# 強制適用ポリシー

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2F5bi9ekEf2lw9om018RRv%2Fimage.png?alt=media&#x26;token=9f877ddf-970c-489d-872f-6727752e462b" alt=""><figcaption></figcaption></figure>

## 概要

ロール別アクセス制御 (RBAC) により、ユーザーの職務に応じたセキュリティポリシーを定義し、管理者権限を委任できます。本ページの手順に進む前に、ロールと強制適用ポリシーについてご確認ください。

## PAMポリシーの有効化

管理コンソールでPAM適用ポリシーを有効にする手順は以下となります。

1. ご利用の地域の管理コンソールへログインします。
2. **\[管理者] > \[ロール]** に移動し、新しいPAM用ロールを作成するか、既存のロールを編集します。
3. **\[強制適用ポリシー]** セクションを開き、**\[特権アクセス管理]** を選択します。
4. [すべてのPAMポリシー](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/getting-started/enforcement-policies)を有効にして新機能を使用できるようにします。

## 特権アクセス管理のポリシー

### シークレットマネージャー

<table><thead><tr><th>ポリシー</th><th>内容</th><th>コマンダーCLI</th></tr></thead><tbody><tr><td>アプリケーションの作成およびシークレットの管理</td><td>ユーザーにKSMアプリケーションの作成および管理を許可</td><td><pre data-overflow="wrap"><code>ALLOW_SECRETS_MANAGER
</code></pre></td></tr></tbody></table>

### Keeperゲートウェイ

<table><thead><tr><th>ポリシー</th><th>内容</th><th>コマンダーCLI</th></tr></thead><tbody><tr><td>Keeperゲートウェイを作成、デプロイ、管理</td><td>ユーザーにKeeperゲートウェイの作成、設定、管理を許可します。</td><td><pre><code>ALLOW_PAM_GATEWAY
</code></pre></td></tr></tbody></table>

### Keeperローテーション

<table><thead><tr><th>ポリシー</th><th>内容</th><th>コマンダーCLI</th></tr></thead><tbody><tr><td>ローテーション構成を設定</td><td>ユーザーにPAMユーザーおよびPAM構成レコードタイプのローテーション設定を構成する権限を付与します。</td><td><pre data-overflow="wrap"><code>ALLOW_CONFIGURE_ROTATION_SETTINGS
</code></pre></td></tr><tr><td>認証情報をローテーション</td><td>ユーザーにPAMユーザーレコードタイプの認証情報をローテーションする権限を付与します。</td><td><pre data-overflow="wrap"><code>ALLOW_ROTATE_CREDENTIALS
</code></pre></td></tr></tbody></table>

### Keeperコネクションマネージャー (KCM)

<table><thead><tr><th>ポリシー</th><th>内容</th><th>コマンダーCLI</th></tr></thead><tbody><tr><td>接続設定を構成</td><td>ユーザーに、PAMマシン、PAMディレクトリ、PAMデータベース、PAM設定レコードタイプの接続およびセッション録画設定を構成する権限を付与します。</td><td><pre data-overflow="wrap"><code>ALLOW_CONFIGURE_PAM_CLOUD_CONNECTION_SETTINGS
</code></pre></td></tr><tr><td>接続を開始</td><td>ユーザーにPAMマシン、PAMディレクトリ、PAMデータベースレコードタイプの接続を開始する権限を付与します。</td><td><pre data-overflow="wrap"><code>ALLOW_LAUNCH_PAM_ON_CLOUD_CONNECTION
</code></pre></td></tr><tr><td>セッション録画を閲覧</td><td>ユーザーがセッション録画にアクセスして閲覧できるようにします。</td><td><pre data-overflow="wrap"><code>ALLOW_VIEW_KCM_RECORDINGS
</code></pre></td></tr></tbody></table>

### Keeperトンネル

<table><thead><tr><th>ポリシー</th><th>内容</th><th>コマンダーCLI</th></tr></thead><tbody><tr><td>トンネル構成を設定</td><td>ユーザーがPAMマシン、PAMディレクトリ、PAMデータベース、PAM設定レコードタイプにおけるトンネル設定を構成できるようにします。</td><td><pre data-overflow="wrap"><code>ALLOW_CONFIGURE_PAM_TUNNELING_SETTINGS
</code></pre></td></tr><tr><td>トンネルを開始</td><td>ユーザーがPAMマシン、PAMディレクトリ、PAMデータベースレコードタイプでトンネルを開始できるようにします。</td><td><pre data-overflow="wrap"><code>ALLOW_LAUNCH_PAM_TUNNELS
</code></pre></td></tr></tbody></table>

