LogoLogo
KeeperPAMとシークレットマネージャー
Keeperドキュメントポータルユーザーガイドエンタープライズガイド (企業、組織向け)KeeperPAMとシークレットマネージャーKeeperコネクションマネージャーKeeperクラウドSSOコネクトKeeperオンプレミスSSOコネクトリリースノートKeeperブリッジ
KeeperPAMとシークレットマネージャー
Keeperドキュメントポータルユーザーガイドエンタープライズガイド (企業、組織向け)KeeperPAMとシークレットマネージャーKeeperコネクションマネージャーKeeperクラウドSSOコネクトKeeperオンプレミスSSOコネクトリリースノートKeeperブリッジ
  • 概要
  • 特権アクセス管理
    • セットアップ手順
    • クイックスタート (Sandbox)
    • はじめに
      • アーキテクチャ
        • アーキテクチャ図
        • ボルト (保管庫) のセキュリティ
        • ルータのセキュリティ
        • ゲートウェイのセキュリティ
        • 接続とトンネルのセキュリティ
      • KeeperPAMのライセンス
      • 強制適用ポリシー
      • ボルトの構造
      • レコードリンク
      • アプリケーション
      • デバイス
      • ゲートウェイ
        • ゲートウェイの作成
        • Dockerにインストール
        • Linuxにインストール
        • Windowsにインストール
        • 自動アップデータ
        • 高度な設定
          • AWS KMSでのゲートウェイ構成
          • カスタムフィールドを使用したゲートウェイ構成
      • PAM構成
        • AWS環境のセットアップ
        • Azure環境のセットアップ (英語)
        • ローカル環境のセットアップ (英語)
      • PAMリソース (英語)
        • PAMマシン (英語)
          • 例: Linuxマシン (英語)
          • 例: Azure仮想マシン (英語)
        • PAMデータベース (英語)
          • 例: MySQLデータベース (英語)
          • 例: PostgreSQLデータベース (英語)
          • 例: Microsoft SQL Serverデータベース (英語)
        • PAMディレクトリ (英語)
        • PAMリモートブラウザ (英語)
        • PAMユーザー (英語)
      • 共有とアクセス制御 (英語)
    • パスワードローテーション
      • ローテーションの概要
      • ローテーションの活用事例
        • Azure
          • Azure ADユーザー
          • Azure VMユーザーアカウント
          • Azureマネージドデータベース
            • Azure SQL
            • Azure MySQL - シングル/フレキシブルデータベース
            • Azure MariaDBデータベース
            • Azure PostgreSQL - シングル/フレキシブルデータベース
          • Azureアプリケーションシークレットローテーション
        • AWS
          • IAMユーザーのパスワード
          • Managed Microsoft ADユーザー
          • EC2仮想マシンユーザー
          • IAMユーザーのアクセスキー
          • マネージドデータベース
            • AWS RDS for MySQL
            • AWS RDS for SQL Server
            • AWS RDS for PostgreSQL
            • AWS RDS for MariaDB
            • AWS RDS for Oracle
        • ローカルネットワーク
          • Active DirectoryやOpenLDAPユーザー
          • Windowsユーザー
          • Linuxユーザー
          • macOSユーザー
          • データベース
            • ネイティブMySQL
            • ネイティブMariaDB
            • ネイティブPostgreSQL
            • ネイティブMongoDB
            • ネイティブMS SQL Server
            • ネイティブOracle
        • SaaSアカウント
          • Oktaユーザー
          • Snowflakeユーザー
          • REST APIを使用した認証情報のローテーション (英語)
        • ネットワークデバイス
          • Cisco IOS XE
          • Cisco Meraki
      • サービス管理
      • ポストローテーションスクリプト
        • 入力と出力
        • スクリプトの添付
        • コード例
    • 接続
      • はじめに
      • セッションプロトコル
        • SSH接続 (英語)
        • RDP接続 (英語)
        • RBI接続 (英語)
        • MySQL接続 (英語)
        • SQL Server接続 (英語)
        • PostgreSQL接続 (英語)
        • VNC接続 (英語)
        • Telnet接続 (英語)
      • 具体例 (英語)
        • SSHプロトコル - Linuxマシン (英語)
        • RDPプロトコル - Azure仮想マシン (英語)
        • MySQLプロトコル - MySQLデータベース (英語)
        • PostgreSQLプロトコル - PostgreSQLデータベース (英語)
    • トンネル
      • トンネルの設定
    • リモートブラウザ分離
      • RBI (リモートブラウザ分離) の設定
        • URLパターンとリソースURLパターン
        • ブラウザの自動入力
    • セッションの録画と再生
    • SSHエージェント
      • Gitとの統合
    • 検出
      • コマンダーを使用した検出 (英語)
      • ボルトを使用した検出 (英語)
    • オンプレミス用コネクションマネージャー
    • 参考資料
      • ポートマッピング
      • SSHの設定
      • WinRMを設定
      • SQL Serverの設定 (英語)
      • Linuxへのsqlcmdのインストール (英語)
      • LinuxへのDockerのインストール (英語)
      • ローテーション用のKSMアプリの作成
