# はじめに

## 概要

このガイドでは、Keeperボルト内のPAMレコードタイプでサポートされているすべてのプロトコルの接続設定方法について取り扱います。

KeeperPAMを使用するには、ライセンスが必要です。ライセンスは、ビジネスおよびエンタープライズのお客様にご利用いただけます。

* [KeeperPAMホームページ](https://www.keepersecurity.com/ja_JP/privileged-access-management/)
* [デモを申し込む](https://www.keepersecurity.com/ja_JP/contact.html?t=b\&r=sales)
* [サポートにお問い合わせ](https://www.keepersecurity.com/ja_JP/support.html)

## 前提条件

接続の設定を行う前に、以下の項目を確認してください。

### 接続に関するポリシー

以下のポリシーは、ユーザーが接続を使用する権限に影響を与えるため、有効にする必要があります。

KeeperPAMの強制ポリシーは、Keeper管理コンソールの**\[管理者]** > **\[ロール]** > **\[強制ポリシー]** > **\[特権アクセス管理]**にて管理します。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FttQ8diFGNVzGo5J4CmIc%2Fimage.png?alt=media&#x26;token=d9a72a4e-a4f8-4128-b665-9da9577cca3c" alt=""><figcaption><p>KeeperPAM向けポリシー</p></figcaption></figure>

<table><thead><tr><th width="196">ポリシー</th><th width="274">コマンダーでのポリシー</th><th>定義</th></tr></thead><tbody><tr><td>接続設定を構成</td><td><pre data-overflow="wrap"><code>ALLOW_CONFIGURE_PAM_CLOUD_CONNECTION_SETTINGS
</code></pre></td><td>PAMマシン、PAMディレクトリ、PAMデータベース、PAM構成レコードタイプでトンネル設定を構成できるようにします。</td></tr><tr><td>接続を開始</td><td><pre data-overflow="wrap"><code>ALLOW_LAUNCH_PAM_ON_CLOUD_CONNECTION
</code></pre></td><td>PAMマシン、PAMディレクトリ、PAMデータベースのレコードタイプでトンネルを開始できるようにします。</td></tr><tr><td>セッション録画を閲覧</td><td><pre><code>ALLOW_VIEW_KCM_RECORDINGS
</code></pre></td><td>セッション録画を閲覧できるようにします。</td></tr></tbody></table>

[KeeperコマンダーCLI](https://docs.keeper.io/jp/keeperpam/commander-cli/command-reference/secrets-manager-commands)上でも`enterprise-role`コマンドを使用してトンネルを有効化できます。

```
enterprise-role "My Role" --enforcement "ALLOW_CONFIGURE_PAM_CLOUD_CONNECTION_SETTINGS":true
enterprise-role "My Role" --enforcement "ALLOW_LAUNCH_PAM_ON_CLOUD_CONNECTION":true
enterprise-role "My Role" --enforcement "ALLOW_VIEW_KCM_RECORDINGS":true
```

#### ポリシーの活用事例

あるユーザーに対し接続の開始のみを許可して、接続の設定は変更できないようにする場合は、「接続を開始」のポリシーのみを有効にします。

接続の開始に加えて、接続の設定も変更できるようにする場合は、「接続設定を構成」と「接続を開始」のポリシーを両方を有効にします。

### セッション録画

接続を開始すると、セッションを録画することもできます。録画データはPAMマシン、PAMデータベース、PAMディレクトリの各レコードタイプで利用でき、ボルト内で再生できます。セッション録画と再生の詳細については、[こちらのページ](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/session-recording-and-playback)をご覧ください。

### Keeperゲートウェイのインストール

Keeperゲートウェイは、インフラへのゼロトラストアクセスを実現するためのホスト型エージェントレスサービスです。このサービスは通常、アクセスが必要な各ネットワーク内のLinuxまたはDocker環境にインストールしておきます。

ゲートウェイのインストールと設定の詳細については、[こちらのページ](https://docs.keeper.io/keeperpam/privileged-access-manager/getting-started/gateways)をご覧ください。

### PAM構成

PAM構成には、インフラの重要な情報、設定、[Keeperゲートウェイ](https://docs.keeper.io/keeperpam/privileged-access-manager/getting-started/gateways)に関する情報が含まれます。インフラに対するPAM構成の設定は必須となります。PAM構成の作成と設定の詳細については、[こちらのページ](https://docs.keeper.io/keeperpam/privileged-access-manager/getting-started/pam-configuration)をご覧ください。

### PAMマシン、PAMデータベース、PAMディレクトリ

Keeperコネクションは、ボルトクライアントとエンドポイント間で確立される、暗号化セッションです。エンドポイントに関しては、以下のいずれかのPAMレコードタイプで定義する必要があります。

