Security > NHN Bastion > コンソール使用ガイド

NHN Bastionを利用してNHN Cloudのインスタンスへのアクセスを制御できます。この文書では、NHN CloudコンソールでNHN Bastionを作成し、アクセスが必要なインスタンスに接続する方法と、ユーザーとポリシー、リソース、履歴を管理する方法について説明します。

はじめに

  1. NHN Bastionを使用するためには、まず、NHN Bastionサービスを有効にします。
  2. NHN Bastionはサービスを提供するため、API連携を通じてユーザーのリソースにアクセスできる権限が必要です。

NHN Bastionの作成

image

  1. Security > NHN Bastion に移動します。
  2. 各項目を設定し、下部のインスタンス作成をクリックします。
    • 名前(必須):複数のWebターミナルを利用する場合、Webターミナルを区別するための名前。
    • タイプ(必須): Webターミナルのインスタンス性能
      • 性能はWebターミナルが同時に作成できるSSHセッション数を意味
    • VPC(必須): Webターミナルで使用するVPC
    • サブネット(必須): Webターミナルで使用するサブネット
    • Floating IP(任意): Webターミナルで使用するFloating IPの使用有無

[参考] * 最初に作成されたWebターミナルはサービスを無効にするまでスペックの変更または削除を行うことができません。 * インターネットゲートウェイが接続されたVPCに限り、Floating IPを接続できます。 * Webターミナルで接続先とのSSH通信を許可すると接続先にアクセスできます。 (例:Security Groupsなど)

インスタンス接続

ポリシー管理でユーザーにアクセスが許可されたインスタンスリストのみ表示され、アクセスが許可されたインスタンスにアクセスできます。

インスタンスへのアクセス

  1. アクセスが必要なインスタンスで接続をクリックします。
  2. インスタンスアクセスに利用するWebターミナルを選択します。
  3. アクセスするインスタンスのIPが複数ある場合、アクセス可能なIPを選択します。
  4. 認証方式を選択します。
    • SSHキー認証
      • インスタンスのOSアカウントを入力します。
      • インスタンス作成時に設定したキーをアップロードします。
    • パスワード認証
      • インスタンスのOSアカウントを入力します。
      • インスタンスのパスワードを入力します。
    • 一時的なSSHキー認証
      • インスタンスのOSアカウントを入力します。

[注意] * インスタンスとSSH通信が可能なWebターミナルを選択する必要があります。 * パスワード認証はOSでパスワードアクセスができるように設定する必要があります。 * 一時的なSSHキー認証は、スクリプトをコピーしたWebターミナルを通じてのみアクセスできます。

ユーザー管理

NHN Bastionサービスに権限があるユーザーリストを確認し、ユーザーグループを作成・管理できます。

ユーザーリスト

image

NHN Bastionサービス利用権限を持つユーザーのリストです。ユーザーの権限および最後にインスタンスにアクセスした日時を確認できます。

グループ

image

ユーザーグループを作成及び管理することができ、作成したグループはポリシー管理タブでアクセス主体として登録できます。

  • + グループ作成: NHN Bastionサービスに権限を持つユーザーを追加または削除してグループを作成できます。
  • コピー:作成されたユーザーグループをコピーできます。
  • 修正:作成されたユーザーグループを修正できます。
  • 削除:選択したユーザーグループを削除できます。

ポリシー管理

image

接続対象に登録されたインスタンスを対象にアクセス制御ポリシーとコマンド制御ポリシーを設定できます。 各ポリシーには優先順位があり、優先順位が高い順にポリシーが適用されます。

[例] 下記の[表]のようにポリシーが適用されている場合、 * user AはInstance Aアクセス可能、 shutdownコマンドのみ使用不可、その他のコマンドは使用可能 * user AはInstance Bアクセス可能、 cdコマンドのみ使用可能、その他のコマンドは使用不可 * user BはInstance Aアクセス可能、 rebootコマンドのみ使用不可、その他のコマンドは使用可能 * user BはInstance Bアクセス不可

優先順位 ユーザー アクセス対象 コマンドポリシー
#1 user A Instance A [禁止] shutdown
#2 user A Instance A, Instance B [許可] cd
#3 user B Instance A [禁止] reboot