      • Active Directoryの最小権限
      • イベントレポート
      • PAMレコードのインポート
      • CLIによるローテーション管理
      • Commander SDK
      • Cron式で自動ローテーション設定
  • エンドポイント特権マネージャー
    • 概要
  • セットアップ
  • 展開
  • ポリシー
  • リクエストの管理
  • よくある質問
  • シークレットマネージャー
    • 概要
    • クイックスタートガイド
    • Keeperシークレットマネージャー (KSM) について
      • アーキテクチャ
      • 用語
      • セキュリティと暗号化モデル
      • ワンタイムアクセストークン
      • Secrets Managerの設定
      • Keeper表記法
      • イベントレポート
      • フィールド/レコードタイプ
    • シークレットマネージャーCLI
      • profileコマンド
      • initコマンド
      • secretコマンド
      • folderコマンド
      • syncコマンド
      • execコマンド
      • configコマンド
      • versionコマンド
      • 各種コマンド
      • Dockerコンテナ
      • カスタムのレコードタイプ
    • パスワードローテーション
    • 開発者用SDK
      • Python SDK
      • Java/Kotlin SDK
        • レコードフィールドクラス
      • JavaScript SDK
      • .NET SDK
      • Go SDK
        • レコードフィールドクラス
      • PowerShell
      • ボルトのSDK
    • インテグレーション
      • Ansible
        • Ansibleプラグイン
        • Ansible Tower
      • AWS CLI認証プロセス
      • AWSシークレットマネージャー
      • AWS KMS
      • Azure DevOps拡張機能
      • Azure Key Vault
      • Bitbucketプラグイン
      • Dockerイメージ
      • Dockerランタイム
      • Docker Writerイメージ
      • Entrust HSM
      • GCPシークレットマネージャー
      • Git - SSHでコミットに署名
      • GitHub Actions
      • GitLab
      • Hashicorp Vault
      • Heroku
      • Jenkinsプラグイン
      • Keeper Connection Manager
      • Kubernetes外部シークレットオペレータ
      • Kubernetes
      • Linux Keyring
      • Octopus Deploy
      • PowerShellプラグイン
      • ServiceNow
      • Teller
      • TeamCity
      • Terraformプラグイン
        • Terraformレジストリ
      • Windows資格情報マネージャー
      • XSOAR
    • トラブルシューティング
  • コマンダーCLI
    • コマンダーの概要
    • インストールとセットアップ
      • WindowsでのCLIインストール
      • MacでのCLIインストール
      • LinuxでのCLIインストール
      • Python開発者用SDK
      • .NET開発者用SDK
      • PowerShellモジュール
      • ログイン
      • 設定と使用法
        • AWS Secrets Manager
        • AWS Key Management Service
      • Windowsタスクによる自動化
      • AWS Lambdaで自動化
      • アンインストール
    • コマンドリファレンス
      • データのインポートとエクスポート
        • インポート/エクスポートコマンド
        • CyberArkからのインポート
        • LastPassデータのインポート
        • Delinea/Thycotic Secret Serverインポート
        • Keepassインポート
        • ManageEngineインポート
        • Mykiインポート
        • Proton Passインポート
        • CSVインポート
        • JSONインポート
      • レポート作成コマンド
        • レポートの種類
      • エンタープライズ管理コマンド
        • ユーザーの作成と招待
        • コンプライアンスコマンド
        • Breachwatchコマンド
        • SCIMプッシュ配信設定
      • レコードに関するコマンド
        • レコードタイプに関するコマンド
        • レコードタイプの作成
      • 共有コマンド
      • KeeperPAMコマンド
      • 接続コマンド
        • SSH
        • SSHエージェント
        • RDP
        • connectコマンド
        • SFTP同期
      • Secrets Managerコマンド
      • MSP管理コマンド
      • 各種コマンド
      • パスワードローテーション
        • パスワードローテーションコマンド
        • AWSプラグイン
        • Azureプラグイン
        • Microsoft SQL Serverのプラグイン
        • MySQLプラグイン
        • Oracleプラグイン
        • PostgreSQLプラグイン
        • PSPasswdプラグイン
        • SSHプラグイン
        • Unix Passwdプラグイン
        • Windowsプラグイン
        • Active Directoryプラグイン
        • 自動実行
    • サービスモードREST API
    • トラブルシューティング
GitBook提供
このページ内
  • 概要
  • compliance-reportコマンド
  • キャッシュ
  • フィルタ
  • ファイルに出力
  • complianceコマンド
  • Compliance Team-Report
  • Compliance Record-Access Report
  • Compliance Summary-Report
  • Compliance Shared-Folder-Report
GitHubで編集
  1. コマンダーCLI
  2. コマンドリファレンス
  3. エンタープライズ管理コマンド

