.

    2. 左側のナビゲーションウィンドウで、ネットワーク&セキュリティ > キーペア.

    3. ページの左上で、キーペアが存在するリソースグループとリージョンを選択します。

    4. [キーペア] ページで、[SSHキーペアの作成] をクリックします。

    5. [SSHキーペアの作成] ダイアログボックスで、プロンプトに従ってキーペアを設定します。

      キーペアを自動的に作成する場合は、[自動作成] を選択します。 作成したキーペアをインポートする場合は、[インポート] を選択し、[公開キー] を指定して、作成したキーペアの公開キーをインポートします。 詳細については、「SSHキーペアのインポート」をご参照ください。

    6. [OK] をクリックします。

      重要

      [作成タイプ][自動作成] に設定すると、秘密鍵ファイル (.pemファイル) が自動的に作成され、ダウンロードされます。 Alibaba Cloudは秘密鍵を保存しません。 秘密鍵ファイルを安全な場所に保存します。

  2. キーペアをLinuxインスタンスにバインドします。

    1. [キーペア] ページで、手順1で作成したキーペアを見つけ、[操作] 列の [バインド] をクリックします。 [バインド] ダイアログボックスが表示されます。

    2. [操作の確認] ステップで、キーペアをバインドするECSインスタンスを選択し、[次へ] をクリックします。

    3. [インスタンスの再起動] ステップで、再起動モードを [再起動] または [強制再起動] に設定し、[OK] をクリックします。 キーペアは、インスタンスの再起動後に有効になります。

LinuxまたはWindowsインスタンスの初期ログオンユーザーのパスワードのリセット

ECSコンソールで初期ログインユーザーのパスワードを変更できます。 以下の手順を実行します。

  1. ECSコンソールにログインし、パスワードを変更するインスタンスを見つけて、[インスタンスパスワードのリセット] ダイアログボックスに移動します。

    1. にログインします。ECSコンソール.

    2. 左側のナビゲーションウィンドウで、インスタンス&画像 > インスタンス.

    3. ページの左上で、パスワードを変更するインスタンスが存在するリソースグループとリージョンを選択します。

    4. [インスタンス] ページで、パスワードを変更するインスタンスを見つけ、[操作] 列の [インスタンス属性] > [インスタンスパスワードのリセット] を選択します。

    image

  2. [インスタンスパスワードのリセット] ダイアログボックスで、インスタンスのログインパスワードを変更します。

    次のパラメータに注意してください。

    • ログオンユーザー名: デフォルトでは、このパラメーターはECSインスタンスの初期ログオンユーザーのユーザー名です。 このパラメーターを変更する必要はありません。

    • 新しいパスワードパスワードの確認: プロンプトに従って新しいパスワードを指定します。

    • パスワードリセット方法:

      • オンラインリセット (推奨): インスタンスを再起動しなくてもパスワードを変更できます。 パスワードをオンラインで変更する前に、インスタンスにCloud Assistant Agentをインストールする必要があることに注意してください。 オンラインリセットは、インスタンスの他のユーザーのパスワードのリセットもサポートしています。

        デフォルトでは、12月1日2017以降にパブリックイメージから作成されたECSインスタンスには、Cloud Assistant Agentがプリインストールされています。 詳細については、「Cloud Assistant Agentのインストール」をご参照ください。
      • オフラインリセット: ログインパスワードを変更した後、新しいパスワードを有効にするには、インスタンスを再起動する必要があります。 この方法では、Cloud Assistant Agentをインストールする必要はありません。 オフラインパスワードのリセット方法は、インスタンスの最初のログオンユーザーのパスワードをリセットするシナリオにのみ適しています。

    • SSHパスワード認証。 このパラメーターはLinuxインスタンスにのみ適用されます。

      • 有効化 (推奨): SSHパスワードベースの認証を使用してインスタンスに接続する場合は、有効化を選択します。

        [有効] を選択すると、アカウントのSSH設定が変更され、SSHパスワードベースのログインが有効になります。 /etc/ssh/sshd_configファイルのPasswordAuthenticationパラメーターは自動的にtrueに設定されます。
      • 元の設定を保持する: VNCログオンシナリオなど、インスタンスへの接続にSSHパスワードベースの認証が必要ない場合は、このオプションを選択します。 このオプションを使用すると、インスタンスのオペレーティングシステムでログオンユーザーのパスワードのみを変更できます。

