课程目录

• SSH 密钥对

• 堡垒机

• RAM 权限策略

一、 SSH 密钥对

1. 创建 SSH 密钥对

1) 操作步骤

a) 登录 ECS 管理控制台，https://ecs.console.aliyun.com

b) 在左侧导航栏，选择网络与安全>密钥对

c) 在顶部菜单栏左上角处，选择地域

d) 单击创建密钥对

e) 在创建密钥对页面，完成以下配置：

• 密钥对名称：密钥对名称不能和已有密钥对重复。长度为 2~128 个字符，不能以特殊字符及数字开头，只可包含特殊字符中的英文句号（.）、下划线（

_）、短划线（-）和冒号（:）。

• 创建类型：可以选择以下任一类型创建密钥对。建议选择自动新建密钥对，并及时保存私钥。

自动新建密钥对：系统会自动创建密钥对。创建完成后将自动下载私钥，用

户只有这一次下载私钥的机会，因此请妥善保存私钥文件。

导入已有密钥对：用户也可以自行导入 Base64 编码的公钥内容。

• 资源组：可以为密钥对指定一个资源组，实现对资源的分组管理。

资源组参考

https://help.aliyun.com/document_detail/100034.html

f) 单击确定

2) 执行结果

SSH 密钥对创建成功后，浏览器自动下载私钥文件（密钥对名称.pem）到本地电脑。

注意

私钥文件只在创建密钥对时自动下载到本地，ECS 控制台不会保存私钥文件。如果私钥文件丢失将无法找回，请妥善保存。

2. 绑定 SSH 密钥对

1) 操作步骤

a) 登录 ECS 管理控制台，https://ecs.console.aliyun.com

b) 在左侧导航栏，单击网络与安全>密钥对

c) 在顶部菜单栏左上角处，选择地域

d) 找到需要操作的密钥对，在操作列中，单击绑定密钥对

e) 在选择 ECS 实例栏中，选中需要绑定该密钥对的 ECS 实例名称，单击>图标，移入已选择栏中

注意

如果选择ECS实例栏中的ECS实例名称显示为灰色，表示该实例为Windows实例，不支持 SSH 密钥对。

f) 单击确定

g) 如果 ECS 实例处于运行中（Running）状态，重启实例使操作生效：

• 在左侧导航栏，单击实例与镜像>实例

• 找到需要操作的实例，在操作列中，选择更多>实例状态>重启

• 在重启实例弹窗中，单击确定

注意

此处重启请使用控制台重启，在机器内部重启不会触发该动作。

3. 通过密钥认证登录 Linux 实例

1) 操作步骤

a) 找到.pem 私钥文件在本地机上的存储路径，例如~/.ssh/ecs.pem（此处路径和文件名称仅为示例，在后续命令中请根据实际情况修改）

b) 运行以下命令修改私钥文件的属性：

• chmod 400 [.pem 私钥文件在本地机上的存储路径]

注

该文件属性权限太高则会提示 Permission denied

c) 运行以下命令连接至实例：

• ssh-i[.pem 私钥文件在本地机上的存储路径]root@[公网 IP 地址]

注

当未指定 pem 私钥文件在本地机上的存储路径时，会默认使用~/.ssh/id_rsa 文件

2) 其他注意事项

a) 通过以下命令查看服务器接受的登录方式：

• ssh root@[公网 IP 地址]-vvv

publickey：密钥对登录

keyboard-interactive，password：键盘交互的密码登录方式

b) 在控制台绑定密钥对的时候，会自动禁用密码登录方式。

《企业运维之弹性计算原理与实践》——第四章 ECS 进阶概念-安全——第四章（下）：ECS 安全操作演示（2） https://developer.aliyun.com/article/1231489?groupCode=supportservice