コンプライアンスコマンド

Keeperコマンダーコンプライアンスレポート作成コマンド

前へユーザーの作成と招待次へBreachwatchコマンド

最終更新 4 か月前

概要

のアドオンが必要です

コンプライアンスレポートを使用すると、組織全体のレコードとクレデンシャルのアクセス権限を必要に応じて可視化できるため、アカウント管理者が規制を遵守するのに役立ちます。

Commanderを使用すると、コンプライアンスレポートをスケジュール設定して自動化し、結果をCSVファイルまたはJSONにエクスポートできます。

コンプライアンスレポートの詳細については、をご参照ください。

compliance-reportコマンド

compliance-reportコマンドを使用すると、Keeper管理コンソールで行うのと同じようにレポートを実行できます。ノード、ユーザー、タイトル別のレコード権限の表示、所有するレコードまたは共有レコードによるフィルタ、結果のファイルへの出力ができます。

キャッシュ

compliance-reportコマンドは、複数のレポートクエリのパフォーマンスを向上させるためにキャッシュを利用しています。

このため、compliance-reportの最初の呼び出しでは、システムが必要なデータを取得するまでに数分かかる場合があります。

この間、Commanderは実行中の手順を説明するメッセージを表示します。

また、-rフラグを使用することでキャッシュの手動再構築を実行できます。コンプライアンスデータの最新の変更を確認するには、以下の操作を行います。

compliance-report -r

デフォルトでは (生成されたレポートが適度に最新かつ正確なデータを反映するように)、 1 日以上長くローカルにキャッシュされた古いデータは、上記のプロセスを通じて自動的に更新されます。その結果、Compliance-reportへの前回の呼び出しから 1 日以上経過してからCompliance-reportへの呼び出しが行われると、別のデータフェッチ操作が発生し、(初回呼び出しの場合のように) 完了するまでに時間がかかる可能性があります。このデフォルトの挙動を手動で上書きする方法については、次のセクションをご参照ください。