        [元の設定を保持] を選択した後、元のSSH設定は変更されません。 SSH設定ファイルのPasswordAuthenticationパラメーターがfalseに設定されている場合、SSHパスワードベースの認証を使用してLinuxインスタンスに接続できない可能性があります。

    image

  3. 上記のパラメーターを確認し、[OK] をクリックしてパスワードリセット操作を完了します。

ログインユーザーの追加

複数のユーザーを作成してインスタンスに接続できます。 オペレーティングシステムで通常のユーザーを作成し、リモート接続を有効にするには、次の操作を実行します。

Linux インスタンス

重要

Linuxインスタンスで、ユーザーを追加した後、/etc /SSH /sshd_configという名前のssh設定ファイルを確認します。

  • インスタンスへのログインにキーペア (SSH) を使用する場合、SSHキーペアベースの認証を有効にする必要があります。 次の手順で説明するように、SSH設定ファイルのPubkeyAuthenticationパラメーターがyesに設定されていることを確認します。

  • インスタンスへのログインにパスワード (SSH) を使用する場合、SSHパスワードベースの認証を有効にする必要があります。 次の手順で説明するように、SSH設定ファイルのPasswordAuthenticationパラメーターがyesに設定されていることを確認します。

  • インスタンスへのログインにVNCまたはSession Managerを使用する場合、SSH設定ファイルを変更する必要はありません。

この例では、exampleuserという名前のユーザーが作成されます。
  1. Linux ECSインスタンスに接続します。

    ECSインスタンスに接続する適切な方法を選択します。 詳細については、「ECSインスタンスへの接続方法」トピックの「SSHを使用したLinux ECSインスタンスへの接続」または「セッションマネージャーを使用したパスワードなしでWindowsまたはLinux ECSインスタンスへの接続」をご参照ください。

  2. ユーザーを作成します。

    次のコマンドを実行してユーザーを作成します。

    sudo useradd -m <username>

    <username> を使用するユーザー名に置き換えます。 たとえば、次のコマンドを実行して、exampleuserという名前のユーザーを作成します。

    sudo useradd -m exampleuser
  3. パスワードまたはキーペアを設定します。

    キーペアの設定

    キーペアは、公開キーと秘密キーで構成されます。 パブリックキーはインスタンスに保存され、プライベートキーは自分で保存されます。 ログインには秘密鍵が必要です。

    1. キーペアの準備

      既存のキーペアを使用するか、キーペアを作成できます。 キーペアを作成するには、ssh-keygenコマンドを実行します。

      キーペアの作成

      重要

      インスタンスでssh-keygenコマンドを実行しないでください。 接続先のインスタンスに作成したキーペアの秘密キーを保存しないでください。

      コンピュータのCLIで次のコマンドを実行し、Enterキーを押してキーペアを作成します。 このコマンドでは、鍵ペア長は2048ビットに設定され、暗号化アルゴリズムはRSAに設定されます。

      ssh-keygen -t rsa -b 2048 -f "./id_rsa"
      上記のコマンドは、現在のディレクトリにid_rsaファイル (秘密鍵) とid_rsa.pubファイル (公開鍵) を生成します。
    2. で公開キーを指定します。authorized_keys 設定ファイル。

      公開鍵の内容を. ssh/authorized_keysファイルを作成したユーザーのルートディレクトリに格納します。

      1. を作成します。作成したユーザーのルートディレクトリにあるsshフォルダー。 サンプルコマンド:

        sudo mkdir /home/<username>/.ssh

        <username>ステップ2で作成したユーザーの名前に置き換えます。 たとえば、exampleuserを作成した場合、次のコマンドを実行してexampleuserの構成ファイルを変更します。

        sudo mkdir /home/exampleuser/.ssh
      2. 作成します。Create the. ssh/authorized_keys新しいユーザーのルートディレクトリに設定ファイルを配置し、公開鍵ファイルの内容をコピーします。id_rsa.pub) で生成されるサブステップaを設定ファイルに追加します。 次のコマンドを実行して、絶対パスでファイル名を指定して構成ファイルを開きます。

        /home/<username>/.ssh/authorized_keys

        <username>ステップ2で作成したユーザーの名前に置き換えます。 たとえば、exampleuserを作成した場合、次の設定ファイルの絶対パスと名前が使用されます。

        /home/exampleuser/.ssh/authorized_keys
        Vimエディタを使用して、設定ファイルを変更できます。 Vimエディターの使用方法については、「Vimエディターの使用」をご参照ください。
      3. の権限を変更します。. sshディレクトリとauthorized_keysファイルを作成します。

        sudo chmod 700 /home/<username>/.ssh
        sudo chmod 600 /home/<username>/.ssh/authorized_keys

