堡垒机集成ECS凭据

运维安全中心(堡垒机)(Bastionhost)已集成KMS的ECS凭据,您在KMS将ECS账号口令或密钥对保存为ECS凭据后,可在堡垒机直接导入该ECS凭据,堡垒机远程连接ECS服务器时,会自动从KMS获取ECS凭据值,无需您在堡垒机手动输入ECS账号口令或密钥对。本文介绍堡垒机使用ECS凭据远程连接服务器的流程。

功能介绍

您在KMS中将ECS账号口令或SSH密钥对保存为ECS凭据,在堡垒机侧仅需导入ECS凭据,不必在堡垒机手动输入ECS账号口令或SSH密钥对。远程连接ECS服务器时,堡垒机会实时从KMS获取ECS凭据的凭据值用于登录。

KMS可以对ECS凭据设置周期性自动轮转,由于堡垒机会实时从KMS获取凭据版本为ACSCurrent的凭据值,设置轮转不会对堡垒机远程连接ECS服务器有影响。关于凭据版本的详细介绍,请参见凭据管理概述

堡垒机使用ECS凭据远程连接服务器的整体流程如下图所示。

image
  1. 凭据管理员在KMS中创建ECS凭据。

  2. 堡垒机管理员在堡垒机中配置从KMS导入ECS凭据。

  3. 堡垒机运维员发起远程连接ECS实例的请求。

  4. 堡垒机调用KMS的ListSecretsGetSecretValue接口,实时从KMS获取对应的ECS凭据值。

  5. 堡垒机使用ECS凭据值登录ECS实例。

注意事项

  • 堡垒机仅基础版、企业双擎版的V3.2.40及以上版本,支持集成ECS凭据。

  • 如果您在KMS删除ECS凭据,会导致堡垒机无法获取对应的凭据值,远程连接ECS服务器时会失败。

前提条件

  • 已在堡垒机中导入ECS资产。具体操作,请参见导入阿里云ECS实例

  • 如果您使用RAM用户(子账号)管理ECS凭据以及堡垒机,请确保阿里云账号(主账号)已将AliyunKMSSecretAdminAccess(管理KMS凭据的权限)和AliyunYundunBastionHostFullAccess(管理云盾堡垒机的权限)授予RAM用户。具体操作,请参见为RAM用户授权

操作步骤

  1. 在KMS创建ECS凭据。详细内容,请参见步骤一:创建ECS凭据

    1. 登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击资源 > 凭据管理

    2. 单击ECS凭据页签,选择实例ID后,单击创建凭据,完成各项配置后单击确定

      配置项

      说明

      凭据名称

      自定义的凭据名称。

      托管实例

      选择阿里云账号下已有的ECS实例。

      托管用户

      填写ECS实例上已有的用户名称,例如:root(Linux系统)或Administrator(Windows系统)。

      初始凭据值

      长度不超过30720字节(30KB)。

      • 口令:用户登录ECS实例的密码。

      • 密钥对:用户登录ECS实例的SSH密钥对。

      说明

      请您输入正确的凭据值。如果输入的凭据值不正确,在ECS凭据首次轮转前,您从KMS获取到的口令或密钥对将不能正常登录ECS实例。

      加密主密钥

      选择用于加密凭据值的密钥。

      重要

      密钥和凭据需要属于同一个KMS实例,且密钥必须为对称密钥。关于KMS支持哪些对称密钥,请参见密钥管理类型和密钥规格

      标签

      凭据的标签,方便您对凭据进行分类管理。每个标签由一个键值对(Key:Value)组成,包含标签键(Key)、标签值(Value)。

      说明
      • 标签键和标签值的格式:最多支持128个字符,可以包含英文大小写字母、数字、正斜线(/)、反斜线(\)、下划线(_)、短划线(-)、半角句号(.)、加号(+)、等于号(=)、半角冒号(:)、字符at(@)。

      • 标签键不能以aliyun或acs:开头。

      • 每个凭据最多可以设置20个标签键值对。

      自动轮转

      选择开启或关闭凭据的周期性自动轮转。

      轮转周期

      仅当开启自动轮转时需要设置。支持设置为1小时~365天。

      表示轮转的周期,设置后KMS将定期为您更新凭据值。

      描述信息

      凭据的描述信息。

      说明

      创建凭据时,系统会自动创建服务关联角色AliyunServiceRoleForKMSSecretsManagerForECS,并为其授权权限策略AliyunServiceRolePolicyForKMSSecretsManagerForECS。KMS使用该角色为您管理ECS凭据,完成ECS口令、公私钥的轮转任务。

      您可以登录RAM控制台查看服务关联角色和权限策略的详细信息,具体操作,请参见查看RAM角色查看权限策略基本信息

  2. 在堡垒机导入ECS凭据。

    导入成功后,用户在堡垒机中远程连接ECS服务器时,堡垒机会自动从KMS获取凭据值用于登录。

    1. 登录堡垒机系统。具体操作,请参见登录系统

    2. 在左侧导航栏,选择资产管理 > 主机

    3. 在主机列表,定位到目标主机,在操作列,单击导入KMS凭据

    4. 导入KMS凭据对话框,选中目标凭据,单击导入

      KMS凭据成功导入后,您可以在主机列表,单击对应的主机名称,在主机账户页签查看和管理导入的KMS凭据。

后续操作

  1. 授权堡垒机用户运维该ECS服务器。具体操作,请参见按用户授权主机

  2. 堡垒机用户运维该ECS服务器。详细内容,请参见运维概述

相关文档

什么是堡垒机