本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業務造成影響,請務必仔細閱讀。
您可以將ECS賬號口令或公私鑰存儲在KMS的憑據中(即ECS憑據),業務應用及阿里云服務可通過集成阿里云SDK、KMS實例SDK或憑據SDK向KMS動態獲取賬號口令,您還可以為憑據配置輪轉,以減少賬號口令的泄露風險。本文介紹如何管理及使用ECS憑據。
ECS憑據輪轉
輪轉ECS憑據時,當定期輪轉或立即輪轉觸發后,憑據管家會向云助手發起憑據輪轉指令,云助手調用ECS實例上的插件完成憑據輪轉。輪轉成功后即可使用新憑據登錄ECS實例。
ECS憑據輪轉成功后,憑據關聯的ECS實例的口令和公私鑰將同步發生更新。請勿刪除憑據關聯的ECS實例,避免憑據輪轉失敗。
注意事項
使用ECS憑據,您需要授予KMS管理ECS實例口令和公私鑰的相關權限,當您需要登錄ECS實例時,從KMS獲取實例對應的憑據。
您在KMS托管ECS賬號口令或公私鑰后,請勿在云服務器 ECS(Elastic Compute Service)修改、刪除賬號口令或公私鑰,以避免您的業務失敗。
請勿將ECS實例的口令或公私鑰(SSH Key)托管到多個ECS憑據中。因為ECS憑據輪轉會更新口令或公私鑰,如果其中一個ECS憑據輪轉,使用其他ECS憑據中的憑據值會無法成功登錄該ECS實例。
使用限制
Linux系統支持輪轉口令和公私鑰(SSH Key),Windows系統僅支持輪轉口令。
前提條件
已購買并啟用KMS實例。具體操作,請參見購買和啟用KMS實例。
已在KMS實例中創建用于加密憑據的對稱密鑰。具體操作,請參見創建密鑰。
已完成阿里云ECS實例創建。具體操作,請參見創建ECS實例。
如果您使用RAM用戶(子賬號)或RAM角色管理ECS憑據,請確保阿里云賬號(主賬號)已將系統策略AliyunKMSSecretAdminAccess授予RAM用戶或RAM角色。具體操作,請參見為RAM用戶授權或為RAM角色授權。
步驟一:創建ECS憑據
創建憑據時可以設置憑據全自動的定期輪轉,從而降低憑據泄露的安全風險。
登錄密鑰管理服務控制臺,在頂部菜單欄選擇地域后,在左側導航欄單擊。
單擊ECS憑據頁簽,選擇實例ID后,單擊創建憑據,完成各項配置后單擊確定。
配置項
說明
憑據名稱
自定義的憑據名稱。憑據名稱在當前地域內唯一。
托管實例
選擇阿里云賬號下已有的ECS實例。
托管用戶
填寫ECS實例上已有的用戶名稱,例如:root(Linux系統)或Administrator(Windows系統)。
初始憑據值
長度不超過30720字節(30KB)。
口令:用戶登錄ECS實例的密碼。
密鑰對:用戶登錄ECS實例的SSH密鑰對。
您是在ECS創建的SSH密鑰對
私鑰:創建SSH密鑰對后,瀏覽器自動下載私鑰文件(密鑰對名稱.pem)到本地電腦。詳細內容,請參見創建SSH密鑰對。
您是自行生成的SSH密鑰對
請在生成密鑰對的同時保存私鑰和公鑰。以使用
ssh-keygen命令生成并保存3072位RSA密鑰對為例。ssh-keygen -t RSA -b 3072 -m PEM -f ~/.ssh/sshKey_demo -N ""執行完成后,會生成兩個文件:
~/.ssh/sshKey_demo:其中保存的是私鑰。~/.ssh/sshKey_demo.pub:其中保存的是公鑰。
說明請您輸入正確的憑據值。如果輸入的憑據值不正確,在ECS憑據首次輪轉前,您從KMS獲取到的口令或密鑰對將不能正常登錄ECS實例。
加密主密鑰
選擇用于加密憑據值的密鑰。
重要密鑰和憑據需要屬于同一個KMS實例,且密鑰必須為對稱密鑰。關于KMS支持哪些對稱密鑰,請參見密鑰管理類型和密鑰規格。
如果是RAM用戶、RAM角色,需要具備使用加密主密鑰執行GenerateDataKey操作的權限。
標簽
憑據的標簽,方便您對憑據進行分類管理。每個標簽由一個鍵值對(Key:Value)組成,包含標簽鍵(Key)、標簽值(Value)。