ポリシー作成

image

  • 名前:ポリシーの名前を入力できます。
  • 説明:ポリシーの説明を入力できます。
  • ユーザー及びグループ:ユーザー及びユーザーグループをアクセス主体として登録できます。
  • リソースとリソースグループ
    • 全てのリソース:接続対象に追加されたすべてのリソースをアクセス対象として登録します。
    • リソース選択:インスタンス、オートスケーリンググループ、リソースグループをアクセス対象として登録できます。
  • **コマンド制御ポリシー
    • 許可:登録されたコマンドのみ使用できます。 (ホワイトリスト方式)
    • 禁止:登録されたコマンドの使用をブロックします。 (ブラックリスト方式)

[注意] 下記のコマンドについては、コマンドポリシーの登録の有無に関わらず、全てブロックされます。 * 迂回遮断コマンド: SSH, TELNET, SFTP, RCP, SCP, FTP, RSAP, RLOGINなど

ポリシー順序の変更

image

ポリシーの優先順位を変更できます。 1. 選択したポリシーの順序を希望の優先順位に変更し、修正をクリックします。 2. 順序変更後で修正した優先順位のプレビューを確認します。プレビューは、修正したポリシーを基準に、前後のポリシーが一緒に表示されます。 3. 保存をクリックして、ポリシーの優先順位を変更します。

ポリシー管理

  • 修正:選択したポリシーの内容を修正できます。
  • コピー:選択したポリシーをコピーできます。
  • 削除:選択したポリシーを削除できます。
  • 詳細表示:選択したポリシーの詳細を確認できます。

リソース管理

インスタンス管理

image

リソース管理 > インスタンス管理タブでは、プロジェクト内に登録されているインスタンスを接続対象として追加できます。 登録されたインスタンスを対象にアクセス制御ポリシー及びコマンド制御ポリシー機能を提供します。

  • + 追加:プロジェクト内に存在するインスタンスを選択して接続対象として追加できます。
  • 削除:選択したインスタンスを接続対象から削除できます。
  • 全体削除:登録された全てのインスタンスを接続対象から削除できます。
  • 自動登録:プロジェクト内に存在するすべてのインスタンスが自動的に接続対象に追加されます。インスタンスの作成/削除時にも自動的に反映され、接続対象に追加されます。

[注意] インスタンスの作成または削除に対する変更は、最大5分後に反映される場合があります。

  • 接続設定
    • 選択したインスタンスのセッションタイムアウトを変更できます。
      • 基本設定:環境設定に適用されているセッションタイムアウト
    • 選択したインスタンスの接続ポートを変更できます。
      • 基本設定:環境設定に適用されている接続ポート

Webターミナル管理

image

リソース管理 > Webターミナル管理で、インスタンスアクセスに必要なターミナルとBastionを提供するWebターミナルインスタンスを作成/管理できます。

  • + 作成
    • 名前(必須):複数のWebターミナルを利用する場合、Webターミナルを区別するための名前
    • タイプ(必須): Webターミナルのインスタンス性能
      • 性能:性能別の違いは、Webターミナルが同時に作成できるSSHセッションの数
    • VPC(必須): Webターミナルで使用するVPC
    • サブネット(必須): Webターミナルで使用するサブネット
    • Floating IP(任意): Webターミナルで使用するFloating IPの使用有無
  • 削除:選択したWebターミナルを削除できます。

[注意] サービス有効化時に最初に作成されたWebターミナルは削除できません。削除するにはサービスを無効化する必要があります。

  • Floating IP

image * WebターミナルのFloating IPを使用するかどうかを設定できます。 * Network Firewallサービスを利用してパブリックIPをDNAT処理する顧客は、リダイレクト機能を使用に設定してパブリックIPを入力できます。 * 社内DNSを利用する顧客は、リダイレクト機能を使用に設定してドメインアドレスを入力できます。 * IPアクセス制御

image * Webターミナルにアクセスが必要なCIDRを入力できます。

[参考] IPアクセス制御はホワイトリスト方式で提供されます。

  • スクリプト

image * 一時的なSSHキーを利用したアプローチを利用するために、対象インスタンスで実行する必要があるスクリプトを提供します。

[注意] * 一時的なSSHキーによるアプローチは、選択したWebターミナルでのみ適用され、他の経路でアクセスする場合は提供されません。 * WebターミナルのIPアクセス制御に接続対象インスタンスIPが追加されている必要があります。 * 接続対象インスタンスのSecurity GroupsでWebターミナルのIPに443ポートアウトバウンドポリシーが追加されている必要があります。