逆に、前述の自動キャッシュ更新挙動を回避し、以前にキャッシュされたデータのみに基づいてレポートを生成したい場合 (結果は古い可能性がありますが、キャッシュの更新に必要な長い読み込み時間を回避できます)、-nrまたは--no-rebuildフラグを使用します。最後のコマンド呼び出し/キャッシュ更新以降、関連データが大幅には変更されていないと確信できる場合に、コンプライアンスデータに対するクエリを迅速に実行できます。

compliance-report -nr

キャッシュを削除

コンプライアンスレポートのキャッシュは、--no-cacheフラグを使用して手動で削除できます。 これを実行すると、キャッシュされたすべてのコンプライアンスレポート情報がマシンから完全に削除されます。

compliance-report --no-cache

コマンダーを実行した場所から、ディスク上のキャッシュファイルを削除することもできます。暗号化されたコンプライアンスデータが含まれているsox_<ID>.dbというファイルを削除します。

フィルタ

コンプライアンスレポートは、ノード、ユーザー、役職、レコードが共有されているか否かによってフィルタリングできます。

ノードでフィルタ

形式

--node [NODE NAME or ID]または-n [NODE NAME or ID]

例

compliance-report --node "Chicago Office"

概説

レコードの結果を、指定したノードのKeeperボルトに存在するレコードのみにフィルタリングします。デフォルトでは、ルートエンタープライズノードを使用して、すべてのボルトを検索します。

ユーザー名でフィルタ

形式

--username [USER EMAIL]または-u [USER EMAIL]

例

compliance-report --username "Craig@keepersecurity.com"

概説

レコードの結果を、指定したユーザー名のKeeperボルトに存在するレコードのみにフィルタリングします

レコードでフィルタ

形式

--record [UID or TITLE]または-r [UID or TITLE]

例

compliance-report --record "Twitter Login"

概説

指定したUIDまたはタイトルを持つレコードに結果をフィルタリングします

URLでフィルタ

形式

--url [URL]

例

compliance-report --url "https://www.twitter.com"

概説

指定したURL値を持つレコードに結果をフィルタリングします

役職でフィルタ

形式

--job-title [TITLE]または-jt [TITLE]

例

compliance-report --job-title "Engineers"

概説

レコードの結果を、指定した役職を持つユーザーが所有するKeeperボルトに存在するレコードのみにフィルタリングします

共有レコードでフィルタ

形式

--shared

例

compliance-report --shared

概説

共有されているレコードのみを表示します

削除済みレコードでフィルタ

形式

--deleted-items

例

compliance-report --deleted-items

概説

削除済みレコードのみを表示します (--active-itemsフラグと併用はできません)

アクティブなレコードでフィルタ

形式

--active-items

例

compliance-report --active-items

概説

アクティブなレコードのみを表示します (--deleted-itemsフラグと併用はできません)

レコードでフィルタ

Commanderバージョン16.7.5以降が必要です

形式

--team <TEAM NAME>

例

compliance-report --team "Engineering"

概説

指定したチームのユーザーのみを表示します

チームでフィルタ

Commanderバージョン16.7.5以降が必要です

形式

--record <RECORD NAME or UID>

例

compliance-report --record "Twitter Login"

概説

指定したレコードのレポートを表示します

複数のフィルタをまとめて使用

フィルタフラグを一緒に使用すると、高度なレポートを作成できます

例

compliance-report --node "Chicago" --job-title "Managers" --shared

この例では、ChicagoノードのManagersが所有するボルトから共有されたレコードのレポートを表示します。

同じフィルタを何度も使用することもできます。

compliance-report -u "Craig@keepersecurity.com" -u "Darren@keepersecurity.com"

この例では、ユーザー「Craig@keepersecurity.com」と「Darren@keepersecurity.com」の両方のレコードを取得します。

概説

レコードの結果を、指定したノードのKeeperボルトに存在するレコードのみにフィルタリングします

ファイルに出力

コマンダーレポート機能の多くと同様に、コンプライアンスレポートの結果はファイルに保存できます。 保存するには、--outputオプションと--formatオプションを使用します。

出力

--output [ファイルパス]

指定した場所のファイルに結果を書き込むようにコマンダーに指示します。 ファイルが存在しない場合は作成されます。

形式

--format [csv, json, table]

コマンダーにレポート結果の形式を指示します。既定の結果は表 (table) 形式で、表で結果が表示されます。他にカンマ区切り値 (CSV)、JSON (JavaScript Object Notation) がご利用になれます。

