# 時間制限付きアクセス

<figure><img src="https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FDDSsWy7ixolV03BmJJ9I%2Fimage.png?alt=media&#x26;token=3545ec1c-29d9-4aea-a671-0de9f2bb7a40" alt=""><figcaption></figcaption></figure>

## 概要

時間制限付きアクセス機能は、指定した時間にアクセスを自動的に無効とすることで、認証情報、シークレットに加えて、マシン、データベース、ディレクトリなどのPAMリソースを一時的に他のKeeperユーザーと安全に共有する機能です。この機能により、共有相手のボルトから共有情報が確実に削除され、長期間にわたってアクセスできる状態を防ぐので、不正アクセスのリスクが大幅に軽減されます。

{% embed url="<https://vimeo.com/930338779>" %}
時間制限付きアクセス機能のご紹介 (英語)
{% endembed %}

## 主な利点

* レコードの所有者が指定した時間に自動的にアクセスが取り消されるため、後で所有者が自ら共有を取り消す手間が省けます。
* 一時的な共有には、付箋、テキスト メッセージ、インスタントメッセンジャーなど、安全でない方法が使われがちですが、この機能を使用することで安全に一時共有できます。
* すべての共有操作のイベント追跡のコンプライアンスを簡素化し、最小限の特権アクセスが維持されることを確かにします。
* [KeeperPAM](https://app.gitbook.com/o/-LO5CAzoigGmCWBUbw9z/s/PL6k1aGsLiFiiJ3Y7zCl/)やKeeperシークレットマネージャー (KSM) の[自動サービスアカウントローテーション機能](https://docs.keeper.io/keeperpam/privileged-access-manager/password-rotation/rotation-overview)と組み合わせると、アクセスの有効期限が切れた際に共有した認証情報のローテーションを設定でき、共有相手が永続的な権限を持たないようにすることができます。

## レコードの共有

ボルトからレコードを選択して **\[共有]** をクリックし、共有相手のメール アドレスを入力するかリストから選択します。権限レベルを設定し、**\[追加]** をクリックします。

<figure><img src="https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FMr6BaFSv4bGysI1pivF1%2FTime-Limited%20Access-1.png?alt=media&#x26;token=3c5b02cd-3d0e-4218-b1d4-7d6fed2f9019" alt=""><figcaption><p>レコードの共有</p></figcaption></figure>

<figure><img src="https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FvQsaUO56ey3616Ki7TcD%2FTime-Limited%20Access-2.png?alt=media&#x26;token=52f4f815-c3c1-4e0e-80f9-1b48f7f29e95" alt=""><figcaption><p>ユーザーを追加して権限を設定</p></figcaption></figure>

「ユーザー権限」ドロップダウンを選択し、**\[有効期限の設定]** をクリックします。 ここで、デフォルトの有効期限のいずれかを選択するか、**\[日付と時間のカスタマイズ]** をクリックして任意の日付と時間を設定します。次に、共有相手のアクセスの有効期限が切れた際にレコードの所有者や編集権限を持つユーザーにメールで通知したい場合は、ボックスをチェックします。**\[完了]** をクリックして保存します。

<figure><img src="https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2F6YfwldOMfFGGFdGvPRZJ%2FTime-Limited%20Access-3.png?alt=media&#x26;token=bf1481f2-a66e-4a72-bfa2-68889d748a4e" alt=""><figcaption><p>有効期限の設定</p></figcaption></figure>

<figure><img src="https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FCUyXVqoFaBkSzEPtVelO%2FTime-Limited%20Access-4.png?alt=media&#x26;token=f4cdd850-e705-4807-9b4e-09f654522d0c" alt=""><figcaption><p>有効期限の設定とメール通知の設定</p></figcaption></figure>

<figure><img src="https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FjVHdLSXl3h3jv5lWhcPq%2FTime-Limited%20Access-5.png?alt=media&#x26;token=b853f10f-d7e3-4415-b069-3cfc1a0ec8b4" alt=""><figcaption><p>アクセス期限を適用</p></figcaption></figure>

