時間制限付きアクセス

概要

時間制限付きアクセス機能は、指定した時間にアクセスを自動的に無効とすることで、認証情報、シークレットに加えて、マシン、データベース、ディレクトリなどのPAMリソースを一時的に他のKeeperユーザーと安全に共有する機能です。この機能により、共有相手のボルトから共有情報が確実に削除され、長期間にわたってアクセスできる状態を防ぐので、不正アクセスのリスクが大幅に軽減されます。

主な利点

• 指定した日時でアクセスが自動的に取り消されるため、所有者があとから手動で共有を外す手間を省ける

• 付箋、テキストメッセージ、インスタントメッセンジャーなど、安全でないやり方に頼りがちな短期共有を、Keeper上で安全に行える

• 共有のたびにイベントが残るため、追跡やコンプライアンス対応がしやすく、最小権限の運用も維持しやすい

• KeeperPAMやKeeperシークレットマネージャー (KSM) の自動サービスアカウントローテーションと組み合わせると、共有の終了に合わせて認証情報のローテーションを予約でき、相手に恒常的な権限を残さないようにできる

レコードの共有

ボルトからレコードを選択して [共有] をクリックし、共有相手のメールアドレスを入力するか、一覧から選びます。権限レベルを設定し、[追加] をクリックします。

「権限」ドロップダウンを開き、[有効期限の設定] をクリックします。プリセットの有効期限から選ぶか、[日付と時間のカスタマイズ] で日時を指定します。共有相手のアクセス期限が切れたときに、レコードの所有者や編集権限のあるユーザーへメールで知らせたい場合はチェックボックスをオンにします。[完了] で保存します。

フォルダの共有

ボルトから共有フォルダを開き、編集アイコンをクリックして、[ユーザー] タブから共有したいユーザーまたはチームを追加します。

上記のレコード共有と同じ要領で権限を設定し、ドロップダウンから [有効期限の設定] をクリックします。

続いて、共有相手のアクセス期限が切れたときに、フォルダの [レコードの追加と削除] 権限を持つユーザーへメールで知らせたい場合はチェックボックスをオンにします。[完了] で保存します。

PAMリソースの共有

WindowsやLinuxサーバーなどのPAMリソースへのアクセスを共有するときは、相手に認証情報を直接見せずに対象へ特権セッションを張れます。アクセスが取り消されるとセッションは切断され、管理者があとから確認できるセッションログが残ります。

PAMセッションと権限について、詳しくは、KeeperPAMのドキュメントをご参照ください。

Keeperコマンダーによる時間制限付きアクセス

KeeperコマンダーCLIまたはSDKを使うと、レコードやフォルダの期限付き共有をスクリプトやアプリから制御できます。

関連コマンド

• share-record コマンド ( --expire-at および --expire-in )

• share-folder コマンド ( --expire-at および --expire-in )

詳しくは、Keeperコマンダーをご参照ください。