您可以將ECS帳號口令或公私密金鑰儲存在KMS的憑據中(即ECS憑據),業務應用及阿里雲服務可通過整合阿里雲SDK、KMS執行個體SDK或憑據SDK向KMS動態擷取帳號口令,您還可以為憑據配置輪轉,以減少帳號口令的泄露風險。本文介紹如何管理及使用ECS憑據。
ECS憑據輪轉
輪轉ECS憑據時,當定期輪轉或立即輪轉觸發後,憑據管家會向雲助手發起憑據輪轉指令,雲助手調用ECS執行個體上的外掛程式完成憑據輪轉。輪轉成功後即可使用新憑據登入ECS執行個體。
ECS憑據輪轉成功後,憑據關聯的ECS執行個體的口令和公私密金鑰將同步發生更新。請勿刪除憑據關聯的ECS執行個體,避免憑據輪轉失敗。
注意事項
使用ECS憑據,您需要授予KMS管理ECS執行個體口令和公私密金鑰的相關許可權,當您需要登入ECS執行個體時,從KMS擷取執行個體對應的憑據。
您在KMS託管ECS帳號口令或公私密金鑰後,請勿在Elastic Compute Service (ECS)修改、刪除帳號口令或公私密金鑰,以避免您的業務失敗。
請勿將ECS執行個體的口令或公私密金鑰(SSH Key)託管到多個ECS憑據中。因為ECS憑據輪轉會更新口令或公私密金鑰,如果其中一個ECS憑據輪轉,使用其他ECS憑據中的憑據值會無法成功登入該ECS執行個體。
使用限制
Linux系統支援輪轉口令和公私密金鑰(SSH Key),Windows系統僅支援輪轉口令。
前提條件
已購買並啟用KMS執行個體。具體操作,請參見購買和啟用KMS執行個體。
已在KMS執行個體中建立用於加密憑據的對稱金鑰。具體操作,請參見建立密鑰。
已完成阿里雲ECS執行個體建立。具體操作,請參見建立ECS執行個體。
如果您使用RAM使用者(子帳號)或RAM角色管理ECS憑據,請確保阿里雲帳號(主帳號)已將系統策略AliyunKMSSecretAdminAccess授予RAM使用者或RAM角色。具體操作,請參見管理RAM使用者的許可權或管理RAM角色的許可權。
步驟一:建立ECS憑據
建立憑據時可以設定憑據全自動的定期輪轉,從而降低憑據泄露的安全風險。
登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊。
單擊ECS凭据頁簽,選擇实例ID後,單擊创建ECS凭据,完成各項配置後單擊确定。
配置項
說明
凭据名称
自訂的憑據名稱。憑據名稱在當前地區內唯一。
托管实例
選擇阿里雲帳號下已有的ECS執行個體。
托管用户
填寫ECS執行個體上已有的使用者名稱稱,例如:root(Linux系統)或Administrator(Windows系統)。
初始凭据值
長度不超過30720位元組(30KB)。
口令:使用者登入ECS執行個體的密碼。
金鑰組:使用者登入ECS執行個體的SSH金鑰組。
說明請您輸入正確的憑據值。如果輸入的憑據值不正確,在ECS憑據首次輪轉前,您從KMS擷取到的口令或金鑰組將不能正常登入ECS執行個體。
加密主密钥
選擇用於加密憑據值的密鑰。
重要密鑰和憑據需要屬於同一個KMS執行個體,且密鑰必須為對稱金鑰。關於KMS支援哪些對稱金鑰,請參見密鑰管理類型和密鑰規格。
如果是RAM使用者、RAM角色,需要具備使用加密主要金鑰執行GenerateDataKey操作的許可權。
標籤
憑據的標籤,方便您對憑據進行分類管理。每個標籤由一個索引值對(Key:Value)組成,包含標籤鍵(Key)、標籤值(Value)。
說明標籤鍵和標籤值的格式:最多支援128個字元,可以包含英文大小寫字母、數字、正斜線(/)、反斜線(\)、底線(_)、短劃線(-)、半形句號(.)、加號(+)、等號(=)、半形冒號(:)、字元at(@)、空格。
