強制適用ポリシー

KeeperPAMでロール別強制適用ポリシーの設定

概要

ロール別アクセス制御 (RBAC) により、ユーザーの職務に応じたセキュリティポリシーを定義し、管理者権限を委任できます。本ページの手順に進む前に、ロールと強制適用ポリシーについてご確認ください。

PAMポリシーの有効化

管理コンソールでPAM適用ポリシーを有効にする手順は以下となります。

  1. ご利用の地域の管理コンソールへログインします。

  2. [管理者] > [ロール]に移動し、新しいPAM用ロールを作成するか、既存のロールを編集します。

  3. [強制適用ポリシー]セクションを開き、[特権アクセス管理]を選択します。

  4. すべてのPAMポリシーを有効にして新機能を使用できるようにします。

特権アクセス管理のポリシー

シークレットマネージャー

ポリシー
内容
コマンダーCLI

アプリケーションの作成およびシークレットの管理

ユーザーにKSMアプリケーションの作成および管理を許可

ALLOW_SECRETS_MANAGER

Keeperゲートウェイ

ポリシー
内容
コマンダーCLI

Keeperゲートウェイを作成、デプロイ、管理

ユーザーにKeeperゲートウェイの作成、設定、管理を許可します。

ALLOW_PAM_GATEWAY

Keeperローテーション

ポリシー
内容
コマンダーCLI

ローテーション構成を設定

ユーザーにPAMユーザーおよびPAM構成レコードタイプのローテーション設定を構成する権限を付与します。

ALLOW_CONFIGURE_ROTATION_SETTINGS

認証情報をローテーション

ユーザーにPAMユーザーレコードタイプの認証情報をローテーションする権限を付与します。

ALLOW_ROTATE_CREDENTIALS

Keeperコネクションマネージャー (KCM)

ポリシー
内容
コマンダーCLI

接続とセッション録画を設定

ユーザーに、PAMマシン、PAMディレクトリ、PAMデータベース、PAM設定レコードタイプの接続およびセッション録画設定を構成する権限を付与します。

ALLOW_CONFIGURE_PAM_CLOUD_CONNECTION_SETTINGS

接続を開始

ユーザーにPAMマシン、PAMディレクトリ、PAMデータベースレコードタイプの接続を開始する権限を付与します。

ALLOW_LAUNCH_PAM_ON_CLOUD_CONNECTION

セッション録画を閲覧

ユーザーがセッション録画にアクセスして閲覧できるようにします。

ALLOW_VIEW_KCM_RECORDINGS

Keeperトンネル

ポリシー
内容
コマンダーCLI

トンネル構成を設定

ユーザーがPAMマシン、PAMディレクトリ、PAMデータベース、PAM設定レコードタイプにおけるトンネル設定を構成できるようにします。

ALLOW_CONFIGURE_PAM_TUNNELING_SETTINGS

トンネルを開始

ユーザーがPAMマシン、PAMディレクトリ、PAMデータベースレコードタイプでトンネルを開始できるようにします。

ALLOW_LAUNCH_PAM_TUNNELS

リモートブラウザ分離 (RBI)

ポリシー
内容
コマンダーCLI

リモートブラウジングとセッション録画を設定

ユーザーがPAMリモートブラウジングおよび設定レコードタイプでリモートブラウザとセッション録画の設定を構成できるようにします。

ALLOW_CONFIGURE_RBI

リモートブラウジングを開始

ユーザーがPAMリモートブラウジングレコードタイプでリモートブラウジングを開始できるようにする。

ALLOW_LAUNCH_RBI

RBIセッション録画を閲覧

ユーザーがRBIセッション録画を閲覧できるようにします。

ALLOW_VIEW_RBI_RECORDINGS

検出

検出機能は現在、Keeperコマンダーでのみご利用になれます。UIバージョンは近日対応予定です。

ポリシー
内容
コマンダーCLI

検出を実行

ユーザーが検出を実行できるようにします。 

ALLOW_PAM_DISCOVERY

レガシーポリシー

このポリシーは今後は必須となりませんが、レガシー機能のサポートのために引き続きご利用になれます。

ポリシー
内容
コマンダーCLI

ローテーションを許可 (レガシー)

ユーザーがパスワードをローテーションできるようにします。 

ALLOW_PAM_ROTATION

コマンダーCLI

KeeperコマンダーCLIenterprise-roleコマンドを使用すると、これらのポリシーを自動的に設定できます。PAM機能に関連するポリシーの一覧は以下の通りです。

enterprise-role ROLE_ID --enforcement "ALLOW_SECRETS_MANAGER:True"
enterprise-role ROLE_ID --enforcement "ALLOW_PAM_ROTATION:True"
enterprise-role ROLE_ID --enforcement "ALLOW_PAM_DISCOVERY:True"
enterprise-role ROLE_ID --enforcement "ALLOW_PAM_GATEWAY:True"
enterprise-role ROLE_ID --enforcement "ALLOW_CONFIGURE_ROTATION_SETTINGS:True"
enterprise-role ROLE_ID --enforcement "ALLOW_ROTATE_CREDENTIALS:True"
enterprise-role ROLE_ID --enforcement "ALLOW_CONFIGURE_PAM_CLOUD_CONNECTION_SETTINGS:True"
enterprise-role ROLE_ID --enforcement "ALLOW_LAUNCH_PAM_ON_CLOUD_CONNECTION:True"
enterprise-role ROLE_ID --enforcement "ALLOW_CONFIGURE_PAM_TUNNELING_SETTINGS:True"
enterprise-role ROLE_ID --enforcement "ALLOW_LAUNCH_PAM_TUNNELS:True"
enterprise-role ROLE_ID --enforcement "ALLOW_LAUNCH_RBI:True"
enterprise-role ROLE_ID --enforcement "ALLOW_CONFIGURE_RBI:True"
enterprise-role ROLE_ID --enforcement "ALLOW_VIEW_KCM_RECORDINGS:True"
enterprise-role ROLE_ID --enforcement "ALLOW_VIEW_RBI_RECORDINGS:True"
前へKeeperPAMのライセンス次へボルトの構造

最終更新