文档

管理及使用ECS凭据

更新时间:
重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

ECS凭据是指您登录ECS实例时用于身份验证的口令和公私钥。凭据管家支持对托管的凭据进行全自动的定期轮转或立即轮转,从而降低凭据泄露的风险。本文介绍如何管理及使用ECS凭据。

概述

使用ECS凭据,您需要授予凭据管家管理ECS实例口令和公私钥的相关权限,当您需要登录ECS实例时,从凭据管家获取实例对应的凭据。

轮转ECS凭据时,当定期轮转或立即轮转触发后,凭据管家会向云助手发起凭据轮转指令,云助手调用ECS实例上的插件完成凭据轮转。轮转成功后即可使用新凭据登录ECS实例。

重要

ECS凭据轮转成功后,凭据关联的ECS实例的口令和公私钥将同步发生更新。请勿删除凭据关联的ECS实例,避免凭据轮转失败。

动态ECS凭据

使用限制

Linux系统支持轮转口令和公私钥(SSH Key),Windows系统仅支持轮转口令。

前提条件

步骤一:创建ECS凭据

创建凭据时可以设置凭据全自动的定期轮转,从而降低凭据泄露的安全风险。

  1. 登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击资源 > 凭据管理

  2. 单击ECS凭据页签,选择实例ID后,单击创建凭据,完成各项配置后单击确定

    配置项

    说明

    凭据名称

    自定义的凭据名称。

    托管实例

    选择阿里云账号下已有的ECS实例。

    托管用户

    填写ECS实例上已有的用户名称,例如:root(Linux系统)或Administrator(Windows系统)。

    初始凭据值

    长度不超过30720字节(30KB)。

    • 口令:用户登录ECS实例的密码。

    • 密钥对:用户登录ECS实例的SSH密钥对。

      获取SSH密钥对

      • 您是在ECS创建的SSH密钥对

        • 私钥:创建SSH密钥对后,浏览器自动下载私钥文件(密钥对名称.pem)到本地电脑。详细内容,请参见创建SSH密钥对

        • 公钥:如何查看公钥信息,请参见查看公钥信息

      • 您是自行生成的SSH密钥对

        请在生成密钥对的同时保存私钥和公钥。以使用ssh-keygen命令生成并保存3072位RSA密钥对为例。

        ssh-keygen -t RSA -b 3072 -m PEM -f ~/.ssh/sshKey_demo -N ""

        执行完成后,会生成两个文件:

        • ~/.ssh/sshKey_demo:其中保存的是私钥。

        • ~/.ssh/sshKey_demo.pub:其中保存的是公钥。

    说明

    请您输入正确的凭据值。如果输入的凭据值不正确,在ECS凭据首次轮转前,您从KMS获取到的口令或密钥对将不能正常登录ECS实例。

    加密主密钥

    选择用于加密凭据值的密钥。

    重要

    密钥和凭据需要属于同一个KMS实例,且密钥必须为对称密钥。关于KMS支持哪些对称密钥,请参见密钥管理类型和密钥规格

    标签

    凭据的标签,方便您对凭据进行分类管理。每个标签由一个键值对(Key:Value)组成,包含标签键(Key)、标签值(Value)。

    说明
    • 标签键和标签值的格式:最多支持128个字符,可以包含英文大小写字母、数字、正斜线(/)、反斜线(\)、下划线(_)、短划线(-)、半角句号(.)、加号(+)、等于号(=)、半角冒号(:)、字符at(@)。

    • 标签键不能以aliyun或acs:开头。

    • 每个凭据最多可以设置20个标签键值对。

    自动轮转

    选择开启或关闭凭据的周期性自动轮转。

    轮转周期

    仅当开启自动轮转时需要设置。支持设置为1小时~365天。

    表示轮转的周期,设置后KMS将定期为您更新凭据值。

    描述信息

    凭据的描述信息。

    高级设置

    凭据的策略配置。

    • 默认策略:凭据由当前主账号使用,或者资源共享单元中的主账号使用,请选择默认策略。

      • 实例未共享给其他账号:仅当前主账号能管理及使用凭据。

      • 实例已共享给其他账号:以主账号1将KMS实例A共享给主账号2为例介绍。

        • 主账号1创建的凭据:仅主账号1能管理及使用凭据。

        • 主账号2创建的凭据:主账号1和主账号2,都能管理及使用凭据。

    • 自定义策略:如果凭据需要授权给RAM用户、RAM角色,或授权给其他账号使用,请选择自定义策略。

      重要
      • 选择管理员、使用者时不消耗访问管理数量配额。选择其他账号使用者时,会消耗KMS实例的访问管理数量配额,按主账号个数计算消耗的配额,如果您取消了授权,请等待约5分钟,再查看配额,配额的消耗数量会相应减少。

      • 使用凭据时,还需要授予使用对应密钥进行解密(Decrypt)的权限。

      • 管理员:对凭据进行管控类操作,不支持使用凭据(即获取凭据值)。支持选择当前账号下的RAM用户和RAM角色。

        管理员支持的权限列表

        {
        	"Statement": [
        		{
        			"Action": [
        				"kms:List*",
        				"kms:Describe*",
        				"kms:PutSecretValue",
        				"kms:Update*",
        				"kms:DeleteSecret",
        				"kms:RestoreSecret",
        				"kms:RotateSecret",
        				"kms:TagResource",    
        				"kms:UntagResource" 
        			]
        		}
        	]
        }
      • 使用者:支持使用凭据,即获取凭据值。支持选择当前账号下的RAM用户和RAM角色。