標籤鍵不能以aliyun或acs:開頭。
每個憑據最多可以設定20個標籤索引值對。
自动轮转
選擇開啟或關閉憑據的周期性自動輪轉。
轮转周期
僅當开启自动轮转時需要設定。支援設定為1小時~365天。
表示輪轉的周期,設定後KMS將定期為您更新憑據值。
描述信息
憑據的描述資訊。
憑據的策略配置。詳細介紹,請參見憑據策略概述。
您可以先選擇預設策略,建立憑據後根據業務需要再修改策略。
步驟二:應用程式整合ECS憑據
KMS提供了阿里雲SDK、KMS執行個體SDK、憑據用戶端,用於擷取憑據值,應用可以通過這些SDK整合ECS憑據。其中,憑據用戶端封裝了憑據緩衝、最佳實務和設計模式,使更易於開發人員在業務系統中整合,推薦您優先使用。具體操作,請參見憑據用戶端。關於各SDK的詳細介紹,請參見SDK參考。
如果您使用SDK進行管控類操作,例如建立ECS憑據、修改ECS標籤等,僅支援使用阿里雲SDK。
更多操作
輪轉ECS憑據
您可以為憑據設定周期性自動輪轉,降低憑據泄露的安全風險。也可以在憑據泄露時,通過控制台立即輪轉功能快速輪轉憑據,阻斷入侵威脅。
登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊。
單擊ECS凭据頁簽,選擇实例ID後,定位到要立即輪轉的憑據名稱,單擊操作列的详情。
在憑據詳情頁面配置憑據輪轉策略。
周期性自動輪轉:在頁面右上方單擊设置轮转策略,開啟或關閉周期性自動輪轉,然後單擊確定。
立即輪轉:在頁面右上方單擊立即轮转,在设置轮转策略對話方塊中選擇是否使用自定义凭据後,單擊確定。
開關開啟:使用自訂憑據並指定新憑據值。
開關關閉:KMS將自動建立32位的隨機口令或RSA2048公私密金鑰對。
刪除ECS憑據
您可以選擇計劃刪除憑據和立即刪除憑據兩種方式,刪除不需要的憑據。
刪除憑據前,請確認該憑據已不再使用,否則可能導致您的業務失敗。
登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊。
單擊ECS凭据頁簽,選擇实例ID後,定位到要刪除的憑據名稱,單擊操作列的计划删除凭据。
在计划删除凭据對話方塊中,選擇憑據刪除方式,並單擊確定。
计划删除凭据:設定預刪除周期(7~30天),系統將在預刪除周期結束後刪除憑據。
立即删除凭据:系統將立即刪除憑據。
在預刪除周期內,您可以單擊目標憑據操作列的还原凭据,取消刪除操作。
為憑據配置標籤
憑據的標籤,方便您對憑據進行分類管理。每個標籤由一個索引值對(Key:Value)組成,包含標籤鍵(Key)、標籤值(Value)。
標籤鍵和標籤值的格式:最多支援128個字元,可以包含英文大小寫字母、數字、正斜線(/)、反斜線(\)、底線(_)、短劃線(-)、半形句號(.)、加號(+)、等號(=)、半形冒號(:)、字元at(@)、空格。
標籤鍵不能以aliyun或acs:開頭。
每個憑據最多可以設定20個標籤索引值對。
為單個憑據配置標籤
方式 | 操作 |
方式一:在憑據管理頁面配置標籤 |
|
方式二:在憑據詳情頁面配置標籤 |
|
表徵圖。
表徵圖。為多個憑據大量設定標籤
登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊。
單擊相應的憑據類型頁簽,選擇实例ID後,在憑據列表中勾選要操作的憑據。
增加標籤:在憑據列表的最下方,單擊增加標籤,輸入多個標籤鍵和標籤值後,單擊確定,然後在變更提示對話方塊中單擊關閉。
刪除標籤:在憑據列表的最下方,單擊刪除標籤,在批量解除綁定標籤對話方塊勾選要解除綁定的標籤,單擊取消,然後在變更提示對話方塊中單擊關閉。