PAMリソースの共有

共有によるPAMリソースの管理

概要

Keeperボルトでは、KeeperPAMで管理されるすべてのリソースに対して、アクセス制御の仕組みとして共有フォルダが使用されます。これらのPAMリソースは、通常のKeeperレコードと同様に、共有フォルダ内で整理できます。

KeeperPAMアーキテクチャの大きな利点のひとつは、ユーザーに実際の認証情報を開示することなく、リソースへのアクセスを共有できる点です。このゼロ知識方式により、必要なアクセスを提供しつつ、セキュリティを確保できます。

PAMリソースのタイプ

共有フォルダには、さまざまな種類のPAMリソースを含めることができます。

• PAMマシン – サーバーおよびエンドポイント接続用

• PAMデータベース – データベースシステムへのアクセス用

• PAMディレクトリ – ディレクトリサービスの管理用

• PAMリモートブラウザ – ウェブアプリケーションへの安全なアクセス用

• PAMユーザー – サービス認証情報の管理用

共有を受け取ったユーザーは、基盤となる認証情報にアクセスすることなく、対象システムへのゼロトラスト特権セッションを開始できます。

最小権限の適用

最小権限の原則に基づき、最適なセキュリティを確保するためには、PAMユーザーのレコードを他のリソースとは別の専用共有フォルダで管理することを推奨します。この分離により、機密性の高い認証情報へのアクセスを制限できます。

推奨される構成は以下のとおりです。

• インフラコンポーネント (マシン、データベースなど) 用の共有フォルダ

• PAMユーザー認証情報専用の共有フォルダ

セキュリティ上の利点

このような構成により、以下のような多くのメリットが得られます。

• リソースへのアクセスを共有しても、認証情報は保護されたまま

• 使い慣れたKeeperのインターフェースを通じて管理が効率化

• フォルダ単位での詳細なアクセス権設定が可能

• すべてのリソースアクセスは監査ログとして記録され、完全な可視化を実現

• 既存のKeeperのワークフローとシームレスに統合可能

詳細については以下をご覧ください