您可以創建動態ECS憑據,對ECS憑據進行定期或人工輪轉,從而降低ECS憑據泄露的安全風險。本文為您介紹如何通過KMS控制臺創建、輪轉、刪除或還原動態ECS憑據。

前提條件

  • 請確保您已經創建阿里云ECS實例。具體操作,請參見創建ECS實例
  • 阿里云賬號和具有相關權限的RAM用戶或RAM角色都可以管理動態ECS憑據。

    當RAM用戶或RAM角色管理憑據時,需要將系統策略AliyunKMSSecretAdminAccess授予該RAM用戶或RAM角色,使其擁有以下權限:

    • 使用憑據管家相關功能的權限。
    • 查詢ECS實例的權限。
    • 創建動態ECS憑據使用的服務關聯角色的權限。

    具體操作,請參見為RAM用戶授權為RAM角色授權

創建動態ECS憑據

  1. 登錄密鑰管理服務控制臺
  2. 在頁面左上角的地域下拉列表,選擇憑據所在的地域。
    說明 憑據所在的地域需要跟待托管的ECS實例所在地域相同。
  3. 在左側導航欄,單擊憑據
  4. 單擊創建憑據
  5. 創建憑據對話框,配置以下參數,然后單擊下一步
    • 選擇憑據類型:選擇托管ECS憑據
    • 憑據名稱:輸入憑據名稱。
    • 托管實例:選擇阿里云賬號下已有的ECS實例。
    • 托管用戶:填寫ECS實例上已有的用戶名稱,例如:root(Linux系統)或Administrator(Windows系統)。
    • 設置憑據值:選擇口令密鑰對,填入對應的初始值。
      說明 如果初始值不正確,您將在ECS憑據首次輪轉后獲取到正確的口令或密鑰對。
    • 描述信息:輸入ECS憑據的描述信息。
  6. 創建憑據對話框,選中開啟自動輪轉,配置輪轉周期,然后單擊下一步
    說明 如果無需自動輪轉ECS憑據,請選擇關閉自動輪轉
  7. 創建憑據對話框,審核憑據配置信息,單擊確定
    創建成功后,您可以在憑據列表中查看憑據類型托管ECS憑據的動態ECS憑據。

輪轉動態ECS憑據

當ECS憑據泄露時,您可以通過控制臺立即輪轉功能快速輪轉動態ECS憑據,阻斷入侵威脅。

  1. 單擊目標ECS憑據名稱,然后單擊立即輪轉
  2. 提示對話框,選擇是否使用自定義憑據
    • 打開開關:使用自定義憑據并指定新憑據值。
    • 關閉開關:KMS將自動創建32位的隨機口令或RSA2048公私鑰對。
  3. 單擊確認輪轉
  4. 已觸發輪轉對話框,單擊關閉

刪除動態ECS憑據

刪除ECS憑據前,請確保該ECS憑據已不被使用。

您可以選擇計劃刪除憑據和立即刪除憑據兩種方式,刪除不需要的動態ECS憑據。刪除動態ECS憑據不會影響ECS實例上已配置的口令或公私鑰。

  1. 在目標ECS憑據右側的操作列,選擇更多 > 計劃刪除憑據
  2. 刪除憑據對話框,選擇憑據刪除方式,然后單擊確定
    • 選擇計劃刪除憑據,然后設置預刪除周期(7~30天)。系統將在預刪除周期后刪除憑據。

      在預刪除周期內,您可以還原憑據,取消刪除操作。具體操作,請參見還原動態ECS憑據

    • 選擇立即刪除憑據,系統將立即刪除憑據。

還原動態ECS憑據

當您選擇了計劃刪除憑據的方式刪除動態ECS憑據時,在預刪除周期內,可以還原動態ECS憑據,取消刪除操作。還原動態ECS憑據后,即可正常使用動態ECS憑據。

  1. 在目標ECS憑據右側的操作列,選擇更多 > 還原憑據
  2. 還原憑據對話框,單擊確定