您可以创建动态ECS凭据,对ECS凭据进行定期或人工轮转,从而降低ECS凭据泄露的安全风险。本文为您介绍如何通过KMS控制台创建、轮转、删除或还原动态ECS凭据。

前提条件

  • 请确保您已经创建阿里云ECS实例。具体操作,请参见创建ECS实例
  • 阿里云账号和具有相关权限的RAM用户或RAM角色都可以管理动态ECS凭据。

    当RAM用户或RAM角色管理凭据时,需要将系统策略AliyunKMSSecretAdminAccess授予该RAM用户或RAM角色,使其拥有以下权限:

    • 使用凭据管家相关功能的权限。
    • 查询ECS实例的权限。
    • 创建动态ECS凭据使用的服务关联角色的权限。

    具体操作,请参见为RAM用户授权为RAM角色授权

创建动态ECS凭据

  1. 登录密钥管理服务控制台
  2. 在页面左上角的地域下拉列表,选择凭据所在的地域。
    说明 凭据所在的地域需要跟待托管的ECS实例所在地域相同。
  3. 在左侧导航栏,单击凭据
  4. 单击创建凭据
  5. 创建凭据对话框,配置以下参数,然后单击下一步
    • 选择凭据类型:选择托管ECS凭据
    • 凭据名称:输入凭据名称。
    • 托管实例:选择阿里云账号下已有的ECS实例。
    • 托管用户:填写ECS实例上已有的用户名称,例如:root(Linux系统)或Administrator(Windows系统)。
    • 设置凭据值:选择口令密钥对,填入对应的初始值。
      说明 如果初始值不正确,您将在ECS凭据首次轮转后获取到正确的口令或密钥对。
    • 描述信息:输入ECS凭据的描述信息。
  6. 创建凭据对话框,选中开启自动轮转,配置轮转周期,然后单击下一步
    说明 如果无需自动轮转ECS凭据,请选择关闭自动轮转
  7. 创建凭据对话框,审核凭据配置信息,单击确定
    创建成功后,您可以在凭据列表中查看凭据类型托管ECS凭据的动态ECS凭据。

轮转动态ECS凭据

当ECS凭据泄露时,您可以通过控制台立即轮转功能快速轮转动态ECS凭据,阻断入侵威胁。

  1. 单击目标ECS凭据名称,然后单击立即轮转
  2. 提示对话框,选择是否使用自定义凭据
    • 打开开关:使用自定义凭据并指定新凭据值。
    • 关闭开关:KMS将自动创建32位的随机口令或RSA2048公私钥对。
  3. 单击确认轮转
  4. 已触发轮转对话框,单击关闭

删除动态ECS凭据

删除ECS凭据前,请确保该ECS凭据已不被使用。

您可以选择计划删除凭据和立即删除凭据两种方式,删除不需要的动态ECS凭据。删除动态ECS凭据不会影响ECS实例上已配置的口令或公私钥。

  1. 在目标ECS凭据右侧的操作列,选择更多 > 计划删除凭据
  2. 删除凭据对话框,选择凭据删除方式,然后单击确定
    • 选择计划删除凭据,然后设置预删除周期(7~30天)。系统将在预删除周期后删除凭据。

      在预删除周期内,您可以还原凭据,取消删除操作。具体操作,请参见还原动态ECS凭据

    • 选择立即删除凭据,系统将立即删除凭据。

还原动态ECS凭据

当您选择了计划删除凭据的方式删除动态ECS凭据时,在预删除周期内,可以还原动态ECS凭据,取消删除操作。还原动态ECS凭据后,即可正常使用动态ECS凭据。

  1. 在目标ECS凭据右侧的操作列,选择更多 > 还原凭据
  2. 还原凭据对话框,单击确定