您可以将ECS账号口令或公私钥存储在KMS的凭据中(即ECS凭据),业务应用及阿里云服务可通过集成阿里云SDK、KMS实例SDK或凭据SDK向KMS动态获取账号口令,您还可以为凭据配置轮转,以减少账号口令的泄露风险。本文介绍如何管理及使用ECS凭据。
ECS凭据轮转
轮转ECS凭据时,当定期轮转或立即轮转触发后,凭据管家会向云助手发起凭据轮转指令,云助手调用ECS实例上的插件完成凭据轮转。轮转成功后即可使用新凭据登录ECS实例。
ECS凭据轮转成功后,凭据关联的ECS实例的口令和公私钥将同步发生更新。请勿删除凭据关联的ECS实例,避免凭据轮转失败。
注意事项
使用ECS凭据,您需要授予KMS管理ECS实例口令和公私钥的相关权限,当您需要登录ECS实例时,从KMS获取实例对应的凭据。
您在KMS托管ECS账号口令或公私钥后,请勿在云服务器 ECS(Elastic Compute Service)修改、删除账号口令或公私钥,以避免您的业务失败。
请勿将ECS实例的口令或公私钥(SSH Key)托管到多个ECS凭据中。因为ECS凭据轮转会更新口令或公私钥,如果其中一个ECS凭据轮转,使用其他ECS凭据中的凭据值会无法成功登录该ECS实例。
使用限制
Linux系统支持轮转口令和公私钥(SSH Key),Windows系统仅支持轮转口令。
前提条件
已购买并启用KMS实例。具体操作,请参见购买和启用KMS实例。
已在KMS实例中创建用于加密凭据的对称密钥。具体操作,请参见创建密钥。
已完成阿里云ECS实例创建。具体操作,请参见创建ECS实例。
如果您使用RAM用户(子账号)或RAM角色管理ECS凭据,请确保阿里云账号(主账号)已将系统策略AliyunKMSSecretAdminAccess授予RAM用户或RAM角色。具体操作,请参见为RAM用户授权或为RAM角色授权。
步骤一:创建ECS凭据
创建凭据时可以设置凭据全自动的定期轮转,从而降低凭据泄露的安全风险。
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击 。
单击ECS凭据页签,选择实例ID后,单击创建凭据,完成各项配置后单击确定。
配置项
说明
凭据名称
自定义的凭据名称。凭据名称在当前地域内唯一。
托管实例
选择阿里云账号下已有的ECS实例。
托管用户
填写ECS实例上已有的用户名称,例如:root(Linux系统)或Administrator(Windows系统)。
初始凭据值
长度不超过30720字节(30KB)。
口令:用户登录ECS实例的密码。
密钥对:用户登录ECS实例的SSH密钥对。
说明请您输入正确的凭据值。如果输入的凭据值不正确,在ECS凭据首次轮转前,您从KMS获取到的口令或密钥对将不能正常登录ECS实例。
加密主密钥
选择用于加密凭据值的密钥。
重要密钥和凭据需要属于同一个KMS实例,且密钥必须为对称密钥。关于KMS支持哪些对称密钥,请参见密钥管理类型和密钥规格。
如果是RAM用户、RAM角色,需要具备使用加密主密钥执行GenerateDataKey操作的权限。
标签
凭据的标签,方便您对凭据进行分类管理。每个标签由一个键值对(Key:Value)组成,包含标签键(Key)、标签值(Value)。
说明标签键和标签值的格式:最多支持128个字符,可以包含英文大小写字母、数字、正斜线(/)、反斜线(\)、下划线(_)、短划线(-)、半角句号(.)、加号(+)、等于号(=)、半角冒号(:)、字符at(@)、空格。
标签键不能以aliyun或acs:开头。
每个凭据最多可以设置20个标签键值对。
自动轮转
选择开启或关闭凭据的周期性自动轮转。
轮转周期
仅当开启自动轮转时需要设置。支持设置为1小时~365天。
表示轮转的周期,设置后KMS将定期为您更新凭据值。
描述信息