{% hint style="info" %}
時間制限付きで共有されたユーザーには閲覧および編集の権限を付与できますが、共有権限は付与できません。共有権限が適用されている場合は有効期限が削除されます。
{% endhint %}

## フォルダの共有

ボルトから共有フォルダを開き、編集アイコンをクリックして、**\[ユーザー]** タブから共有したいユーザーまたはチームを追加します。

<figure><img src="https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2F3AMAAFzE9vJiPhqlD4YZ%2FTime-Limited%20Access-6.png?alt=media&#x26;token=a1587276-b717-403a-8893-9887834b6d43" alt=""><figcaption><p>共有フォルダの編集</p></figcaption></figure>

前述の単一のレコードを共有する場合と同様に、権限を設定してドロップダウンメニューから **\[有効期限の設定]** をクリックします。

<figure><img src="https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2F5HcAg7hsA7wBMc44D4XU%2FTime-Limited%20Access-7.png?alt=media&#x26;token=7edbb747-6b7a-4f6e-89e5-0229ccd1c6b8" alt=""><figcaption><p>有効期限の設定</p></figcaption></figure>

次に、共有相手のアクセスの有効期限が切れた際にフォルダの「レコードの追加と削除を許可」権限を持つユーザーにメールで通知したい場合は、ボックスをチェックします。**\[完了]** をクリックして保存します。

<figure><img src="https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FIk0eIAOOjiNBcG6gGisp%2FTime-Limited%20Access-8.png?alt=media&#x26;token=15673094-3b50-4fe7-b04a-0b2c9f89d72e" alt=""><figcaption><p>有効期限の設定とメール通知の設定</p></figcaption></figure>

{% hint style="info" %}
時間制限付きで共有されたユーザーには閲覧および編集の権限を付与できますが、「ユーザーを管理」の権限は付与できません。「ユーザーを管理」の権限が適用されている場合は有効期限が削除されます。
{% endhint %}

## PAMリソースの共有

WindowsやLinuxサーバーなどのPAMリソースへのアクセスを共有する際、対象リソースへの特権セッションを、認証情報に直接アクセスさせることなく確立できます。アクセスが取り消されると、セッションは強制的に終了され、セッションログが管理者向けに記録されます。

<figure><img src="https://3468650114-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FeJwa6ByNJ2qindnPknCW%2Fuploads%2FvJNPYdtaMEeE4PLuult1%2Fimage.png?alt=media&#x26;token=631918ed-1429-4e1d-a9bd-abee0a1ffa05" alt=""><figcaption><p>KeeperPAMの時間制限付きセッション</p></figcaption></figure>

PAMによるセッションについて、詳しくは[こちらのページ](https://app.gitbook.com/o/-LO5CAzoigGmCWBUbw9z/s/PL6k1aGsLiFiiJ3Y7zCl/)をご覧ください。

## Keeperコマンダーによる時間制限付きアクセス

KeeperコマンダーCLIおよびSDKを使用して、レコードやフォルダへの期限付きアクセスをプログラム的に管理できます。

#### 関連コマンド

* [`share-record`](https://app.gitbook.com/o/-LO5CAzoigGmCWBUbw9z/s/PL6k1aGsLiFiiJ3Y7zCl/~/changes/438/commander-cli/command-reference/share-record-command) コマンド: `--expire-at` および `--expire-in` スイッチを使用
* [`share-folder`](https://app.gitbook.com/o/-LO5CAzoigGmCWBUbw9z/s/PL6k1aGsLiFiiJ3Y7zCl/~/changes/438/commander-cli/command-reference/share-folder-command) コマンド: `--expire-at` および `--expire-in` スイッチを使用

詳細についてはKeeper[コマンダー](https://docs.keeper.io/keeperpam/commander-cli)のページをご参照ください。