# PAM構成
## 概要 **PAM構成**には対象のインフラ、設定、関連するKeeperゲートウェイの重要な情報が含まれます。各ゲートウェイおよび管理されているネットワークごとに1つのPAM構成を設定することをお勧めします。 ## PAM構成の作成 以下は、新しいPAM構成を作成する手順となります。 1. Keeperボルトにログインします。 2. 「Secrets Manager」を選択し、「PAM構成」タブをクリックします。 3. 「新しい構成」をクリックします。 ## PAM構成フィールド PAM構成を設定する際、以下のいずれかの環境を選択します。 * [ローカルネットワーク](#rkarunettowku) * [AWS](#aws-huan-jing) * [Azure](#azure-huan-jing) * Google Cloud * [ドメインコントローラー](#domeinkontorr) 以下の表では、選択した環境にかかわらず、PAM構成レコードで設定できる各フィールドの詳細が記載されています。
フィールド説明備考
タイトルPAM構成レコードの名前例: US-EAST-1 Config
ゲートウェイ構成済みのゲートウェイ詳しくはこちらのページをご参照ください。
アプリケーションフォルダPAM構成データが保管される共有フォルダベストプラクティスとして、管理者のみがアクセスできるフォルダを作成することを推奨します (以下のセキュリティノート (1) を参照)。
PAM設定有効にするゼロトラストKeeperPAM機能の一覧詳しくはこちらをご参照ください。
デフォルトのローテーションスケジュールローテーションの頻度を指定します。例: Daily
ポートマッピングデフォルトの代替ポートを定義 します。例: 3307=mysql
See port mapping docs
{% hint style="danger" %} セキュリティノート (1) PAM構成情報は特定のアプリケーションフォルダ内のボルトにレコードに保管されており、シークレットが含まれる場合があります。そのため、アプリケーションフォルダは特権を持つ管理者のみがアクセスできるようにすることを推奨します。 {% endhint %} 以下の表では、選択した環境に基づき、PAMネットワーク構成レコードの各フィールドの詳細を記載しました。 ## ローカルネットワーク環境
フィールド説明備考
ネットワークIDネットワーク固有のIDユーザーの参照用 (例: My Network)
ネットワークCIDRIPアドレスのサブネット例: 192.168.0.15/24
詳しくはこちらを参照。
## AWS環境
フィールド説明備考
AWS IDAWSインスタンスの固有ID必須。ユーザーの参照用 (例: AWS-US-EAST-1)
アクセスキーIDIAMユーザーアカウントから、希望するアクセスキーのアクセスキーIDを取得します。EC2インスタンスロールが引き受けられている場合は空欄のままにしてください。
シークレットアクセスキーアクセスキーのシークレットキーEC2インスタンスロールが引き受けられている場合は空欄のままにしてください。
地域名検出に使用されるAWSリージョン名。リージョンごとに改行してください。例:
us-east-2
us-west-1
ポートマッピング参照される非標準ポート。エントリごとに改行してください。例:
2222=ssh
3390=rdp
* 詳しくは[AWS環境のセットアップ](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/getting-started/pam-configuration/aws-environment-setup)のページをご参照ください。 ## Azure環境
フィールド説明備考
Azure IDAzureインスタンスの固有ID必須。ユーザーの参照用 (例: Azure-1)
クライアントIDAzureアプリケーションのアプリケーション/クライアントID (UUID)必須
クライアントシークレットAzureアプリケーションのクライアント認証情報シークレット必須
サブスクリプションIDサブスクリプションのUUID (例: 従量課金制)必須
テナントIDAzure Active DirectoryのUUID必須
リソースグループチェックするリソースグループの一覧。空欄のままにすると、すべてのリソースグループがチェックされます。各リソースグループは改行で区切ってください。
* 詳しくは、[Azure環境のセットアップ](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/getting-started/pam-configuration/azure-environment-setup)のページをご参照ください。 ## Google Cloud環境 {% hint style="info" %} 近日リリース予定 {% endhint %}
フィールド説明補足
GCP IDGoogle Cloud環境を識別するための一意のID必須。ユーザーが識別しやすい名称を指定します。例: GCP-US-CENTRAL1
Google Workspace管理者メールアドレスGCPプリンシパルのパスワード管理に使用できる、Google Workspace管理者アカウントのメールアドレス該当するアカウントが存在しない場合、またはプリンシパルのローテーションが不要な環境では空欄のままにします
サービスアカウントキーJSON形式のサービスアカウントキー

必須。例:

{
  "type": "service_account",
  "project_id": "<project-id>",
  "private_key_id": "<private-key-id>",
  "private_key": "<private-key>",
  "client_email": "<client-email>",
  "client_id": "<client-id>",
  "auth_uri": "https://accounts.google.com/o/oauth2/auth",
  "token_uri": "https://oauth2.googleapis.com/token",
  "auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs",
  "client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/<app-identifier>.iam.gserviceaccount.com"
}
リージョン名検出に使用するGoogle Cloudリージョン名。リージョンごとに改行して指定します。例:
us-east4
us-south1
ポートマッピング標準以外のポートを使用するサービスのマッピング。エントリーごとに改行して指定します。例:
2222=ssh
3390=rdp
* 詳しくは、Google Cloud環境セットアップのページをご覧ください。 ## ドメインコントローラー環境 | フィールド | 説明 | 必須か否か | | ----------- | --------------------------------------------------------------------------- | ------ | | DNSドメイン名 | ドメインコントローラーで使用されるFQDNドメイン。例: EXAMPLE.COM (EXAMPLEではない)。 | 必須 | | ホスト名とポート | ドメインコントローラーのホスト名とポート | 必須 | | ドメインID | ドメインコントローラーが使用するFQDNドメイン (例: EXAMPLEではなくEXAMPLE.COM)。 | 必須 | | SSL使用 | LDAPSを使用する場合 (デフォルトは636)、チェックを入れてください。LDAPを使用する場合 (デフォルトは389)、チェックを外してください。 | 必須 | | ネットワークをスキャン | ドメインコントローラーからCIDRをスキャンします。デフォルトは「False」です。 | 必須ではない | | ネットワークCIDR | フィールドから追加のCIDRをスキャンします。 | 必須ではない | | ポートマッピング | デフォルトの代替ポートを定義します。 | 必須ではない | ## PAM構成のPAM機能 PAM構成の「**PAM機能許可**」および「**セッション録画タイプ許可**」セクションでは、リソースのPAM構成を通じて管理されるKeeperPAM機能を有効にしたり無効にしたりできます。
フィールド説明
ローテーション有効にすると、このPAM構成で管理されている特権ユーザーのローテーションを許可します。
接続有効にすると、このPAM構成で管理されているリソースへの接続を許可します。
リモートブラウザ分離 (RBI)有効にすると、このPAM構成で管理されているリソースへのRBIセッションを許可します。
トンネル接続有効にすると、このPAM構成で管理されているリソースへのトンネル接続を許可します。
セッション録画有効にすると、すべての接続およびRBIセッションで、セッションが録画されます。
テキストセッションレコーディング (TypeScript)有効にすると、すべての接続およびRBIセッションでテキストの入力および出力ログが記録されます。
--- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.keeper.io/jp/keeperpam/privileged-access-manager/getting-started/pam-configuration.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.