凭据的描述信息。
策略配置
凭据的策略配置。详细介绍,请参见凭据策略概述。
您可以先选择默认策略,创建凭据后根据业务需要再修改策略。
说明创建凭据时,系统会自动创建服务关联角色AliyunServiceRoleForKMSSecretsManagerForECS,并为其授权权限策略AliyunServiceRolePolicyForKMSSecretsManagerForECS。凭据管家使用该角色为您管理ECS凭据,完成ECS口令、公私钥的轮转任务。
您可以登录RAM控制台查看服务关联角色和权限策略的详细信息,具体操作,请参见查看RAM角色和查看权限策略基本信息。
步骤二:应用程序集成ECS凭据
KMS提供了阿里云SDK、KMS实例SDK、凭据客户端,用于获取凭据值,应用可以通过这些SDK集成ECS凭据。其中,凭据客户端封装了凭据缓存、最佳实践和设计模式,使更易于开发者在业务系统中集成,推荐您优先使用。具体操作,请参见凭据客户端。关于各SDK的详细介绍,请参见SDK参考。
如果您使用SDK进行管控类操作,例如创建ECS凭据、修改ECS标签等,仅支持使用阿里云SDK。
更多操作
轮转ECS凭据
您可以为凭据设置周期性自动轮转,降低凭据泄露的安全风险。也可以在凭据泄露时,通过控制台立即轮转功能快速轮转凭据,阻断入侵威胁。
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击 。
单击ECS凭据页签,选择实例ID后,定位到要立即轮转的凭据名称,单击操作列的详情。
在凭据详情页面配置凭据轮转策略。
周期性自动轮转:在页面右上角单击设置轮转策略,开启或关闭周期性自动轮转,然后单击确定。
立即轮转:在页面右上角单击立即轮转,在设置轮转策略对话框中选择是否使用自定义凭据后,单击确定。
开关打开:使用自定义凭据并指定新凭据值。
开关关闭:KMS将自动创建32位的随机口令或RSA2048公私钥对。
删除ECS凭据
您可以选择计划删除凭据和立即删除凭据两种方式,删除不需要的凭据。
删除凭据前,请确认该凭据已不再使用,否则可能导致您的业务失败。
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击 。
单击ECS凭据页签,选择实例ID后,定位到要删除的凭据名称,单击操作列的计划删除凭据。
在计划删除凭据对话框中,选择凭据删除方式,并单击确定。
计划删除凭据:设置预删除周期(7~30天),系统将在预删除周期结束后删除凭据。
立即删除凭据:系统将立即删除凭据。
在预删除周期内,您可以单击目标凭据操作列的还原凭据,取消删除操作。
为凭据配置标签
凭据的标签,方便您对凭据进行分类管理。每个标签由一个键值对(Key:Value)组成,包含标签键(Key)、标签值(Value)。
标签键和标签值的格式:最多支持128个字符,可以包含英文大小写字母、数字、正斜线(/)、反斜线(\)、下划线(_)、短划线(-)、半角句号(.)、加号(+)、等于号(=)、半角冒号(:)、字符at(@)、空格。
标签键不能以aliyun或acs:开头。
每个凭据最多可以设置20个标签键值对。
为单个凭据配置标签
方式 | 操作 |
方式一:在凭据管理页面配置标签 |
|
方式二:在凭据详情页面配置标签 |
|
为多个凭据批量配置标签
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击 。
单击相应的凭据类型页签,选择实例ID后,在凭据列表中勾选要操作的凭据。
增加标签:在凭据列表的最下方,单击增加标签,输入多个标签键和标签值后,单击确认,然后在变更提示对话框中单击关闭。
删除标签:在凭据列表的最下方,单击删除标签,在批量解绑标签对话框勾选要解绑的标签,单击解绑标签,然后在变更提示对话框中单击关闭。