デバイス

デバイスとは

デバイスは、Keeperプラットフォームと通信し、認証およびプロビジョニングされたデータの復号を行う任意のマシン、アプリケーション、エンドポイントとなります。

アプリケーションには複数のデバイスが関連付けられることがあり、各デバイスには固有の識別子が割り当てられます。これにより、デバイスを厳密に制御および管理できるようになります。デバイスは、Keeper Secrets Managerのセキュリティおよび暗号化モデルページで定義されたAPIおよび暗号化モデルを使用して、データの認証および復号を行います。 デバイスのセキュリティおよび暗号化モデルの詳細については、こちらのページをご参照ください。

デバイスの作成

デバイスは、ボルトUIのアプリケーション画面またはKeeperコマンダーCLIを通じて作成できます。

ボルトUIからデバイスを作成するには、Secrets Managerに移動してアプリケーションを選択してから、[デバイス]タブを開き、[デバイスを追加]をクリックします。

デバイスの初期化

Keeperデバイスは、ワンタイムアクセストークンか事前に作成された構成ファイル (base64形式またはJSON形式) を使用して初期化できます。

ワンタイムアクセストークンの初期化

ワンタイムアクセストークンは、デバイスがクラウドに対して一度だけ認証を行うための暗号化キーです。この認証後、ローカル構成が作成され、以降の認証やボルトの暗号文の復号に必要なすべてのキーが含まれます。KeeperシークレットマネージャーSDKおよび多くの統合でも、この方法を使用しています。

この方法のもう一つの特徴としては、APIリクエストを特定のIPアドレスに制限するオプションがあります。トランザクションが許可されるIPアドレスは、Keeperのクラウドインフラストラクチャが認識したIPアドレスに基づきます。ワンタイムアクセストークンについて詳しくはこちらのページをご覧ください。

構成ファイルの初期化

デバイス作成の構成 (設定) ファイル方式は、すべてのシークレットが実行時に提供される必要があるツールや統合に適しています。ほとんどのCI/CD統合方法で、この事前に作成された構成ファイルが使用されます。

Keeperシークレットマネージャー構成の内容の詳細についてはこちらのページ設定をご参照ください。

コマンダーCLI

KeeperコマンダーCLIは、UIでは利用できない追加機能を提供しており、デバイスを作成する際にその機能を活用できます。例えば、CLIを使用すると、デバイスを一括作成したり、デバイスの有効期限を設定することが可能です。

コマンダーCLIのデバイス初期化方法の主な機能は以下の通りです。

• デバイス名の制御

• デバイス初期化時のアクセス期限設定

• デバイス自体のアクセス期限設定

• すべてのIPを許可するか、最初にリクエストされたIPに制限するオプション

• デバイストークンや設定ファイルの一括生成

• ワンタイムアクセストークンまたは設定ファイルでの初期化オプション

コマンドのヘルプ

secrets-manager client add --app [アプリ名またはUID] --unlock-ip

オプション：

--name [クライアント名]: クライアント名 (デフォルト: ランダムな10文字の文字列)

--first-access-expires-in-min [分]: 初回アクセスの有効期限 (デフォルト: 60分、最大: 1440分)

--access-expire-in-min [分]: クライアントのアクセス期限 (デフォルト: 期限なし)

--unlock-ip: 最初にリクエストしたデバイスにIPアドレスを固定しない

--count [数]: 生成するトークンの数 (デフォルト: 1)

--config-init [json, b64またはk8s]: ワンタイムトークンから設定文字列を初期化

例:

secrets-manager client add --app "My Infrastructure App" --unlock-ip

secret-manager関連のコマンダーCLIのコマンドの詳細についてはこちらのページをご参照ください。