        <username>ステップ2で作成したユーザーの名前に置き換えます。 たとえば、exampleuserを作成しました。 以下のコマンドを実行します。

        sudo chmod 700 /home/exampleuser/.ssh
        sudo chmod 600 /home/exampleuser/.ssh/authorized_keys
    3. /etc /SSH /sshd_configという名前のssh設定ファイルを確認して変更します。

      キーペアを設定した後、/etc /SSH /sshd_config設定ファイルでPubkeyAuthenticationパラメーターをyesに変更して、sshキーペアベースの認証を有効にします。

      この操作は、Vimエディターを使用して実行できます。 Vimエディターの使用方法については、「Vimエディターの使用」をご参照ください。
    4. 次のコマンドを実行して、設定を有効にするためにsshdサービスを再起動します。

      sudo systemctl restart sshd

    パスワードの指定

    重要

    セキュリティを確保するため、インスタンスへのログインに弱いパスワードを指定しないでください。

    1. インスタンスで次のコマンドを実行し、パスワードを指定します。

      sudo passwd <username>

      <username>ステップ2で作成したユーザーの名前に置き換えます。 たとえば、手順2exampleuserを作成しました。 次のコマンドを実行して、ユーザーのパスワードを指定します。

      sudo passwd exampleuser

      画面の指示に従って、新しいパスワードを入力して確認します。

      image

    2. /etc /SSH /sshd_configという名前のssh設定ファイルを確認して変更します。

      SSHパスワードベースの認証を有効にするには、/etc/ssh/sshd_config設定ファイルでPasswordAuthenticationパラメーターをyesに設定します。

      この操作は、Vimエディターを使用して実行できます。 Vimエディターの使用方法については、「Vimエディターの使用」をご参照ください。
    3. 次のコマンドを実行して、設定を有効にするためにsshdサービスを再起動します。

      sudo systemctl restart sshd
  4. 作成したユーザーを使用してECSインスタンスにログインできるかどうかを確認します。

Windows インスタンス

Windowsインスタンスにユーザーを追加するには、ユーザーを作成し、そのユーザーをRemote Desktop Usersユーザーグループに追加する必要があります。

重要

2人以上のユーザーが同時にWindowsインスタンスにログインできるようにするには、Microsoftリモートデスクトップサービス (RDS) を使用する必要があります。 RDSの詳細については、「」をご参照ください。

Windows Serverのリモートデスクトップサービスの概要

この例では、Windows Server 2022を実行するインスタンスにexampleuserという名前のユーザーが作成されます。 GUIは、オペレーティングシステムのバージョンによって異なります。
  1. Windows ECSインスタンスに接続します。

    ECSインスタンスに接続する適切な方法を選択します。 詳細については、「ECSインスタンスへの接続方法」トピックの「RDPを使用したWindows ECSインスタンスへの接続」をご参照ください。

  2. ユーザーを作成します。

    1. コントロールパネルを開き、[ユーザーアカウント] [アカウントタイプの変更] をクリックします。

    image

    1. [アカウントの管理] ページで、[ユーザーアカウントの追加] をクリックします。 [ユーザーの追加] ページが表示されます。

    image

    1. [ユーザーの追加] ページで、プロンプトに従って新しいユーザーのユーザー名とパスワードパラメーターを設定します。

      この例では、exampleuserという名前のユーザーが作成されます。 ビジネス要件に基づいて、[ユーザー名] パラメーターの値を置き換えます。
    2. [次へ] をクリックし、[完了] をクリックします。 新しいユーザーが作成されます。

    image

  3. 新しいユーザーをRemote Desktop Usersユーザーグループに追加します。

    1. タスクバーの検索ボックスで、Computer Managementを検索します。 [コンピュータの管理] をクリックして、[コンピュータの管理] ページに移動します。

    image

    1. 左側のナビゲーションウィンドウで、[システムツール] > [ローカルユーザーとグループ] > [グループ] を選択し、[リモートデスクトップユーザー] を見つけます。 [リモートデスクトップユーザー] をダブルクリックして、[リモートデスクトップユーザーのプロパティ] ダイアログボックスに移動します。

    image

    1. 右図に示すように、次の操作を実行します。

      1. [リモートデスクトップユーザーのプロパティ] ダイアログボックスで、[追加] をクリックします。

      2. ステップ2で作成したユーザーの名前を入力し、[名前の確認] をクリックします。

      3. [OK] をクリックします。 [リモートデスクトップユーザーのプロパティ] ダイアログボックスで、[適用] をクリックし、[OK] をクリックします。 exampleuserユーザーがユーザーグループに追加されます。

    image

  4. 新しいユーザーを使用してECSインスタンスにログインできるかどうかを確認します。