セキュリティを強化するには、Elastic Compute Service (ECS) インスタンスに接続するときにID認証を完了する必要があります。 これにより、許可されたユーザーのみがECSインスタンスリソースにアクセスおよび管理できます。 インスタンスを作成するときに、初期ログインユーザーとしてプリセットユーザーを選択します。 次に、プリセットユーザーを使用して、作成したインスタンスにログインできます。 このトピックでは、ログオンユーザーの特徴と違い、およびログオンユーザーを管理および追加する方法について説明します。
Linuxインスタンスの初期ログインユーザー
初期ログインユーザー
Linuxインスタンスの初期ログインユーザーは、Linuxインスタンスの作成時に指定したログインユーザーを指します。 Linuxインスタンスの場合、初期ログインユーザーをroot
またはecs-user
に設定できます。
ルート
システムのインストール中に自動的に作成され、オペレーティングシステムに対するすべての権限を持つLinuxのスーパーユーザー。 rootユーザーを削除することはできません。 他のユーザーを使用してインスタンスにログインする場合は、「ログオンユーザーの追加」をご参照ください。
ecs-user (推奨)
Linuxのレギュラーユーザー。 ecs-userユーザーにはシステムレベルの権限がなく、権限が付与されている操作のみを実行できます。 ただし、
sudo
コマンドを実行して、ecs-userユーザーに一時的なroot権限を付与できます。 特定のオペレーティングシステムでは、最初のログオンユーザーとしてecs-userを指定できます。
rootユーザーは、システムのインストール中に自動的に作成されます。 インスタンスの作成時にログインユーザーとしてecs-userを選択した場合、ecs-userユーザーはインスタンスのオペレーティングシステムに自動的に作成されます。 この場合、rootユーザーとecs-userユーザーは共存しますが、rootユーザーはインスタンスへのログインには使用されません。
rootユーザーを使用してログインすると、セキュリティ上のリスクが発生します。 セキュリティを確保するために、オペレーティングシステムがecs-userをサポートするインスタンスの初期ログオンユーザーとしてecs-userを指定することを推奨します。
オペレーティングシステムイメージがecs-userをサポートしているかどうかを確認するには、ECSコンソールのECSインスタンス購入ページに移動するか、DescribeImages操作を呼び出してイメージ情報を照会します。 レスポンスの
LoginAsNonRootSupported
パラメーターがtrue
の場合、最初のログインユーザーとしてecs-userを選択できます。
ログオン資格情報
インスタンスを作成するときに、[キーペア] 、[カスタムパスワード] 、または [後で設定] を選択して、最初のログオンユーザーのログイン資格情報を指定できます。 次のセクションでは、オプションについて説明します。
キーペア (推奨)
SSH経由でLinuxインスタンスに接続するために使用されるキーペア。 キーペアは、公開キーと秘密キーで構成されます。 パブリックキーはインスタンスに保存され、プライベートキーは自分で保存されます。 認証プロセスでは、鍵ペアは明示的に送信されず、パスワードベースの認証よりも安全である。
重要インスタンスの作成時にログイン資格情報としてキーペアを選択した場合、パスワードベースのログインは無効になります。 この場合、ユーザー名とパスワードを使用してインスタンスにログインすることはできません。 Virtual Network Computing (VNC) を使用してインスタンスにログインする場合は、ログインパスワードを指定する必要があります。 ログインパスワードの指定方法については、このトピックの「LinuxまたはWindowsインスタンスの初期ログインユーザーのパスワードのリセット」をご参照ください。
カスタムパスワード (非推奨)
Linuxインスタンスへの接続に使用されるパスワード。。
後で設定
[後で設定] を選択すると、インスタンスの作成時にルートユーザーが自動的に初期ログオンユーザーとして使用されます。 ただし、セキュリティを確保するためにrootユーザーのログインは許可されていません。 インスタンスに接続するには、次のいずれかの方法を使用します。
方法1: インスタンスのログインパスワードを指定するか、インスタンスにキーペアをバインドし、パスワードまたはキーペアを使用してインスタンスにログインします。 インスタンスのログインパスワードを指定する方法、またはインスタンスにキーペアをバインドする方法については、このトピックの「Linuxインスタンスの初期ログインユーザーのキーペアのリセット」または「LinuxまたはWindowsインスタンスの初期ログインユーザーのパスワードのリセット」をご参照ください。