說明標簽鍵和標簽值的格式:最多支持128個字符,可以包含英文大小寫字母、數字、正斜線(/)、反斜線(\)、下劃線(_)、短劃線(-)、半角句號(.)、加號(+)、等于號(=)、半角冒號(:)、字符at(@)、空格。
標簽鍵不能以aliyun或acs:開頭。
每個憑據最多可以設置20個標簽鍵值對。
自動輪轉
選擇開啟或關閉憑據的周期性自動輪轉。
輪轉周期
僅當開啟自動輪轉時需要設置。支持設置為1小時~365天。
表示輪轉的周期,設置后KMS將定期為您更新憑據值。
描述信息
憑據的描述信息。
策略配置
憑據的策略配置。詳細介紹,請參見憑據策略概述。
您可以先選擇默認策略,創建憑據后根據業務需要再修改策略。
說明創建憑據時,系統會自動創建服務關聯角色AliyunServiceRoleForKMSSecretsManagerForECS,并為其授權權限策略AliyunServiceRolePolicyForKMSSecretsManagerForECS。憑據管家使用該角色為您管理ECS憑據,完成ECS口令、公私鑰的輪轉任務。
您可以登錄RAM控制臺查看服務關聯角色和權限策略的詳細信息,具體操作,請參見查看RAM角色和查看權限策略基本信息。
步驟二:應用程序集成ECS憑據
KMS提供了阿里云SDK、KMS實例SDK、憑據客戶端,用于獲取憑據值,應用可以通過這些SDK集成ECS憑據。其中,憑據客戶端封裝了憑據緩存、最佳實踐和設計模式,使更易于開發者在業務系統中集成,推薦您優先使用。具體操作,請參見憑據客戶端。關于各SDK的詳細介紹,請參見SDK參考。
如果您使用SDK進行管控類操作,例如創建ECS憑據、修改ECS標簽等,僅支持使用阿里云SDK。
更多操作
輪轉ECS憑據
您可以為憑據設置周期性自動輪轉,降低憑據泄露的安全風險。也可以在憑據泄露時,通過控制臺立即輪轉功能快速輪轉憑據,阻斷入侵威脅。
登錄密鑰管理服務控制臺,在頂部菜單欄選擇地域后,在左側導航欄單擊。
單擊ECS憑據頁簽,選擇實例ID后,定位到要立即輪轉的憑據名稱,單擊操作列的詳情。
在憑據詳情頁面配置憑據輪轉策略。
周期性自動輪轉:在頁面右上角單擊設置輪轉策略,開啟或關閉周期性自動輪轉,然后單擊確定。
立即輪轉:在頁面右上角單擊立即輪轉,在設置輪轉策略對話框中選擇是否使用自定義憑據后,單擊確定。
開關打開:使用自定義憑據并指定新憑據值。
開關關閉:KMS將自動創建32位的隨機口令或RSA2048公私鑰對。
刪除ECS憑據
您可以選擇計劃刪除憑據和立即刪除憑據兩種方式,刪除不需要的憑據。
刪除憑據前,請確認該憑據已不再使用,否則可能導致您的業務失敗。
登錄密鑰管理服務控制臺,在頂部菜單欄選擇地域后,在左側導航欄單擊。
單擊ECS憑據頁簽,選擇實例ID后,定位到要刪除的憑據名稱,單擊操作列的計劃刪除憑據。
在計劃刪除憑據對話框中,選擇憑據刪除方式,并單擊確定。
計劃刪除憑據:設置預刪除周期(7~30天),系統將在預刪除周期結束后刪除憑據。
立即刪除憑據:系統將立即刪除憑據。
在預刪除周期內,您可以單擊目標憑據操作列的還原憑據,取消刪除操作。
為憑據配置標簽
憑據的標簽,方便您對憑據進行分類管理。每個標簽由一個鍵值對(Key:Value)組成,包含標簽鍵(Key)、標簽值(Value)。
標簽鍵和標簽值的格式:最多支持128個字符,可以包含英文大小寫字母、數字、正斜線(/)、反斜線(\)、下劃線(_)、短劃線(-)、半角句號(.)、加號(+)、等于號(=)、半角冒號(:)、字符at(@)、空格。
標簽鍵不能以aliyun或acs:開頭。
每個憑據最多可以設置20個標簽鍵值對。
為單個憑據配置標簽
方式 | 操作 |
方式一:在憑據管理頁面配置標簽 |
|
方式二:在憑據詳情頁面配置標簽 |
|
圖標。
圖標。為多個憑據批量配置標簽
登錄密鑰管理服務控制臺,在頂部菜單欄選擇地域后,在左側導航欄單擊。
單擊相應的憑據類型頁簽,選擇實例ID后,在憑據列表中勾選要操作的憑據。
增加標簽:在憑據列表的最下方,單擊增加標簽,輸入多個標簽鍵和標簽值后,單擊確認,然后在變更提示對話框中單擊關閉。
刪除標簽:在憑據列表的最下方,單擊刪除標簽,在批量解綁標簽對話框勾選要解綁的標簽,單擊解綁標簽,然后在變更提示對話框中單擊關閉。