        使用者支持的权限列表

        {
            "Statement": [
                {
                    "Action": [
                        "kms:List*",
        								"kms:Describe*",
        								"kms:GetSecretValue",
                    ]
                }
            ]
        }
      • 其他账号使用者:仅支持使用凭据,即获取凭据值。可以是其他阿里云账号的RAM用户或RAM角色。

        • RAM用户:格式为acs:ram::<userId>:user/<ramuser>,例如acs:ram::119285303511****:user/testpolicyuser

        • RAM角色:格式为acs:ram::<userId>:role/<ramrole>,例如acs:ram::119285303511****:role/testpolicyrole

        说明

        授权给RAM用户、RAM角色后,您仍需在访问控制RAM侧,使用该RAM用户、RAM角色的主账号为其授权使用该凭据,RAM用户、RAM角色才能使用该凭据。

        具体操作,请参见使用RAM实现对资源的访问控制为RAM用户授权为RAM角色授权

        其他账号使用者支持的权限列表

        {
            "Statement": [
                {
                    "Action": [
                        "kms:List*",
        								"kms:Describe*",
        								"kms:GetSecretValue",
                    ]
                }
            ]
        }
    说明

    创建凭据时,系统会自动创建服务关联角色AliyunServiceRoleForKMSSecretsManagerForECS,并为其授权权限策略AliyunServiceRolePolicyForKMSSecretsManagerForECS。凭据管家使用该角色为您管理动态ECS凭据,完成ECS口令、公私钥的轮转任务。

    您可以登录RAM控制台查看服务关联角色和权限策略的详细信息,具体操作,请参见查看RAM角色查看权限策略基本信息

步骤二:应用程序接入凭据管家客户端

凭据管家客户端基于KMS凭据API,封装了凭据缓存、最佳实践和设计模式,使更易于开发者在业务系统中集成。具体操作,请参见凭据管家客户端

更多操作

轮转ECS凭据

您可以为凭据设置周期性自动轮转,降低凭据泄露的安全风险。也可以在凭据泄露时,通过控制台立即轮转功能快速轮转凭据,阻断入侵威胁。

  1. 登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击资源 > 凭据管理

  2. 单击ECS凭据页签,选择实例ID后,定位到要立即轮转的凭据名称,单击操作列的详情

  3. 在凭据详情页面配置凭据轮转策略。

    • 周期性自动轮转:在页面右上角单击设置轮转策略,开启或关闭周期性自动轮转,然后单击确定

    • 立即轮转:在页面右上角单击立即轮转,在设置轮转策略对话框中选择是否使用自定义凭据后,单击确定

      • 开关打开:使用自定义凭据并指定新凭据值。

      • 开关关闭:KMS将自动创建32位的随机口令或RSA2048公私钥对。

删除ECS凭据

您可以选择计划删除凭据和立即删除凭据两种方式,删除不需要的凭据。

警告

删除凭据前,请确认该凭据已不再使用,否则可能导致您的业务失败。

  1. 登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击资源 > 凭据管理

  2. 单击ECS凭据页签,选择实例ID后,定位到要删除的凭据名称,单击操作列的计划删除凭据

  3. 计划删除凭据对话框中,选择凭据删除方式,并单击确定

    • 计划删除凭据:设置预删除周期(7~30天),系统将在预删除周期结束后删除凭据。

    • 立即删除凭据:系统将立即删除凭据。

    在预删除周期内,您可以单击目标凭据操作列的还原凭据,取消删除操作。

为凭据配置标签

凭据的标签,方便您对凭据进行分类管理。每个标签由一个键值对(Key:Value)组成,包含标签键(Key)、标签值(Value)。

说明
  • 标签键和标签值的格式:最多支持128个字符,可以包含英文大小写字母、数字、正斜线(/)、反斜线(\)、下划线(_)、短划线(-)、半角句号(.)、加号(+)、等于号(=)、半角冒号(:)、字符at(@)。

  • 标签键不能以aliyun或acs:开头。

  • 每个凭据最多可以设置20个标签键值对。

为单个凭据配置标签

方式

操作

方式一:在凭据管理页面配置标签

  1. 登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击资源 > 凭据管理

  2. 单击相应的凭据类型页签,选择实例ID后,定位到目标凭据,单击标签列的image.png图标。

  3. 单击绑定,在编辑标签对话框中输入多个标签键标签值后,单击确定,然后在变更提示对话框中单击关闭

    您也可以在编辑标签对话框中修改标签值、批量解绑标签。

方式二:在凭据详情页面配置标签

  1. 登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击资源 > 凭据管理

  2. 单击相应的凭据类型页签,选择实例ID后,定位到目标凭据,单击操作列的详情

  3. 在凭据详情页面,单击标签后的image.png图标。

  4. 编辑标签对话框中输入多个标签键标签值后,单击确定,然后在变更提示对话框中单击关闭

    您也可以在编辑标签对话框中修改标签值、批量解绑标签。

为多个凭据批量配置标签

  1. 登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击资源 > 凭据管理

  2. 单击相应的凭据类型页签,选择实例ID后,在凭据列表中勾选要操作的凭据。

    • 增加标签:在凭据列表的最下方,单击增加标签,输入多个标签键标签值后,单击确认,然后在变更提示对话框中单击关闭

    • 删除标签:在凭据列表的最下方,单击删除标签,在批量解绑标签对话框勾选要解绑的标签,单击解绑标签,然后在变更提示对话框中单击关闭

常见问题

设置轮转策略或立即轮转时,提示“您的凭据在轮转中,请稍后再试”

  • 本页导读 (1)
文档反馈