您可以建立動態ECS憑據,對ECS憑據進行定期或人工輪轉,從而降低ECS憑據泄露的安全風險。本文為您介紹如何通過KMS控制台建立、輪轉、刪除或還原動態ECS憑據。
前提條件
- 請確保您已經建立阿里雲ECS執行個體。具體操作,請參見建立ECS執行個體。
- 阿里雲帳號和具有相關許可權的RAM使用者或RAM角色都可以管理動態ECS憑據。
當RAM使用者或RAM角色管理認證時,需要將系統策略AliyunKMSSecretAdminAccess授予該RAM使用者或RAM角色,使其擁有以下許可權:
- 使用憑據管家相關功能的許可權。
- 查詢ECS執行個體的許可權。
- 建立動態ECS憑據使用的服務關聯角色的許可權。
建立動態ECS憑據
- 登入Key Management Service控制台。
- 在頁面左上方的地區下拉式清單,選擇憑據所在的地區。說明 憑據所在的地區需要跟待託管的ECS執行個體所在地區相同。
- 在左側導覽列,單擊憑據。
- 單擊建立憑據。
- 在建立憑據對話方塊,配置以下參數,然後單擊下一步。
- 選擇憑據類型:選擇託管ECS憑據。
- 憑據名稱:輸入憑據名稱。
- 受管理的執行個體:選擇阿里雲帳號下已有的ECS執行個體。
- 託管使用者:填寫ECS執行個體上已有的使用者名稱稱,例如:root(Linux系統)或Administrator(Windows系統)。
- 設定憑據值:選擇口令或金鑰組,填入對應的初始值。說明 如果初始值不正確,您將在ECS憑據首次輪轉後擷取到正確的口令或金鑰組。
- 描述資訊:輸入ECS憑據的描述資訊。
- 在建立憑據對話方塊,選中開啟自動輪轉,配置輪轉周期,然後單擊下一步。說明 如果無需自動輪轉ECS憑據,請選擇關閉自動輪轉。
- 在建立憑據對話方塊,審核憑據配置資訊,單擊確定。建立成功後,您可以在憑據列表中查看憑據類型為託管ECS憑據的動態ECS憑據。
輪轉動態ECS憑據
當ECS憑據泄露時,您可以通過控制台立即輪轉功能快速輪轉動態ECS憑據,阻斷入侵威脅。
- 單擊目標ECS憑據名稱,然後單擊立即輪轉。
- 在提示對話方塊,選擇是否使用自訂憑據。
- 開啟開關:使用自訂憑據並指定新憑據值。
- 關閉開關:KMS將自動建立32位的隨機口令或RSA2048公私密金鑰對。
- 單擊確認輪轉。
- 在已觸發輪轉對話方塊,單擊關閉。
刪除動態ECS憑據
刪除ECS憑據前,請確保該ECS憑據已不被使用。
您可以選擇計劃刪除憑據和立即刪除憑據兩種方式,刪除不需要的動態ECS憑據。刪除動態ECS憑據不會影響ECS執行個體上已配置的口令或公私密金鑰。
- 在目標ECS憑據右側的操作列,選擇。
- 在刪除憑據對話方塊,選擇憑據刪除方式,然後單擊確定。
- 選擇計劃刪除憑據,然後設定預刪除周期(7~30天)。系統將在預刪除周期後刪除憑據。
在預刪除周期內,您可以還原憑據,取消刪除操作。具體操作,請參見還原動態ECS憑據。
- 選擇立即刪除憑據,系統將立即刪除憑據。
- 選擇計劃刪除憑據,然後設定預刪除周期(7~30天)。系統將在預刪除周期後刪除憑據。
還原動態ECS憑據
當您選擇了計劃刪除憑據的方式刪除動態ECS憑據時,在預刪除周期內,可以還原動態ECS憑據,取消刪除操作。還原動態ECS憑據後,即可正常使用動態ECS憑據。
- 在目標ECS憑據右側的操作列,選擇。
- 在還原憑據對話方塊,單擊確定。