EC2 Cloud Connector
KSMからCloud Connectorのシークレットを取得
はじめに
KCM Cloud Connectorと一緒にEC2インスタンスに接続するためのSSH鍵とWindowsのパスワードをKeeperボルトに保存できます。
KCMをAWS EC2インスタンスに接続する詳細は、AWS EC2ディスカバリのドキュメントをご参照ください。
設定
有効化
Docker環境変数またはguacamoleプロパティを使用して、まずこの機能を有効にする必要があります。
Docker環境変数
Docker自動インストールメソッドおよびDocker Composeインストールメソッドの場合、keeper/guacamole-db-mysql
イメージで、以下の新しい環境変数を定義する必要があります。
AWS_DISCOVERY_KSM_CONFIG
これには、Keeper Secrets Managerの設定が含まれている必要があります。これは、KSM_CONFIG
変数で使用されるものと同じ設定にすることができます。
以下はその例です。
Linuxの高度なインストールメソッドの場合は、guacamole.propertiesファイルを更新します。
PEMキーファイルのボリュームマウントを削除
Keeperを使用してPEMキーファイルを保存している場合は、Docker Composeファイル内の/var/lib/guac_keys/
の場所を参照するボリュームマウントは、不要なため削除できます。
Cloud Connectで使用する記録を設定
EC2 Cloud Connectorは、特定のフィールドを含むKeeperの記録を自動的に認識します。
EC2 Cloud Connectorで使用する記録を作成するには、ご利用の鍵を含むpemファイル添付を格納する記録を作成するか、または鍵をテキストとして格納する記録を作成します。
PEMファイル記録
pemファイルを含む新しい記録を作成します。 「ファイル添付」の記録タイプはうまく一致しますが、「一般」以外のどのタイプでも問題ありません。
記録のタイトルは自由です。この例では、「AWS key:my-machine」を使用しています。
記録作成後、pemファイルを添付します。
必要に応じて、記録にホスト名/IPフィールドとポートフィールドを含めると、KCMが、ホスト名/IPが一致するEC2接続にpemファイルを自動的に関連付けます。
最後に、新しい記録がSecrets Managerのボルト接続を使用してKCMからアクセスできる共有フォルダ内にあることを確かにします。
秘密鍵の記録
マシンの秘密鍵を格納する新しい記録を作成します。記録には、「秘密鍵」フィールドが必要です。 これには、SSH標準記録タイプを使用できます。
記録のタイトルは自由です。
新しい記録には、「インスタンスID」という名前のカスタムテキストフィールドが必要になります。 カスタムフィールドメニューから「テキスト」タイプのカスタムフィールドを追加し、[ラベルの編集]をクリックして「インスタンスID」と入力します。
「インスタンスID」フィールドには、「AWS」や「EC2」で始まる自由なタイトルを付けることもできます。
記録の準備ができたら、「秘密鍵」フィールドにマシンの秘密鍵を入力し、新しいカスタムフィールドにAWSインスタンスIDを入力します。
最後に、記録がSecrets Manager連携を使用してKCMからアクセスできる共有フォルダ内にあることを確かにします。
必要に応じて、記録にホスト名フィールドとポートフィールドを含めると、KCMがIPアドレスが一致するEC2接続に秘密鍵を自動的に関連付けます。
これで記録の作成は完了しました。この機能を有効にすると、KCMが記録を自動的に検出します。
Last updated