--outputフラグを付けずに --formatフラグを付加すると、結果は指定した形式でCommanderに表示されます。

結果をCSV (Excel) に保存

コンプライアンスレポートの結果をExcelで表示可能なCSVファイルとして保存するには、以下のフラグを使用します。

--format csv and --output /path/to/file.csv

例

compliance-report --username "Craig@keepersecurity.com" --format csv --output "./craig_compliance.csv"

結果は、指定した場所にcsv形式のファイルとして保存されます。

結果をJSONに保存

コンプライアンスレポートの結果をコードやスクリプトで使用するJSONファイルとして保存するには、以下のフラグを使用します。

--format json および --output /path/to/file.json

例

compliance-report --username "Craig@keepersecurity.com" --format csv --output "./craig_compliance.json"

結果は、指定した場所にjson形式のファイルとして保存されます。

complianceコマンド

コマンダーでは、カスタムレポートの生成に加えて、complianceコマンドを使用すると特定のレポートも生成できます。特定のレポートは、complianceコマンドがサポートするサブコマンドを呼び出すことによって生成できます。

complianceコマンドでは、以下のサブコマンドがサポートされています。

詳細についてはサブコマンドのセクションをご参照ください。

Compliance Team-Report

共有フォルダは個人にもチームにも共有できますが、コンプライアンスレポートには各チームがこれらの共有フォルダに対して持つアクセス権に関するレポートを表示できます。

コンプライアンスチームレポートを実行するには、コマンダーで以下のコマンドを使用します。

compliance team-report

このレポートには、共有フォルダにアクセスできる各チームと、アクセス権の種類が表示されます。

My Vault> compliance team-report
Team Name    Team UID                Shared Folder Name  Shared Folder UID       Permissions            Records
-----------  ----------------------  ------------------  ----------------------  -------------------  ---------
Engineering  qLoY4YptKEs30VK_D8px1A  Devops Secrets      YZaagndh8CQToqlhuvv95Q  Read Only                    1
Marketing    XWLBkyN_HnwJKA4BYWrByw  Website Logins      -IcFcSgrFPEW9aP1-noiWw  Can Share, Can Edit          2

チームメンバーシップ情報 (どのユーザーがどのチームに属しているか) をレポートに含めたい場合は、以下のように、コマンド呼び出しにオプションのフラグ--show-team-users/-tuを含めます。

compliance team-report -tu

上記のコマンド呼び出しでフラグを追加した結果、生成されたレポートに「Team User」 (チームユーザー) という列 (関連チームの全メンバーのユーザー名が表示されます) が追加されます。

Compliance Record-Access Report

レコードアクセスのコンプライアンスレポートには、任意のユーザーがアクセスした組織内のすべてのレコードのリストと、その他の関連情報 (使用したアプリ、IPアドレス、イベントのタイムスタンプなど) が表示されます。

レコードアクセスのコンプライアンスレポートを実行するには、コマンダーで以下のコマンドを実行します。

compliance record-access-report user1@company.com

ここでは、user1@company.comはレコードアクセスを監査したいユーザーとなります。結果の出力は以下のようになります。

My Vault> compliance record-access-report user1@company.com
Vault Owner       Record UID              Record Title  Record URL     Has Attachments    In Trash    Record Owner       IP Address     Device             Last Access
----------------- ----------------------  ------------  -------------  -----------------  ----------  -----------------  -------------  -----------------  -------------------
user1@company.com LDUw6M6jNcUmEkuArp4LXQ  User1-Login   domain.com     False              False       user1@company.com  172.158.8.18   Web App 16.10.2    2023-05-30 17:04:23
                  5U4DK0MmJ5ZVui-o6JcDQw  User2-Login   google.com     True               False       user2@company.com  172.158.8.18   Web App 16.10.2    2023-01-24 17:04:18
                  MMhu6YQ5gKtYbgPiVD41UQ  User3-Login   hotmail.com    False              False       user3@company.com  172.158.8.18   Web App 16.10.2    2022-11-31 14:35:23