<table><thead><tr><th width="215">PAMレコードタイプ</th><th>対象のエンドポイントのタイプ</th></tr></thead><tbody><tr><td><a href="../getting-started/pam-resources/pam-machine">PAMマシン</a></td><td>Windows、MacOS、Linuxの各マシン、EC2インスタンス、Azure VM</td></tr><tr><td><a href="../getting-started/pam-resources/pam-database">PAMデータベース</a></td><td>MySQL、PostgreSQL、SQL Server、MongoDB、MariaDB、Oracle</td></tr><tr><td><a href="https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/privileged-access-manager/getting-started/pam-resources/pam-directory/README.md">PAMディレクトリ</a></td><td>Active Directory、OpenLDAP</td></tr><tr><td><a href="https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/privileged-access-manager/getting-started/pam-resources/pam-remote-browser/README.md">PAMリモートブラウザ</a></td><td>ウェブベースのアプリケーション</td></tr></tbody></table>

対象のエンドポイントに該当するPAMレコードタイプのページをご参照の上、セットアップ手順をご確認ください。

## サポートされている接続プロトコル

以下の表に、Keeperボルトで構成可能な対応プロトコルを記載しました。各プロトコルの設定詳細については、対応するリンクをご覧ください。

<table><thead><tr><th width="157">プロトコル</th><th width="169">PAMレコードタイプ</th><th>定義</th></tr></thead><tbody><tr><td><a href="https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/privileged-access-manager/connections/session-protocols/ssh-connections/README.md">SSH</a></td><td>PAMマシン</td><td>PAMマシンレコードで定義されたターゲットにSSH接続プロトコルを使用して接続</td></tr><tr><td><a href="https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/privileged-access-manager/connections/broken-reference/README.md">RDP</a></td><td>PAMマシン</td><td>PAMマシンレコードで定義されたターゲットにRDP接続プロトコルを使用して接続</td></tr><tr><td><a href="https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/privileged-access-manager/connections/session-protocols/mysql-connections/README.md">MySQL</a></td><td>PAMデータベース</td><td>PAMデータベースレコードで定義されたターゲットにMySQL接続プロトコルを使用して接続</td></tr><tr><td><a href="https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/privileged-access-manager/connections/session-protocols/sql-server-connections/README.md">SQLサーバー</a></td><td>PAMデータベース</td><td>PAMデータベースレコードで定義されたターゲットにSQL Server接続プロトコルを使用して接続</td></tr><tr><td><a href="https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/privileged-access-manager/connections/session-protocols/postgresql-connections/README.md">PostgreSQL</a></td><td>PAMデータベース</td><td>PAMデータベースレコードで定義されたターゲットに、PostgreSQL接続プロトコルを使用して接続</td></tr><tr><td><a href="https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/privileged-access-manager/connections/session-protocols/vnc-connections/README.md">VNC</a></td><td>PAMマシン</td><td>PAMマシンレコードで定義されたターゲットに、VNC接続プロトコルを使用して接続</td></tr><tr><td><a href="https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/privileged-access-manager/connections/session-protocols/telnet-connections/README.md">Telnet</a></td><td>PAMマシン</td><td>PAMマシンレコードで定義されたターゲットに、Telnet接続プロトコルを使用して接続</td></tr><tr><td><a href="https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/privileged-access-manager/connections/session-protocols/kubernetes/README.md">Kubernetes</a></td><td>PAMマシン</td><td>PAMマシンレコードで定義されたターゲットに、Kubernetesを使用して接続</td></tr><tr><td><a href="../remote-browser-isolation/setting-up-rbi">リモートブラウザ分離</a></td><td>PAMブラウザ</td><td>PAMブラウザレコードで定義されたURLにリモートブラウザ分離 (http/https) プロトコルを使用して接続</td></tr></tbody></table>

## 接続認証方式

Keeperの接続は、以下のいずれかの方法で認証できます。

[**接続用認証情報**](#jie-xu-yong-ren-zheng-qing-bao)\
PAMマシン、PAMデータベース、またはPAMディレクトリのレコードタイプに直接設定された「接続用認証情報」を使用して、ターゲットへのセッションが認証されます。ユーザーは接続のためにこの認証情報にアクセスする必要はありません。

[**個人用認証情報**](#ge-ren-yong-ren-zheng-qing-bao)\
「ユーザーがボルトから認証情報を選択できるようにする」が有効な場合、ユーザーは自分のKeeperボルトに安全に保存されている個人あるいはプライベート認証情報を使って、ターゲットへのセッションを認証できます。

[**一時的アカウント**](#akaunto)\
PAMマシンまたはPAMデータベースのリソースで一時的アカウント機能が有効になっている場合、セッション専用の、システムが生成する時間制限付きの特権アカウントが作成されます。このアカウントはセッション終了後に自動的に削除され、常設の特権が排除されます。この方式は、対象のシステムに永続的なアカウントを残さず、ジャストインタイムアクセスを実現するために使用されます。

## 接続テンプレート

対象のシステムに対応するPAMレコードタイプを接続テンプレートとして構成することもできます。これらのテンプレートは、特定のホスト名や認証情報を事前に定義することなく、対象のシステムへのセッションを開始するための再利用可能なレコードタイプとして機能します。詳細については[こちらのページ](https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/privileged-access-manager/connections/tenpurto/README.md)をご覧ください。