時間制限付きアクセス

時間制限付きアクセスを使用して他のKeeperユーザーと一時的にレコードやフォルダを安全に共有

概要

時間制限付きアクセス機能は、指定した時間にアクセスを自動的に無効とすることで、認証情報、シークレットに加えて、マシン、データベース、ディレクトリなどのPAMリソースを一時的に他のKeeperユーザーと安全に共有する機能です。この機能により、共有相手のボルトから共有情報が確実に削除され、長期間にわたってアクセスできる状態を防ぐので、不正アクセスのリスクが大幅に軽減されます。

時間制限付きアクセス機能のご紹介 (英語)

主な利点

  • レコードの所有者が指定した時間に自動的にアクセスが取り消されるため、後で所有者が自ら共有を取り消す手間が省けます。

  • 一時的な共有には、付箋、テキスト メッセージ、インスタントメッセンジャーなど、安全でない方法が使われがちですが、この機能を使用することで安全に一時共有できます。

  • すべての共有操作のイベント追跡のコンプライアンスを簡素化し、最小限の特権アクセスが維持されることを確かにします。

  • KeeperPAMやKeeperシークレットマネージャー (KSM) の自動サービスアカウントローテーション機能と組み合わせると、アクセスの有効期限が切れた際に共有した認証情報のローテーションを設定でき、共有相手が永続的な権限を持たないようにすることができます。

レコードの共有

ボルトからレコードを選択して [共有] をクリックし、共有相手のメール アドレスを入力するかリストから選択します。権限レベルを設定し、[追加] をクリックします。

レコードの共有
ユーザーを追加して権限を設定

「ユーザー権限」ドロップダウンを選択し、[有効期限の設定] をクリックします。 ここで、デフォルトの有効期限のいずれかを選択するか、[日付と時間のカスタマイズ] をクリックして任意の日付と時間を設定します。次に、共有相手のアクセスの有効期限が切れた際にレコードの所有者や編集権限を持つユーザーにメールで通知したい場合は、ボックスをチェックします。[完了] をクリックして保存します。

有効期限の設定
有効期限の設定とメール通知の設定
アクセス期限を適用

時間制限付きで共有されたユーザーには閲覧および編集の権限を付与できますが、共有権限は付与できません。共有権限が適用されている場合は有効期限が削除されます。

フォルダの共有

ボルトから共有フォルダを開き、編集アイコンをクリックして、[ユーザー] タブから共有したいユーザーまたはチームを追加します。

共有フォルダの編集

前述の単一のレコードを共有する場合と同様に、権限を設定してドロップダウンメニューから [有効期限の設定] をクリックします。

有効期限の設定

次に、共有相手のアクセスの有効期限が切れた際にフォルダの「レコードの追加と削除を許可」権限を持つユーザーにメールで通知したい場合は、ボックスをチェックします。[完了] をクリックして保存します。

有効期限の設定とメール通知の設定

時間制限付きで共有されたユーザーには閲覧および編集の権限を付与できますが、「ユーザーを管理」の権限は付与できません。「ユーザーを管理」の権限が適用されている場合は有効期限が削除されます。

PAMリソースの共有

WindowsやLinuxサーバーなどのPAMリソースへのアクセスを共有する際、対象リソースへの特権セッションを、認証情報に直接アクセスさせることなく確立できます。アクセスが取り消されると、セッションは強制的に終了され、セッションログが管理者向けに記録されます。

KeeperPAMの時間制限付きセッション

PAMによるセッションについて、詳しくはこちらのページをご覧ください。

Last updated