### リモートブラウザ分離 (RBI)

<table><thead><tr><th>ポリシー</th><th>内容</th><th>コマンダーCLI</th></tr></thead><tbody><tr><td>リモートブラウジングとセッション録画を設定</td><td>ユーザーがPAMリモートブラウジングおよび設定レコードタイプでリモートブラウザとセッション録画の設定を構成できるようにします。</td><td><pre data-overflow="wrap"><code>ALLOW_CONFIGURE_RBI
</code></pre></td></tr><tr><td>リモートブラウジングを開始</td><td>ユーザーがPAMリモートブラウジングレコードタイプでリモートブラウジングを開始できるようにする。</td><td><pre data-overflow="wrap"><code>ALLOW_LAUNCH_RBI
</code></pre></td></tr><tr><td>RBIセッション録画を閲覧</td><td>ユーザーがRBIセッション録画を閲覧できるようにします。</td><td><pre data-overflow="wrap"><code>ALLOW_VIEW_RBI_RECORDINGS
</code></pre></td></tr></tbody></table>

### 検出

{% hint style="info" %}
検出機能は現在、Keeperコマンダーでのみご利用になれます。UIバージョンは近日対応予定です。
{% endhint %}

<table><thead><tr><th width="213">ポリシー</th><th>内容</th><th>コマンダーCLI</th></tr></thead><tbody><tr><td>検出を実行</td><td>ユーザーが検出を実行できるようにします。</td><td><pre data-overflow="wrap"><code>ALLOW_PAM_DISCOVERY
</code></pre></td></tr></tbody></table>

### レガシーポリシー

このポリシーは今後は必須となりませんが、レガシー機能のサポートのために引き続きご利用になれます。

<table><thead><tr><th width="213">ポリシー</th><th>内容</th><th>コマンダーCLI</th></tr></thead><tbody><tr><td>ローテーションを許可 (レガシー)</td><td>ユーザーがパスワードをローテーションできるようにします。</td><td><pre data-overflow="wrap"><code>ALLOW_PAM_ROTATION
</code></pre></td></tr></tbody></table>

### コマンダーCLI

[KeeperコマンダーCLI](https://docs.keeper.io/jp/keeperpam/commander-cli)の`enterprise-role`コマンドを使用すると、これらのポリシーを自動的に設定できます。PAM機能に関連するポリシーの一覧は以下の通りです。

```
enterprise-role ROLE_ID --enforcement "ALLOW_SECRETS_MANAGER:True"
enterprise-role ROLE_ID --enforcement "ALLOW_PAM_ROTATION:True"
enterprise-role ROLE_ID --enforcement "ALLOW_PAM_DISCOVERY:True"
enterprise-role ROLE_ID --enforcement "ALLOW_PAM_GATEWAY:True"
enterprise-role ROLE_ID --enforcement "ALLOW_CONFIGURE_ROTATION_SETTINGS:True"
enterprise-role ROLE_ID --enforcement "ALLOW_ROTATE_CREDENTIALS:True"
enterprise-role ROLE_ID --enforcement "ALLOW_CONFIGURE_PAM_CLOUD_CONNECTION_SETTINGS:True"
enterprise-role ROLE_ID --enforcement "ALLOW_LAUNCH_PAM_ON_CLOUD_CONNECTION:True"
enterprise-role ROLE_ID --enforcement "ALLOW_CONFIGURE_PAM_TUNNELING_SETTINGS:True"
enterprise-role ROLE_ID --enforcement "ALLOW_LAUNCH_PAM_TUNNELS:True"
enterprise-role ROLE_ID --enforcement "ALLOW_LAUNCH_RBI:True"
enterprise-role ROLE_ID --enforcement "ALLOW_CONFIGURE_RBI:True"
enterprise-role ROLE_ID --enforcement "ALLOW_VIEW_KCM_RECORDINGS:True"
enterprise-role ROLE_ID --enforcement "ALLOW_VIEW_RBI_RECORDINGS:True"
```


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.keeper.io/jp/keeperpam/privileged-access-manager/getting-started/enforcement-policies.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.