PAMリソースの共有

Keeperを使用したサーバー、データベース、ワークロード、ウェブアプリケーションへのアクセス共有

共有によるPAMリソースの管理

概要

Keeperボルトでは、KeeperPAMで管理されるすべてのリソースに対して、アクセス制御の仕組みとして共有フォルダが使用されます。これらのPAMリソースは、通常のKeeperレコードと同様に、共有フォルダ内で整理できます。

KeeperPAMアーキテクチャの大きな利点のひとつは、ユーザーに実際の認証情報を開示することなく、リソースへのアクセスを共有できる点です。このゼロ知識方式により、必要なアクセスを提供しつつ、セキュリティを確保できます。

PAMリソースのタイプ

共有フォルダには、さまざまな種類のPAMリソースを含めることができます。

  • PAMマシン – サーバーおよびエンドポイント接続用

  • PAMデータベース – データベースシステムへのアクセス用

  • PAMディレクトリ – ディレクトリサービスの管理用

  • PAMリモートブラウザ – ウェブアプリケーションへの安全なアクセス用

  • PAMユーザー – サービス認証情報の管理用

PAMリソースの共有

共有を受け取ったユーザーは、基盤となる認証情報にアクセスすることなく、対象システムへのゼロトラスト特権セッションを開始できます。

共有リソースに対して特権セッションを開く

最小権限の適用

最小権限の原則に基づき、最適なセキュリティを確保するためには、PAMユーザーのレコードを他のリソースとは別の専用共有フォルダで管理することを推奨します。この分離により、機密性の高い認証情報へのアクセスを制限できます。

推奨される構成は以下のとおりです。

  • インフラコンポーネント (マシン、データベースなど) 用の共有フォルダ

  • PAMユーザー認証情報専用の共有フォルダ

セキュリティ上の利点

このような構成により、以下のような多くのメリットが得られます。

  • リソースへのアクセスを共有しても、認証情報は保護されたまま

  • 使い慣れたKeeperのインターフェースを通じて管理が効率化

  • フォルダ単位での詳細なアクセス権設定が可能

  • すべてのリソースアクセスは監査ログとして記録され、完全な可視化を実現

  • 既存のKeeperのワークフローとシームレスに統合可能

詳細については以下をご覧ください

Last updated