PAM構成

Keeperボルト内でPAM構成を作成

概要

PAM構成には対象のインフラ、設定、関連するKeeperゲートウェイの重要な情報が含まれます。各ゲートウェイおよび管理されているネットワークごとに1つのPAM構成を設定することをお勧めします。

PAM構成の作成

以下は、新しいPAM構成を作成する手順となります。

Keeperボルトにログインします。
「Secrets Manager」を選択し、「PAM構成」タブをクリックします。
「新しい構成」をクリックします。

PAM構成フィールド

PAM構成を設定する際、以下のいずれかの環境を選択します。

以下の表では、選択した環境にかかわらず、PAM構成レコードで設定できる各フィールドの詳細が記載されています。

フィールド

説明

備考

タイトル

PAM構成レコードの名前

例: US-EAST-1 Config

ゲートウェイ

構成済みのゲートウェイ

詳しくはこちらのページをご参照ください。

アプリケーションフォルダ

PAM構成データが保管される共有フォルダ

ベストプラクティスとして、管理者のみがアクセスできるフォルダを作成することを推奨します (以下のセキュリティノート (1) を参照)。

PAM設定

有効にするゼロトラストKeeperPAM機能の一覧

詳しくはこちらをご参照ください。

デフォルトのローテーションスケジュール

ローテーションの頻度を指定します。

例: Daily

ポートマッピング

デフォルトの代替ポートを定義します。

例: 3307=mysqlSee port mapping docs

セキュリティノート (1)

PAM構成情報は特定のアプリケーションフォルダ内のボルトにレコードに保管されており、シークレットが含まれる場合があります。そのため、アプリケーションフォルダは特権を持つ管理者のみがアクセスできるようにすることを推奨します。

以下の表では、選択した環境に基づき、PAMネットワーク構成レコードの各フィールドの詳細を記載しました。

ローカルネットワーク環境

フィールド

説明

備考

ネットワークID

ネットワーク固有のID

ユーザーの参照用 (例: My Network)

ネットワークCIDR

IPアドレスのサブネット

例: 192.168.0.15/24 詳しくはこちらを参照。

AWS環境

フィールド

説明

備考

AWS ID

AWSインスタンスの固有ID

必須。ユーザーの参照用 (例: AWS-US-EAST-1)

アクセスキーID

IAMユーザーアカウントから、希望するアクセスキーのアクセスキーIDを取得します。

EC2インスタンスロールが引き受けられている場合は空欄のままにしてください。

シークレットアクセスキー

アクセスキーのシークレットキー

EC2インスタンスロールが引き受けられている場合は空欄のままにしてください。

地域名

検出に使用されるAWSリージョン名。リージョンごとに改行してください。

例: us-east-2 us-west-1

ポートマッピング

参照される非標準ポート。エントリごとに改行してください。

例: 2222=ssh 3390=rdp

詳しくはAWS環境のセットアップのページをご参照ください。

Azure環境

フィールド

説明

備考

Azure ID

Azureインスタンスの固有ID

必須。ユーザーの参照用 (例: Azure-1)

クライアントID

Azureアプリケーションのアプリケーション/クライアントID (UUID)

必須

クライアントシークレット

Azureアプリケーションのクライアント認証情報シークレット

必須

サブスクリプションID

サブスクリプションのUUID (例: 従量課金制)

必須

テナントID

Azure Active DirectoryのUUID

必須

リソースグループ

チェックするリソースグループの一覧。空欄のままにすると、すべてのリソースグループがチェックされます。各リソースグループは改行で区切ってください。

詳しくは、Azure環境のセットアップのページをご参照ください。

ドメインコントローラー環境

このPAM構成タイプはまだ利用できません。2025年1月にリリース予定です。

フィールド

説明

必須か否か

DNSドメイン名

ドメインコントローラーで使用されるFQDNドメイン。例: EXAMPLE.COM (EXAMPLEではない)。

必須

ホスト名とポート

ドメインコントローラーのホスト名とポート

必須

SSL使用

LDAPSを使用する場合 (デフォルトは636)、チェックを入れてください。LDAPを使用する場合 (デフォルトは389)、チェックを外してください。

必須

ネットワークをスキャン

ドメインコントローラーからCIDRをスキャンします。デフォルトは「False」です。

必須ではない

ネットワークCIDR

フィールドから追加のCIDRをスキャンします。

必須ではない

ポートマッピング

デフォルトの代替ポートを定義します。

必須ではない

PAM構成のPAM機能

PAM構成の「PAM機能許可」および「セッション録画タイプ許可」セクションでは、リソースのPAM構成を通じて管理されるKeeperPAM機能を有効にしたり無効にしたりできます。

フィールド

説明

ローテーション

有効にすると、このPAM構成で管理されている特権ユーザーのローテーションを許可します。

接続

有効にすると、このPAM構成で管理されているリソースへの接続を許可します。

リモートブラウザ分離 (RBI)

有効にすると、このPAM構成で管理されているリソースへのRBIセッションを許可します。

トンネル接続

有効にすると、このPAM構成で管理されているリソースへのトンネル接続を許可します。

セッション録画

有効にすると、すべての接続およびRBIセッションで、セッションが録画されます。

テキストセッション記録 (TypeScript)

有効にすると、すべての接続およびRBIセッションでテキストの入力および出力ログが記録されます。

前へカスタムフィールドを使用したゲートウェイ構成次へAWS環境のセットアップ

最終更新 1 か月前