方法2: インスタンスのクラウドアシスタントを有効にします。 Cloud AssistantのSession Managerを使用して、パスワードを設定しなくてもインスタンスにログインできます。
Session Managerを使用してインスタンスにログインする場合、ログインユーザー名はecs-assist-userです。 詳細については、「Session Managerを使用したインスタンスへの接続」をご参照ください。
Windowsインスタンスの初期ログインユーザー
初期ログインユーザー
Windowsインスタンスの初期ログインユーザーは、Windowsインスタンスの作成時に指定したログインユーザーを指します。 Windowsインスタンスの場合、初期ログインユーザーはAdministratorです。 管理者は、Windowsオペレーティングシステムのスーパー管理者であり、Windowsオペレーティングシステムに対するすべての権限を持っています。 ユーザーのパスワードを変更する方法など、初期ログインユーザーを管理する方法については、このトピックの「LinuxまたはWindowsインスタンスの初期ログインユーザーのパスワードのリセット」をご参照ください。
ログオン資格情報
インスタンスを作成するときに、[カスタムパスワード] または [後で設定] を選択して、最初のログオンユーザーのログイン資格情報を指定できます。
カスタムパスワード
Windowsインスタンスへの接続に使用されるパスワード。
後で設定
[後で設定] を選択した場合、インスタンスの作成時に管理者ユーザーのパスワードは設定されません。 インスタンスに接続するには、次のいずれかの方法を使用します。
方法1: インスタンスのログインパスワードを指定し、管理者のユーザー名とパスワードを使用してインスタンスに接続します。 インスタンスのログインパスワードを指定する方法については、このトピックの「LinuxまたはWindowsインスタンスの初期ログインユーザーのパスワードのリセット」をご参照ください。
方法2: インスタンスのクラウドアシスタントを有効にします。 Cloud AssistantのSession Managerを使用して、パスワードを設定しなくてもインスタンスにログインできます。
Session Managerを使用してインスタンスにログインすると、ログインユーザー名はsystemになります。 詳細については、「Session Managerを使用したインスタンスへの接続」をご参照ください。
インスタンスの初期ログインユーザーのログイン資格情報の管理
インスタンスを作成した後、ECSコンソールで初期ログオンユーザーのパスワードまたはキーペアを管理できます。
Linuxインスタンスの初期ログオンユーザーのキーペアのリセット
ECSコンソールで初期ログオンユーザーのキーペアを変更できます。 以下の手順を実行します。
キーペアを作成します。
左側のナビゲーションウィンドウで、 .
ページの左上で、キーペアが存在するリソースグループとリージョンを選択します。
[キーペア] ページで、[SSHキーペアの作成] をクリックします。
[SSHキーペアの作成] ダイアログボックスで、プロンプトに従ってキーペアを設定します。
キーペアを自動的に作成する場合は、[自動作成] を選択します。 作成したキーペアをインポートする場合は、[インポート] を選択し、[公開キー] を指定して、作成したキーペアの公開キーをインポートします。 詳細については、「SSHキーペアのインポート」をご参照ください。
[OK] をクリックします。
重要[作成タイプ] を [自動作成] に設定すると、秘密鍵ファイル (.pemファイル) が自動的に作成され、ダウンロードされます。 Alibaba Cloudは秘密鍵を保存しません。 秘密鍵ファイルを安全な場所に保存します。
キーペアをLinuxインスタンスにバインドします。
[キーペア] ページで、手順1で作成したキーペアを見つけ、[操作] 列の [バインド] をクリックします。 [バインド] ダイアログボックスが表示されます。
[操作の確認] ステップで、キーペアをバインドするECSインスタンスを選択し、[次へ] をクリックします。
[インスタンスの再起動] ステップで、再起動モードを [再起動] または [強制再起動] に設定し、[OK] をクリックします。 キーペアは、インスタンスの再起動後に有効になります。
LinuxまたはWindowsインスタンスの初期ログオンユーザーのパスワードのリセット
ECSコンソールで初期ログインユーザーのパスワードを変更できます。 以下の手順を実行します。
ECSコンソールにログインし、パスワードを変更するインスタンスを見つけて、[インスタンスパスワードのリセット] ダイアログボックスに移動します。
にログインします。ECSコンソール.
左側のナビゲーションウィンドウで、 .
