ローカルエンドポイント
対象読者: スクリプトやツールからエージェントに対して管理タスク (ヘルスチェック、プラグイン制御、ジョブ、設定など)を実行するIT管理者向けです。
概要
Keeper特権マネージャーはlocalhost専用のHTTP/HTTPS API (既定ポートはHTTP 6888、HTTPS 6889) を公開します。ヘルスチェック、プラグインの開始/停止/再起動、ジョブの一覧とトリガー、設定およびプラグイン設定、登録、その他の管理操作に利用します。エンドポイントはいずれもマシンローカルであり、ネットワークに公開することを想定していません。
ベースURL
HTTP:
http://127.0.0.1:6888HTTPからHTTPSへ自動リダイレクトする。
HTTPS:
https://127.0.0.1:6889通信はローカルマシン内のみで行われるため、Keeper特権マネージャーが証明書のライフサイクルと検証を自動で管理する。証明書はメモリ上に保持され (ディスクには書き込まない)、内部でローテーションされ、サービス起動のたびに新しい証明書が生成される。
認証レベル
公開 — 認証なし (ヘルス、ルート、システムステータス)。
プラグイン — 呼び出し元がKeeper特権マネージャーにより起動されたプロセスで、有効な証明書を持つこと (例: プラグイン、ジョブ)。
昇格管理者 — 呼び出し元が管理者権限を持つ (または信頼されたシステムプロセスである)こと、および有効な証明書を持つこと。
多くの管理操作はプラグインまたは管理者を要します。手動で実行するスクリプトでは多くの場合管理者を使用します (例: 昇格したPowerShellから、またはrootとして)。証明書ベースの呼び出しでは、スクリプト用のクライアント証明書が製品から提供される場合があります。デプロイのドキュメントをご参照ください。
公開エンドポイント (認証なし)
監視および基本的な確認に使用します。
GET
/health
ヘルスチェック。ステータス (例: healthy)、タイムスタンプ、バージョンを返す。
GET
/
ルート。サービス名、ステータス、バージョン。
GET
/api/system/status
システムステータス: 実行中、プラグイン数、ジョブ数 (合計/有効)。
例:
プラグイン管理
GET
/api/plugins
プラグイン
すべてのプラグインを一覧表示 (id、名前、ステータス、processId、lastStartTime)。
POST
/api/plugins/{name}/start
管理者
プラグインを開始する。
POST
/api/plugins/{name}/stop
管理者
プラグインを停止する。
POST
/api/plugins/{name}/restart
管理者
プラグインを再起動する。
{name} をプラグインID (例: KeeperPolicy、KeeperAPI) に置き換えます。プラグインが固まったあとやプラグイン構成を変更したあとの復旧に使用します。
ジョブ管理
GET
/api/Jobs
プラグイン
登録済みジョブをすべて一覧表示 (id、名前、有効、スケジュール、最終実行)。
GET
/api/Jobs/{jobId}
プラグイン
IDで1件のジョブを取得する。
POST
/api/Jobs
管理者
ジョブを作成する (JSONボディ)。
PUT
/api/Jobs/{jobId}
管理者
ジョブを更新する。
DELETE
/api/Jobs/{jobId}
管理者
ジョブを削除する。
POST
/api/Jobs/{jobId}/run
管理者
ジョブを直ちに実行する。
POST
/api/Jobs/{jobId}/trigger
管理者
イベントコンテキスト付きでジョブをトリガーする (JSONボディ)。
POST
/api/Jobs/validate
管理者
ジョブJSONを検証する (POSTボディ=ジョブJSON)。
オンデマンド実行にはrunまたはtriggerを、ジョブの作成・更新前にはvalidateを使用します。
設定
GET
/api/Settings
プラグイン
すべてのアプリ設定を取得する (機密値はマスクされる場合がある)。
GET
/api/Settings/{key}
プラグイン
キーで1件の設定を取得する (例: Settings:KestrelHttpsPort)。
PUT
/api/Settings/{key}
管理者
設定を更新する (ボディ=値)。
POST
/api/Settings/revert
管理者
設定を既定値に戻す (任意ボディ: キーのリスト)。
プラグイン設定
GET
/api/PluginSettings/{pluginName}
プラグイン
プラグインのすべての設定を取得する。
GET
/api/PluginSettings/{pluginName}/{settingName}
プラグイン
プラグイン設定を1件取得する。
PUT
/api/PluginSettings/{pluginName}/{settingName}
管理者
プラグイン設定を1件更新する (ボディ=値)。
POST
/api/PluginSettings/revert-all
管理者
ディスク上の各JSONファイルからすべてのプラグイン設定を再インポートする。
POST
/api/PluginSettings/{pluginName}/revert
管理者
1つのプラグインの設定をそのJSONファイルから再インポートする。
プラグインのJSONファイルを編集したあとや、ポリシーで構成をプッシュしたあとは、メモリ上の設定をディスクと一致させるためにrevertまたはrevert-allを使用します。
Keeper登録
GET
/api/Keeper/registration
プラグイン
エージェント登録ステータスを取得する (AgentUID、IsRegistered、Hostnameなど)。
POST
/api/Keeper/register
管理者 (一部のデプロイでは公開)
エージェントを登録する。クエリパラメータtoken=... (および任意のforce=true)。
POST
/api/Keeper/unregister
管理者
エージェントの登録を解除する。
例 (登録):
その他のエンドポイント群
APIには次のエンドポイントも含まれます。
監査 — 監査イベントのGET/POST。
通知 — 通知の送信。
ファイルアクセス — ファイルアクセスの要求、付与、取り消し。履歴。
ユーザーセッション — ユーザーセッションでのプロセス起動、起動の検証。
エフェメラル — エフェメラルアカウントの起動、一覧/削除、クリーンアップ。
コントロール — コントロール要求、承認、承認済み要求の起動。
認証情報 — リスク評価用認証情報の保存/取得/削除。
パス変数 — カスタムパス変数の作成/更新/削除 (有効な場合)。
正確なパスやリクエスト/レスポンスの形式は製品のAPI仕様に従いますが、上記の表では主な管理タスクを網羅しています。スクリプトで利用する場合はHTTPSを使用し、403 (認証エラー) や404 (未検出) に対応するようにしてください。また、必要に応じて管理者権限または適切な証明書を使用してください。
最終更新
役に立ちましたか?