NHN Bastionを利用してNHN Cloudのインスタンスへのアクセスを制御できます。この文書では、NHN CloudコンソールでNHN Bastionを作成し、アクセスが必要なインスタンスに接続する方法と、ユーザーとポリシー、リソース、履歴を管理する方法について説明します。
[参考] * 最初に作成されたWebターミナルはサービスを無効にするまでスペックの変更または削除を行うことができません。 * インターネットゲートウェイが接続されたVPCに限り、Floating IPを接続できます。 * Webターミナルで接続先とのSSH通信を許可すると接続先にアクセスできます。 (例:Security Groupsなど) * ログ暗号化対象:ユーザーID、メール、コマンド [注意] * Secure Key Managerサービスでログ暗号化に設定した 対称鍵をローテーションする場合、以前のバージョンの鍵をすぐに削除しないように注意が必要です。 * Secure Key Managerサービスでログ暗号化に設定した 対称鍵を削除すると、暗号化された ログを復号できません。対称鍵を誤って削除しないように注意して管理する必要があります。
ポリシー管理でユーザーにアクセスが許可されたインスタンスリストのみ表示され、アクセスが許可されたインスタンスにアクセスできます。
[注意] * インスタンスとSSH通信が可能なWebターミナルを選択する必要があります。 * パスワード認証はOSでパスワードアクセスができるように設定する必要があります。 * 一時的なSSHキー認証は、スクリプトをコピーしたWebターミナルを通じてのみアクセスできます。
NHN Bastionサービスに権限があるユーザーリストを確認し、ユーザーグループを作成・管理できます。
NHN Bastionサービス利用権限を持つユーザーのリストです。ユーザーの権限および最後にインスタンスにアクセスした日時を確認できます。
ユーザーグループを作成及び管理することができ、作成したグループはポリシー管理タブでアクセス主体として登録できます。
接続対象に登録されたインスタンスを対象にアクセス制御ポリシーとコマンド制御ポリシーを設定できます。 各ポリシーには優先順位があり、優先順位が高い順にポリシーが適用されます。
[例]
下記の[表]のようにポリシーが適用されている場合、
* user AはInstance Aアクセス可能、 shutdown
コマンドのみ使用不可、その他のコマンドは使用可能
* user AはInstance Bアクセス可能、 cd
コマンドのみ使用可能、その他のコマンドは使用不可
* user BはInstance Aアクセス可能、 reboot
コマンドのみ使用不可、その他のコマンドは使用可能
* user BはInstance Bアクセス不可
優先順位 | ユーザー | アクセス対象 | コマンドポリシー |
---|---|---|---|
#1 | user A | Instance A | [禁止] shutdown |
#2 | user A | Instance A, Instance B | [許可] cd |
#3 | user B | Instance A | [禁止] reboot |
[注意] 下記のコマンドについては、コマンドポリシーの登録の有無に関わらず、全てブロックされます。 * 迂回遮断コマンド: SSH, TELNET, SFTP, RCP, SCP, FTP, RSAP, RLOGINなど
ポリシーの優先順位を変更できます。 1. 選択したポリシーの順序を希望の優先順位に変更し、修正をクリックします。 2. 順序変更後で修正した優先順位のプレビューを確認します。プレビューは、修正したポリシーを基準に、前後のポリシーが一緒に表示されます。 3. 保存をクリックして、ポリシーの優先順位を変更します。
提供されるテンプレートを利用してポリシーを一括登録することができ、作成されているポリシーをダウンロードしてバックアップできます。 * 一括登録:テンプレートを利用してポリシーを一括でアップロード提供 * ポリシー一括ダウンロード:現在適用されているポリシーリストのダウンロードを提供
リソース管理 > インスタンス管理タブでは、プロジェクト内に登録されているインスタンスを接続対象として追加できます。 登録されたインスタンスを対象にアクセス制御ポリシー及びコマンド制御ポリシー機能を提供します。
全体削除:登録された全てのインスタンスを接続対象から削除できます。
接続設定
外部リソース
登録:レガシー環境のサーバーや他プロジェクトのインスタンスなどを手動で登録できます。
一括登録:外部リソースをテンプレートを利用して一括登録できます。
[注意] 登録された外部リソースについては、IPを基準にWebターミナルからSSH通信を試みます。Webターミナルから目的地サーバーまで通信が可能な環境でのみサービスを利用できます。
[注意] インスタンス作成または削除に対する変更事項は最大5分後に反映される場合があります。 * サービス利用状況ダウンロード:現在登録されているサービス対象のリストをダウンロードできます。
リソース管理 > Webターミナル管理で、インスタンスアクセスに必要なターミナルとBastionを提供するWebターミナルインスタンスを作成/管理できます。
[注意] サービス有効化時に最初に作成されたWebターミナルは削除できません。削除するにはサービスを無効化する必要があります。