同様に、同じユーザーが現在アクセスできるすべてのレコード (つまり、現在ユーザーのボールトにあるすべてのレコード) のリストを表示するには、次のコマンドを実行します。

compliance record-access-report --report-type=vault user1@company.com

上記のコマンドの出力は前の例と似ていますが、現在ユーザーのボルトにないレコードは除外され、そのユーザーが一度もアクセスしたことのないレコードが含まれる可能性があります。

さらに、このレポートを複数のユーザーに対して実行したい場合は、以下のようにコマンド呼び出しでスペース区切りのリストで各ユーザー名/IDを指定するか、省略表現「@all」を使用して全ユーザーに対して実行します。

compliance record-access-report user1@company.com user2@company.com

compliance record-access-report @all

Compliance Summary-Report

コンプライアンス概要レポートには、組織内のレコードに関する情報が集約されて表示されます (現在はデフォルトでレコードの所有者で分類されていますが、今後他のエンティティによる分類が追加される可能性があります)。

コンプライアンス概要レポートを実行するには、コマンダーで以下のコマンドを実行します。

compliance summary-report

または

compliance stats

結果の出力は以下のようになります。

My Vault> compliance summary-report

Email                             Total Items    Total Owned    Active Owned    Deleted Owned
------------------------------- -------------  -------------  --------------  ---------------
bob.loblaw@keeperdemo.io                   22             14              12                2
jose.rizal@keeperdemo.io                   49             42              33                9
tyrion.lannister@keeperdemo.io              3              3               3                0
doogie.howzer@keeperdemo.io                15              5               5                0
alan.turing@keeperdemo.io                  17             13               4                9
richard.feynmann@keeperdemo.io              4              1               1                0
TOTAL                                                     78              58               20

Compliance Shared-Folder-Report

このコマンドで、compliance team-reportと同様にすべてのエンティティ (チームおよび個々のユーザー) が組織内のすべての共有フォルダに対して持つアクセス権を詳細に示すレポートを出力します。

コンプライアンス共有フォルダレポートを実行するには、コマンダーで以下のコマンドを実行します。

compliance shared-folder-report

または

compliance sfr

出力は以下のとおりです。

My Vault> compliance sfr
Loading record information....
Loading compliance data....:
Shared Folder UID       Team UID                Team Name    Record UID              Email
----------------------  ----------------------  ------------ ----------------------  ------------------------------
y01GmuTipqHGLdd0NkM4qw                                       PG7MELDIOaNMQkDiw--JoQ  bob.loblaw@keeperdemo.io
                                                             1JDuc5ZcJDpt8SbhYnD0HA  nate.hawthorne@keeperdemo.io
YZaagndh8CQToqlhuvv95Q  qLoY4YptKEs30VK_D8px1A  Engineering  IOYb8jAmDsaIGtTwZB5Biw  samuel.clemens@keeperdemo.io
                                                                                     w.b.yeats@keeperdemo.io
-IcFcSgrFPEW9aP1-noiWw  XWLBkyN_HnwJKA4BYWrByw  Marketing    O69TWFDnPCG_dpg9wpABqg  e.hemmingway@keeperdemo.io
                        qLoY4YptKEs30VK_D8px1A  Engineering  f46BWlqg5SoWraVlEFFSDA
0qpDTAWuznWrInnednG3Xw  XWLBkyN_HnwJKA4BYWrByw  Marketing    EnqP808xakJA9hOpjhYb9A  e.hemmingway@keeperdemo.io

前述のcompliance team-reportコマンドと同様に、必要に応じて-show-team-users/-tuフラグを指定してレポートにチームメンバーシップデータを含められます。以下はその例です。

compliance sfr -tu

compliance team-report -tuの出力とは対照的に、上記のコマンドによって生成されたレポートには、既存の「Email」という列に適切なチームメンバーシップデータが追加され、チームに関連付けられた各ユーザー名の前には、それを示すために「(TU)」が付くことにご注意ください。

または

このレポートでは、前述のが使用されます。

コマンダーで使用可能なその他のレポートについては、をご参照ください。

レポート作成のドキュメント
team-report
record-access-report
summary-reports
stats
shared-folder-report
コンプライアンスレポートのキャッシュ
コンプライアンスレポート作成
コンプライアンスレポートのドキュメント