EC2 Cloud Connector
KSMからCloud Connectorのシークレットを取得
Last updated
KSMからCloud Connectorのシークレットを取得
Last updated
KCM Cloud Connectorと一緒にEC2インスタンスに接続するためのSSH鍵とWindowsのパスワードをKeeperボルトに保存できます。
KCMをAWS EC2インスタンスに接続する詳細は、AWS EC2ディスカバリのドキュメントをご参照ください。
Docker環境変数またはguacamoleプロパティを使用して、まずこの機能を有効にする必要があります。
Docker自動インストールメソッドおよびDocker Composeインストールメソッドの場合、keeper/guacamole-db-mysqlイメージで、以下の新しい環境変数を定義する必要があります。
AWS_DISCOVERY_KSM_CONFIG
これには、Keeper Secrets Managerの設定が含まれている必要があります。これは、KSM_CONFIG変数で使用されるものと同じ設定にすることができます。
以下はその例です。
Linuxの高度なインストールメソッドの場合は、guacamole.propertiesファイルを更新します。
Keeperを使用してPEMキーファイルを保存している場合は、Docker Composeファイル内の/var/lib/guac_keys/の場所を参照するボリュームマウントは、不要なため削除できます。
EC2 Cloud Connectorは、特定のフィールドを含むKeeperのレコードを自動的に認識します。
EC2 Cloud Connectorで使用するレコードを作成するには、ご利用の鍵を含むpemファイル添付を格納するレコードを作成するか、または鍵をテキストとして格納するレコードを作成します。
pemファイルを含む新しいレコードを作成します。 「ファイル添付」のレコードタイプはうまく一致しますが、「一般」以外のどのタイプでも問題ありません。
レコードのタイトルは自由です。この例では、「AWS key:my-machine」を使用しています。
レコード作成後、pemファイルを添付します。
必要に応じて、レコードにホスト名/IPフィールドとポートフィールドを含めると、KCMが、ホスト名/IPが一致するEC2接続にpemファイルを自動的に関連付けます。
最後に、新しいレコードがSecrets Managerのボルト接続を使用してKCMからアクセスできる共有フォルダ内にあることを確かにします。
マシンの秘密鍵を格納する新しいレコードを作成します。レコードには、「秘密鍵」フィールドが必要です。 これには、SSH標準レコードタイプを使用できます。
レコードのタイトルは自由です。
新しいレコードには、「インスタンスID」という名前のカスタムテキストフィールドが必要になります。 カスタムフィールドメニューから「テキスト」タイプのカスタムフィールドを追加し、[ラベルの編集]をクリックして「インスタンスID」と入力します。
「インスタンスID」フィールドには、「AWS」や「EC2」で始まる自由なタイトルを付けることもできます。
レコードの準備ができたら、「秘密鍵」フィールドにマシンの秘密鍵を入力し、新しいカスタムフィールドにAWSインスタンスIDを入力します。
最後に、レコードがSecrets Manager連携を使用してKCMからアクセスできる共有フォルダ内にあることを確かにします。
必要に応じて、レコードにホスト名フィールドとポートフィールドを含めると、KCMがIPアドレスが一致するEC2接続に秘密鍵を自動的に関連付けます。
これでレコードの作成は完了しました。この機能を有効にすると、KCMがレコードを自動的に検出します。
| プロパティ名 | デフォルト値 | 説明 |
|---|---|---|
aws-discovery-ksm-config
false
KSMに接続されたボルトから取得したCloud Connectクレデンシャルの使用を有効化します