* WebターミナルのFloating IPを使用するかどうかを設定できます。
* Network Firewallサービスを利用する顧客がDNAT機能を利用してWebターミナルにパブリックIPを割り当てる場合、リダイレクト機能を使用に設定してWebターミナルのパブリックIPを入力できます。
* 社内DNSを利用する顧客は、リダイレクト 機能を使用に設定してWebターミナルのドメインアドレスを入力できます。
IPアクセス制御
* Webターミナルにアクセスが必要なCIDRを入力できます。
[参考] IPアクセス制御はホワイトリスト方式で提供されます。
静的ルーティング更新
サブネットに適用された 静的ルーティングポリシーをWebターミナルに適用します。
スクリプト
* 一時的なSSHキーを利用したアプローチを利用するために、対象インスタンスで実行する必要があるスクリプトを提供します。
[注意] * 一時的なSSHキーによるアプローチは、選択したWebターミナルでのみ適用され、他の経路でアクセスする場合は提供されません。 * WebターミナルのIPアクセス制御に接続対象インスタンスIPが追加されている必要があります。 * 接続対象インスタンスのSecurity GroupsでWebターミナルのIPに443ポートアウトバウンドポリシーが追加されている必要があります。
リソース管理 > リソースグループタブでは、接続対象に登録されているインスタンスグループを作成及び管理できます。
* + グループ作成:接続対象に登録されているインスタンスを追加または削除してグループを作成できます。
* コピー:リソースグループを選択してコピーできます。
* 修正:リソースグループを修正できます。
* 削除:リソースグループを選択して削除できます。
NHN Bastionサービスを利用してインスタンスにアクセスした履歴を管理できます。ログ照会期間は最大 一週間まで設定できます。 履歴は最大6か月間保管され、6か月以上保管が必要な場合は、環境設定 >ログ管理でObject Storageにバックアップできます。
リアルタイムでインスタンスと接続されているセッションを確認することができ、接続を遮断できます。
ユーザーがインスタンスにアクセスした履歴を確認することができ、検索条件と接続時間を利用して目的の履歴を照会できます。
ユーザーが使用したコマンドを確認することができ、検索条件と接続時間を利用して目的のコマンドの使用履歴を照会できます。
ユーザーがインスタンスにファイルアップロード/ダウンロードした 履歴を確認することができ、検索条件と接続時間を利用して目的の履歴を照会できます。
インスタンスアクセス時に、Webターミナルで提供するセッションタイムアウト時間を設定できます。
[参考] Webターミナルで提供するセッションタイムアウト設定なので、OSで設定したセッションタイムアウトとは別に動作します。
ユーザーが同時に接続できる最大セッション数を設定できます。
NHN Bastionサービスで提供するログを顧客のObject Storageにバックアップできます。
[参考] ログ暗号化を使用する場合ログは復号してObject Storageにバックアップされます。 バックアップを設定した時点のログからObject Storageにバックアップされます。以前に保存されたログはバックアップされません。
[注意] 最初に作成されたWebターミナルが位置するVPCにインターネットゲートウェイがない場合は、他のリージョンのObject Storageバックアップがサポートされません。
インスタンスアクセスに使用するSSHポートを指定できます。
[参考] Webターミナルからアクセス対象インスタンスに接続する際に利用するポートで、OSで設定したSSHポートに設定する必要があります。
暗号化が有効かどうかと、適用された 対称鍵IDを確認できます。 Secure Key Managerでキーローテーションを実行した場合、[キーローテーション] ボタンを使用して、以前のバージョンのキーを最新バージョンに更新できます。
[注意] Secure Key Managerでキーローテーションを実行した後、NHN Bastionサービスでキーを更新しない場合、ログ照会時にエラーが発生する可能性があります。
NHN Bastionサービスで作成されたすべてのリソースを削除します。
[注意] NHN Bastionサービス利用中に作成されたデータとサービス内のすべてのリソースが削除され、一度削除された情報は復元できません。
ブラウザベースのWebターミナルを提供し、ファイルアップロード/ダウンロード機能を提供します。
[参考] ローカルでコピーした内容を遠隔サーバーに貼り付けるために、ブラウザでクリップボードに保存されたテキストや画像を確認できる権限を許可する必要があります。
右矢印ボタンをクリックしてファイルナビゲーターを実行できます。ファイルナビゲーターを通じて、希望のパスのファイルをアップロードまたはダウンロードできます。 右矢印ボタンをクリックしてフォントサイズを調整できます。
[参考] 最初に接続したOSアカウントの権限を基準にファイル転送が可能で、suコマンドによるアカウントの変更は反映されません。 ドラッグアンドドロップでファイルをアップロードする場合、現在のディレクトリパスに関係なく ホームディレクトリに保存されます。