ページの左上で、パスワードを変更するインスタンスが存在するリソースグループとリージョンを選択します。
[インスタンス] ページで、パスワードを変更するインスタンスを見つけ、[操作] 列の
を選択します。
[インスタンスパスワードのリセット] ダイアログボックスで、インスタンスのログインパスワードを変更します。
次のパラメータに注意してください。
ログオンユーザー名: デフォルトでは、このパラメーターはECSインスタンスの初期ログオンユーザーのユーザー名です。 このパラメーターを変更する必要はありません。
新しいパスワードとパスワードの確認: プロンプトに従って新しいパスワードを指定します。
パスワードリセット方法:
オンラインリセット (推奨): インスタンスを再起動しなくてもパスワードを変更できます。 パスワードをオンラインで変更する前に、インスタンスにCloud Assistant Agentをインストールする必要があることに注意してください。 オンラインリセットは、インスタンスの他のユーザーのパスワードのリセットもサポートしています。
デフォルトでは、12月1日2017以降にパブリックイメージから作成されたECSインスタンスには、Cloud Assistant Agentがプリインストールされています。 詳細については、「Cloud Assistant Agentのインストール」をご参照ください。
オフラインリセット: ログインパスワードを変更した後、新しいパスワードを有効にするには、インスタンスを再起動する必要があります。 この方法では、Cloud Assistant Agentをインストールする必要はありません。 オフラインパスワードのリセット方法は、インスタンスの最初のログオンユーザーのパスワードをリセットするシナリオにのみ適しています。
SSHパスワード認証。 このパラメーターはLinuxインスタンスにのみ適用されます。
有効化 (推奨): SSHパスワードベースの認証を使用してインスタンスに接続する場合は、有効化を選択します。
[有効] を選択すると、アカウントのSSH設定が変更され、SSHパスワードベースのログインが有効になります。
/etc/ssh/sshd_config
ファイルのPasswordAuthentication
パラメーターは自動的にtrue
に設定されます。元の設定を保持する: VNCログオンシナリオなど、インスタンスへの接続にSSHパスワードベースの認証が必要ない場合は、このオプションを選択します。 このオプションを使用すると、インスタンスのオペレーティングシステムでログオンユーザーのパスワードのみを変更できます。
[元の設定を保持] を選択した後、元のSSH設定は変更されません。 SSH設定ファイルの
PasswordAuthentication
パラメーターがfalseに設定されている場合、SSHパスワードベースの認証を使用してLinuxインスタンスに接続できない可能性があります。
上記のパラメーターを確認し、[OK] をクリックしてパスワードリセット操作を完了します。
ログインユーザーの追加
複数のユーザーを作成してインスタンスに接続できます。 オペレーティングシステムで通常のユーザーを作成し、リモート接続を有効にするには、次の操作を実行します。
Linux インスタンス
Linuxインスタンスで、ユーザーを追加した後、/etc /SSH /sshd_config
という名前のssh設定ファイルを確認します。
インスタンスへのログインにキーペア (SSH) を使用する場合、SSHキーペアベースの認証を有効にする必要があります。 次の手順で説明するように、SSH設定ファイルの
PubkeyAuthentication
パラメーターがyesに設定されていることを確認します。インスタンスへのログインにパスワード (SSH) を使用する場合、SSHパスワードベースの認証を有効にする必要があります。 次の手順で説明するように、SSH設定ファイルの
PasswordAuthentication
パラメーターがyesに設定されていることを確認します。インスタンスへのログインにVNCまたはSession Managerを使用する場合、SSH設定ファイルを変更する必要はありません。
この例では、exampleuserという名前のユーザーが作成されます。
Linux ECSインスタンスに接続します。
ECSインスタンスに接続する適切な方法を選択します。 詳細については、「ECSインスタンスへの接続方法」トピックの「SSHを使用したLinux ECSインスタンスへの接続」または「セッションマネージャーを使用したパスワードなしでWindowsまたはLinux ECSインスタンスへの接続」をご参照ください。
ユーザーを作成します。
次のコマンドを実行してユーザーを作成します。
sudo useradd -m <username>
<username>
を使用するユーザー名に置き換えます。 たとえば、次のコマンドを実行して、exampleuser
という名前のユーザーを作成します。sudo useradd -m exampleuser
パスワードまたはキーペアを設定します。
キーペアの設定
キーペアは、公開キーと秘密キーで構成されます。 パブリックキーはインスタンスに保存され、プライベートキーは自分で保存されます。 ログインには秘密鍵が必要です。
キーペアの準備
既存のキーペアを使用するか、キーペアを作成できます。 キーペアを作成するには、ssh-keygenコマンドを実行します。
で公開キーを指定します。
authorized_keys
設定ファイル。公開鍵の内容を
. ssh/authorized_keys
ファイルを作成したユーザーのルートディレクトリに格納します。を作成します。作成したユーザーのルートディレクトリにあるsshフォルダー。 サンプルコマンド:
sudo mkdir /home/<username>/.ssh
<username>
をステップ2で作成したユーザーの名前に置き換えます。 たとえば、exampleuser
を作成した場合、次のコマンドを実行してexampleuserの構成ファイルを変更します。sudo mkdir /home/exampleuser/.ssh
作成します。Create the
. ssh/authorized_keys