リソースグループ

リソース管理 > リソースグループタブでは、接続対象に登録されているインスタンスグループを作成及び管理できます。

image * + グループ作成:接続対象に登録されているインスタンスを追加または削除してグループを作成できます。 * コピー:リソースグループを選択してコピーできます。 * 修正:リソースグループを修正できます。 * 削除:リソースグループを選択して削除できます。

履歴管理

NHN Bastionサービスを利用してインスタンスにアクセスした履歴を管理できます。 履歴は最大6か月間保管され、6か月以上保管が必要な場合は、環境設定 >ログ管理でObject Storageにバックアップできます。

リアルタイムセッション

image

リアルタイムでインスタンスと接続されているセッションを確認することができ、接続を遮断できます。

  • 遮断:接続されているユーザーセッションを遮断します。
  • 表示:接続されているユーザーセッションの詳細情報を確認できます。

ユーザーアクセス履歴

image

ユーザーがインスタンスにアクセスした履歴を確認することができ、検索条件と接続時間を利用して目的の履歴を照会できます。

  • 詳細
    • 基本情報:選択した履歴のセッション情報を確認できます。
    • ログ:選択した履歴のセッションで使用したコマンドの履歴を確認できます。

コマンド使用履歴

image

ユーザーが使用したコマンドを確認することができ、検索条件と接続時間を利用して目的のコマンドの使用履歴を照会できます。

  • コマンド登録:主要なコマンドを登録して、そのコマンドの使用履歴を手軽に照会できます。
  • 詳細
    • 基本情報:選択した履歴のセッション情報を確認できます。
    • ログ:選択した履歴のセッションで使用したコマンド履歴を確認できます。

環境設定

image

セッションタイムアウト

インスタンスアクセス時に、Webターミナルで提供するセッションタイムアウト時間を設定できます。

[参考] Webターミナルで提供するセッションタイムアウト設定なので、OSで設定したセッションタイムアウトとは別に動作します。

最大接続セッション

ユーザーが同時に接続できる最大セッション数を設定できます。

ログ管理

NHN Bastionサービスで提供するログを顧客のObject Storageにバックアップできます。

  • アクセスキー: S3 API認証情報アクセスキー
  • シークレットキー: S3 API認証情報秘密鍵
  • バケット名:作成したバケット名
  • エンドポイント
  • 韓国(パンギョ)リージョン: https://kr1-api-object-storage.nhncloudservice.com
  • 韓国(ピョンチョン)リージョン: https://kr2-api-object-storage.nhncloudservice.com
  • 韓国(光州)リージョン: https://kr3-api-object-storage.nhncloudservice.com
  • リージョン
  • 韓国(パンギョ)リージョン: KR1
  • 韓国(ピョンチョン)リージョン: KR2
  • 韓国(光州)リージョン: KR3

[注意] 最初に作成されたWebターミナルが位置するVPCにインターネットゲートウェイがない場合は、他のリージョンのObject Storageバックアップがサポートされません。

接続ポート管理

インスタンスアクセスに使用するSSHポートを指定できます。

[参考] Webターミナルからアクセス対象インスタンスに接続する際に利用するポートで、OSで設定したSSHポートに設定する必要があります。

NHN Bastionの削除

NHN Bastionサービスで作成されたすべてのリソースを削除します。

[注意] NHN Bastionサービス利用中に作成されたデータとサービス内のすべてのリソースが削除され、一度削除された情報は復元できません。

Webターミナル

ブラウザベースのWebターミナルを提供し、ファイルアップロード/ダウンロード機能を提供します。

ファイル転送

右矢印ボタンをクリックしてファイルナビゲーターを実行できます。ファイルナビゲーターを通じて、希望のパスのファイルをアップロードまたはダウンロードできます。

[注意] 最初に接続したOSアカウントの権限を基準にファイル転送が可能で、suコマンドによるアカウントの変更は反映されません。

TOP