Workbenchを介したインスタンスへの接続 - Elastic Compute Service

Workbenchは、Alibaba Cloudが提供するリモート接続ツールで、追加のソフトウェアインストールを必要とせずに、ブラウザからElastic Compute Service (ECS) インスタンスに直接アクセスできます。

ワークベンチとは

ワークベンチ紹介

Workbenchは、Alibaba Cloudが提供するwebベースのリモート接続ツールです。ブラウザ内で動作し、インストールは必要ありません。次の図は、Workbenchを使用してECSインスタンスに接続するプロセスを示しています。

特徴

複数の接続方法をサポート
Workbenchは、SSH for LinuxやRDP for Windowsなどのインスタンスへの複数の接続方法を提供します
.
関連ドキュメント
- パスワードまたはキーを使用したLinuxインスタンスへの接続
- パスワードまたはキーを使用したWindowsインスタンスへの接続

インターネットまたはプライベートネットワーク経由のインスタンスへの接続をサポート
Workbenchを使用すると、パブリックまたはプライベートIPアドレスを介してSSHまたはRDPを使用してインスタンスに接続できます。

その他の機能

ワークベンチには、インスタンス接続機能以外に以下の追加機能があります。

ファイル管理: ECSへのファイルのアップロードとECSからローカルマシンへのダウンロードを有効にします。詳細については、「ファイルの管理」をご参照ください。
システム管理: Workbenchシステム管理機能を使用すると、Linuxインスタンスオペレーティングシステム内のユーザー、履歴ログインレコード、およびシステムサービスを管理できます。詳細については、「システム管理の実行」をご参照ください。
マルチスクリーン端末: Workbenchマルチスクリーン端末機能を使用すると、複数のECSインスタンスに同時に接続でき、これらのインスタンス間で同一のコマンドを同時に実行できます。詳細については、「マルチターミナル機能の使用」をご参照ください。

Workbenchの基本的な使用プロセス

次の図は、Workbenchを使用してインスタンスに接続する手順の概要を示しています。

接続するインスタンスを見つけます。
WorkbenchとECSインスタンス間のネットワーク接続を確立します。
これには、セキュリティグループとファイアウォールルールを設定して、ワークベンチからインスタンスへのインバウンドトラフィックを許可することが含まれます。
Workbenchを使用してインスタンスに接続します。
コンソールでインスタンスを選択し、ユーザー名とパスワード、またはキーペアなどの必要な資格情報を使用してWorkbenchを介して接続します。
サービスにリンクされたロールを作成します。
サービスにリンクされたロールが作成されていない場合、ワークベンチはECSインスタンスへのアクセスを許可するよう求めます。
インスタンスに正常に接続し、O&Mを実行します。

Workbenchのサービスにリンクされたロール

ワークベンチには、ECSインスタンスを管理する権限が必要です。 Workbenchを使用してインスタンスに最初に接続すると、AliyunServiceRoleForECSWorkbenchという名前のサービスにリンクされたロールを作成するように求められます。このロールは、ワークベンチがECSインスタンスにアクセスすることを許可します。サービスにリンクされたロールの詳細については、「サービスにリンクされたロール」をご参照ください。

インスタンスに初めて接続すると、次のダイアログボックスが表示されます。 [OK] をクリックすると、サービスにリンクされたロールが自動的に作成されます。

RAMユーザーは、プライマリアカウントまたは管理者からAliyunECSDworkbenchFullAccessシステムポリシーまたは特定のカスタムポリシーを取得する必要があります。この権限は、Workbenchのサービスにリンクされたロールを作成し、Workbenchを使用してインスタンスにアクセスするために必要です。詳細については、「RAMユーザーへの権限付与」をご参照ください。

{
  "Version": "1",
  "Statement": [
    {
      "Action": "ecs-workbench:LoginInstance",
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "ram:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "workbench.ecs.aliyuncs.com"
        }
      }
    }
  ]
}

権限の説明

ecs-workbench:LoginInstanceセクション: Workbenchを使用してインスタンスにログインする権限を付与します。
```
{
  "Action": "ecs-workbench:LoginInstance",
  "Resource": "*",
  "Effect": "Allow"
}
```

ram:CreateServiceLinkedRoleセクション: Workbenchのサービスにリンクされたロールの作成を許可します。

{
  "Action": "ram:CreateServiceLinkedRole",
  "Resource": "*",
  "Effect": "Allow",
  "Condition": {
    "StringEquals": {
      "ram:ServiceName": "workbench.ecs.aliyuncs.com"
    }
  }
}

Workbenchに関連するセキュリティグループの設定

Workbenchを介してSSHまたはRDPを使用してインスタンスに接続するには、インスタンスのセキュリティグループを設定して、Workbenchサーバーからのインバウンドトラフィックを許可する必要があります。次の表を参照して、ネットワークタイプに適したセキュリティグループルールを確認してください。詳細については、「セキュリティグループルールの追加」をご参照ください。

重要

インスタンス内でファイアウォールが有効になっている場合は、セキュリティグループの設定に従ってファイアウォールルールを変更します。

VPC

Workbenchを使用して仮想プライベートクラウド (VPC) にあるインスタンスに接続するには、インスタンスのセキュリティグループに次の受信方向ルールを設定します。

Action

優先度

プロトコルタイプ

ポート範囲

権限付与オブジェクト

許可

カスタムTCP

ポート範囲は、インスタンス内で実行されているリモート接続サービスのポートに基づいて設定されます。

Linuxインスタンスへの接続:
[SSH (22)] を選択します。
LinuxインスタンスのデフォルトサービスはSSHで、通常はポート22にあります。
Windowsインスタンスへの接続:
[RDP (3389)] を選択します。
WindowsインスタンスのデフォルトサービスはRDPで、通常はポート3389にあります。

重要

インスタンス内でリモートサービスのポートが変更されている場合は、それに応じて設定を調整します。

インターネット経由の接続:
161.117.0.0/16
プライベートネットワーク接続: 100.104.0.0/16を指定します。

警告

0.0.0.0/0を使用すると、すべてのIPアドレスがリモートサービスポートに接続できることを示します。このコマンドは慎重にご使用ください。

クラシックネットワーク

Workbenchを使用してクラシックネットワークインスタンスに接続するには、インスタンスのセキュリティグループに次の受信方向ルールを設定します。