PAMリソースの共有
Keeperを使用したサーバー、データベース、ワークロード、ウェブアプリケーションへのアクセス共有
共有によるPAMリソースの管理
概要
Keeperボルトでは、KeeperPAMで管理されるすべてのリソースに対して、アクセス制御の仕組みとして共有フォルダが使用されます。これらのPAMリソースは、通常のKeeperレコードと同様に、共有フォルダ内で整理できます。
KeeperPAMアーキテクチャの大きな利点のひとつは、ユーザーに実際の認証情報を開示することなく、リソースへのアクセスを共有できる点です。このゼロ知識方式により、必要なアクセスを提供しつつ、セキュリティを確保できます。
PAMリソースのタイプ
共有フォルダには、さまざまな種類のPAMリソースを含めることができます。
PAMマシン – サーバーおよびエンドポイント接続用
PAMデータベース – データベースシステムへのアクセス用
PAMディレクトリ – ディレクトリサービスの管理用
PAMリモートブラウザ – ウェブアプリケーションへの安全なアクセス用
PAMユーザー – サービス認証情報の管理用

共有を受け取ったユーザーは、基盤となる認証情報にアクセスすることなく、対象システムへのゼロトラスト特権セッションを開始できます。

最小権限の適用
最小権限の原則に基づき、最適なセキュリティを確保するためには、PAMユーザーのレコードを他のリソースとは別の専用共有フォルダで管理することを推奨します。この分離により、機密性の高い認証情報へのアクセスを制限できます。
推奨される構成は以下のとおりです。
インフラコンポーネント (マシン、データベースなど) 用の共有フォルダ
PAMユーザー認証情報専用の共有フォルダ
セキュリティ上の利点
このような構成により、以下のような多くのメリットが得られます。
リソースへのアクセスを共有しても、認証情報は保護されたまま
使い慣れたKeeperのインターフェースを通じて管理が効率化
フォルダ単位での詳細なアクセス権設定が可能
すべてのリソースアクセスは監査ログとして記録され、完全な可視化を実現
既存のKeeperのワークフローとシームレスに統合可能
詳細については以下をご覧ください
Last updated