新しいユーザーのルートディレクトリに設定ファイルを配置し、公開鍵ファイルの内容をコピーします。id_rsa.pub
) で生成されるサブステップaを設定ファイルに追加します。 次のコマンドを実行して、絶対パスでファイル名を指定して構成ファイルを開きます。/home/<username>/.ssh/authorized_keys
<username>
をステップ2で作成したユーザーの名前に置き換えます。 たとえば、exampleuser
を作成した場合、次の設定ファイルの絶対パスと名前が使用されます。/home/exampleuser/.ssh/authorized_keys
Vimエディタを使用して、設定ファイルを変更できます。 Vimエディターの使用方法については、「Vimエディターの使用」をご参照ください。
の権限を変更します。
. ssh
ディレクトリとauthorized_keys
ファイルを作成します。sudo chmod 700 /home/<username>/.ssh sudo chmod 600 /home/<username>/.ssh/authorized_keys
<username>
をステップ2で作成したユーザーの名前に置き換えます。 たとえば、exampleuser
を作成しました。 以下のコマンドを実行します。sudo chmod 700 /home/exampleuser/.ssh sudo chmod 600 /home/exampleuser/.ssh/authorized_keys
/etc /SSH /sshd_config
という名前のssh設定ファイルを確認して変更します。キーペアを設定した後、
/etc /SSH /sshd_config
設定ファイルでPubkeyAuthentication
パラメーターをyes
に変更して、sshキーペアベースの認証を有効にします。この操作は、Vimエディターを使用して実行できます。 Vimエディターの使用方法については、「Vimエディターの使用」をご参照ください。
次のコマンドを実行して、設定を有効にするために
sshd
サービスを再起動します。sudo systemctl restart sshd
パスワードの指定
重要セキュリティを確保するため、インスタンスへのログインに弱いパスワードを指定しないでください。
インスタンスで次のコマンドを実行し、パスワードを指定します。
sudo passwd <username>
<username>
をステップ2で作成したユーザーの名前に置き換えます。 たとえば、手順2でexampleuser
を作成しました。 次のコマンドを実行して、ユーザーのパスワードを指定します。sudo passwd exampleuser
画面の指示に従って、新しいパスワードを入力して確認します。
/etc /SSH /sshd_config
という名前のssh設定ファイルを確認して変更します。SSHパスワードベースの認証を有効にするには、
/etc/ssh/sshd_config
設定ファイルでPasswordAuthentication
パラメーターをyes
に設定します。この操作は、Vimエディターを使用して実行できます。 Vimエディターの使用方法については、「Vimエディターの使用」をご参照ください。
次のコマンドを実行して、設定を有効にするために
sshd
サービスを再起動します。sudo systemctl restart sshd
作成したユーザーを使用してECSインスタンスにログインできるかどうかを確認します。
Windows インスタンス
Windowsインスタンスにユーザーを追加するには、ユーザーを作成し、そのユーザーをRemote Desktop Users
ユーザーグループに追加する必要があります。
2人以上のユーザーが同時にWindowsインスタンスにログインできるようにするには、Microsoftリモートデスクトップサービス (RDS) を使用する必要があります。 RDSの詳細については、「」をご参照ください。
この例では、Windows Server 2022を実行するインスタンスにexampleuserという名前のユーザーが作成されます。 GUIは、オペレーティングシステムのバージョンによって異なります。
Windows ECSインスタンスに接続します。
ECSインスタンスに接続する適切な方法を選択します。 詳細については、「ECSインスタンスへの接続方法」トピックの「RDPを使用したWindows ECSインスタンスへの接続」をご参照ください。
ユーザーを作成します。
コントロールパネルを開き、[ユーザーアカウント] の [アカウントタイプの変更] をクリックします。
[アカウントの管理] ページで、[ユーザーアカウントの追加] をクリックします。 [ユーザーの追加] ページが表示されます。
[ユーザーの追加] ページで、プロンプトに従って新しいユーザーのユーザー名とパスワードパラメーターを設定します。
この例では、exampleuserという名前のユーザーが作成されます。 ビジネス要件に基づいて、[ユーザー名] パラメーターの値を置き換えます。
[次へ] をクリックし、[完了] をクリックします。 新しいユーザーが作成されます。
新しいユーザーを
Remote Desktop Users
ユーザーグループに追加します。タスクバーの検索ボックスで、Computer Managementを検索します。 [コンピュータの管理] をクリックして、[コンピュータの管理] ページに移動します。
左側のナビゲーションウィンドウで、
を選択し、[リモートデスクトップユーザー] を見つけます。 [リモートデスクトップユーザー] をダブルクリックして、[リモートデスクトップユーザーのプロパティ] ダイアログボックスに移動します。
右図に示すように、次の操作を実行します。
[リモートデスクトップユーザーのプロパティ] ダイアログボックスで、[追加] をクリックします。
ステップ2で作成したユーザーの名前を入力し、[名前の確認] をクリックします。
[OK] をクリックします。 [リモートデスクトップユーザーのプロパティ] ダイアログボックスで、[適用] をクリックし、[OK] をクリックします。 exampleuserユーザーがユーザーグループに追加されます。
新しいユーザーを使用してECSインスタンスにログインできるかどうかを確認します。