NHN Bastionを利用してNHN Cloudのインスタンスへのアクセスを制御できます。この文書では、NHN CloudコンソールでNHN Bastionを作成し、アクセスが必要なインスタンスに接続する方法と、ユーザーとポリシー、リソース、履歴を管理する方法について説明します。
[参考] * 最初に作成されたWebターミナルはサービスを無効にするまでスペックの変更または削除を行うことができません。 * インターネットゲートウェイが接続されたVPCに限り、Floating IPを接続できます。 * Webターミナルで接続先とのSSH通信を許可すると接続先にアクセスできます。 (例:Security Groupsなど)
ポリシー管理でユーザーにアクセスが許可されたインスタンスリストのみ表示され、アクセスが許可されたインスタンスにアクセスできます。
[注意] * インスタンスとSSH通信が可能なWebターミナルを選択する必要があります。 * パスワード認証はOSでパスワードアクセスができるように設定する必要があります。 * 一時的なSSHキー認証は、スクリプトをコピーしたWebターミナルを通じてのみアクセスできます。
NHN Bastionサービスに権限があるユーザーリストを確認し、ユーザーグループを作成・管理できます。
NHN Bastionサービス利用権限を持つユーザーのリストです。ユーザーの権限および最後にインスタンスにアクセスした日時を確認できます。
ユーザーグループを作成及び管理することができ、作成したグループはポリシー管理タブでアクセス主体として登録できます。
接続対象に登録されたインスタンスを対象にアクセス制御ポリシーとコマンド制御ポリシーを設定できます。 各ポリシーには優先順位があり、優先順位が高い順にポリシーが適用されます。
[例]
下記の[表]のようにポリシーが適用されている場合、
* user AはInstance Aアクセス可能、 shutdown
コマンドのみ使用不可、その他のコマンドは使用可能
* user AはInstance Bアクセス可能、 cd
コマンドのみ使用可能、その他のコマンドは使用不可
* user BはInstance Aアクセス可能、 reboot
コマンドのみ使用不可、その他のコマンドは使用可能
* user BはInstance Bアクセス不可
優先順位 | ユーザー | アクセス対象 | コマンドポリシー |
---|---|---|---|
#1 | user A | Instance A | [禁止] shutdown |
#2 | user A | Instance A, Instance B | [許可] cd |
#3 | user B | Instance A | [禁止] reboot |
[注意] 下記のコマンドについては、コマンドポリシーの登録の有無に関わらず、全てブロックされます。 * 迂回遮断コマンド: SSH, TELNET, SFTP, RCP, SCP, FTP, RSAP, RLOGINなど
ポリシーの優先順位を変更できます。 1. 選択したポリシーの順序を希望の優先順位に変更し、修正をクリックします。 2. 順序変更後で修正した優先順位のプレビューを確認します。プレビューは、修正したポリシーを基準に、前後のポリシーが一緒に表示されます。 3. 保存をクリックして、ポリシーの優先順位を変更します。
リソース管理 > インスタンス管理タブでは、プロジェクト内に登録されているインスタンスを接続対象として追加できます。 登録されたインスタンスを対象にアクセス制御ポリシー及びコマンド制御ポリシー機能を提供します。
[注意] インスタンスの作成または削除に対する変更は、最大5分後に反映される場合があります。
リソース管理 > Webターミナル管理で、インスタンスアクセスに必要なターミナルとBastionを提供するWebターミナルインスタンスを作成/管理できます。
[注意] サービス有効化時に最初に作成されたWebターミナルは削除できません。削除するにはサービスを無効化する必要があります。
* WebターミナルのFloating IPを使用するかどうかを設定できます。 * Network Firewallサービスを利用してパブリックIPをDNAT処理する顧客は、リダイレクト機能を使用に設定してパブリックIPを入力できます。 * 社内DNSを利用する顧客は、リダイレクト機能を使用に設定してドメインアドレスを入力できます。 * IPアクセス制御
* Webターミナルにアクセスが必要なCIDRを入力できます。
[参考] IPアクセス制御はホワイトリスト方式で提供されます。
* 一時的なSSHキーを利用したアプローチを利用するために、対象インスタンスで実行する必要があるスクリプトを提供します。
[注意] * 一時的なSSHキーによるアプローチは、選択したWebターミナルでのみ適用され、他の経路でアクセスする場合は提供されません。 * WebターミナルのIPアクセス制御に接続対象インスタンスIPが追加されている必要があります。 * 接続対象インスタンスのSecurity GroupsでWebターミナルのIPに443ポートアウトバウンドポリシーが追加されている必要があります。
リソース管理 > リソースグループタブでは、接続対象に登録されているインスタンスグループを作成及び管理できます。
* + グループ作成:接続対象に登録されているインスタンスを追加または削除してグループを作成できます。 * コピー:リソースグループを選択してコピーできます。 * 修正:リソースグループを修正できます。 * 削除:リソースグループを選択して削除できます。
NHN Bastionサービスを利用してインスタンスにアクセスした履歴を管理できます。 履歴は最大6か月間保管され、6か月以上保管が必要な場合は、環境設定 >ログ管理でObject Storageにバックアップできます。
リアルタイムでインスタンスと接続されているセッションを確認することができ、接続を遮断できます。
ユーザーがインスタンスにアクセスした履歴を確認することができ、検索条件と接続時間を利用して目的の履歴を照会できます。
ユーザーが使用したコマンドを確認することができ、検索条件と接続時間を利用して目的のコマンドの使用履歴を照会できます。
インスタンスアクセス時に、Webターミナルで提供するセッションタイムアウト時間を設定できます。
[参考] Webターミナルで提供するセッションタイムアウト設定なので、OSで設定したセッションタイムアウトとは別に動作します。
ユーザーが同時に接続できる最大セッション数を設定できます。
NHN Bastionサービスで提供するログを顧客のObject Storageにバックアップできます。
[注意] 最初に作成されたWebターミナルが位置するVPCにインターネットゲートウェイがない場合は、他のリージョンのObject Storageバックアップがサポートされません。
インスタンスアクセスに使用するSSHポートを指定できます。
[参考] Webターミナルからアクセス対象インスタンスに接続する際に利用するポートで、OSで設定したSSHポートに設定する必要があります。
NHN Bastionサービスで作成されたすべてのリソースを削除します。
[注意] NHN Bastionサービス利用中に作成されたデータとサービス内のすべてのリソースが削除され、一度削除された情報は復元できません。
ブラウザベースのWebターミナルを提供し、ファイルアップロード/ダウンロード機能を提供します。
右矢印ボタンをクリックしてファイルナビゲーターを実行できます。ファイルナビゲーターを通じて、希望のパスのファイルをアップロードまたはダウンロードできます。
[注意] 最初に接続したOSアカウントの権限を基準にファイル転送が可能で、suコマンドによるアカウントの変更は反映されません。