# Azure仮想マシンの例

## 概要

本ページでは、Keeperボルト内でAzureのWindows仮想マシンをPAMマシンレコードとして構成する方法について取り扱います。

## 要件

まず以下を確認してください。

1. [Keeperゲートウェイがインストール済みで、設定済み](https://docs.keeper.io/jp/keeperpam/secrets-manager/about/one-time-token)であること
2. 対象の環境向けに[PAM構成](https://docs.keeper.io/keeperpam/privileged-access-manager/getting-started/pam-configuration)が設定されていること

## PAMマシンレコード

Azure仮想マシンなどのマシンは、PAMマシンレコードタイプで構成できます。

### PAMマシンの作成

PAMマシンの作成手順

1. **\[新規作成]** をクリックします。
2. 用途に応じて、**\[ローテーション]**、**\[トンネル]**、**\[コネクション]** のいずれかを選択します。
3. ポップアップウィンドウで以下を行います。
   1. **\[新しいレコード]** を選択
   2. レコードを作成する共有フォルダを選択
   3. タイトルを入力
   4. 対象として **\[マシン]** を選択
4. **\[次へ]** をクリックし、必要な情報をすべて入力します。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2F7OiuNg2XreldMJxC5Khz%2Fimage.png?alt=media&#x26;token=7f3e60f9-acba-4951-a53a-d78f9b9fc739" alt=""><figcaption></figcaption></figure>

### PAMマシンレコードにWindowsマシンを構成

Azure仮想マシン (ホスト名: 10.0.1.4) があると仮定します。以下の表は、構成可能なフィールドとそれぞれの値が記載されています。

<table><thead><tr><th width="230">フィールド</th><th width="253">説明</th><th>値</th></tr></thead><tbody><tr><td>タイトル (必須)</td><td>PAMマシンレコードの名前</td><td><code>Windows VM</code></td></tr><tr><td>ホスト名またはIPアドレス (必須)</td><td>マシンリソースのアドレス、RDPエンドポイント、サーバー名</td><td><code>10.0.1.4</code></td></tr><tr><td>ポート (必須)</td><td>ローテーション用にAzure VMへ接続するためのポート。SSHは22、WinRMは5986。</td><td>5986</td></tr><tr><td>オペレーティングシステム</td><td>対象のオペレーティングシステム</td><td><code>Windows</code></td></tr><tr><td>インスタンス名</td><td>AzureまたはAWSのインスタンス名</td><td><strong>必須</strong> (AWS/Azureマシンの場合)</td></tr><tr><td>インスタンスID</td><td>AzureまたはAWSのインスタンスID</td><td><strong>必須</strong> (AWS/Azureマシンの場合)</td></tr><tr><td>プロバイダグループ</td><td>AzureまたはAWSのプロバイダグループ</td><td><strong>必須</strong> (マネージドAzureマシンの場合)</td></tr><tr><td>プロバイダリージョン</td><td>AzureまたはAWSのプロバイダリージョン</td><td><strong>必須</strong> (マネージドAWSマシンの場合)</td></tr></tbody></table>

### PAMマシンにPAM設定を構成

レコードの「PAM設定」セクションでは、KeeperPAMの接続およびトンネル設定を構成し、PAMユーザー認証情報をリンクしてローテーションや接続を実行できます。トンネルにはリンクされた認証情報は必要ありません。以下は、Azure仮想マシンの構成可能なフィールドとそれぞれの値となります。

<table><thead><tr><th>フィールド</th><th width="235">説明</th><th>必須か否か</th></tr></thead><tbody><tr><td>PAM構成</td><td>環境を定義する関連PAM構成レコード</td><td><strong>必須</strong><br>要件で作成したPAM構成です。</td></tr><tr><td>管理者認証情報レコード</td><td>接続および管理操作に使用されるリンクされたPAMユーザーの認証情報</td><td><strong>必須</strong><br>詳しくはこちらの項目をご参照ください。</td></tr><tr><td>プロトコル</td><td>ゲートウェイから対象への接続に使用するネイティブプロトコル</td><td><strong>必須</strong> (例: RDP)</td></tr><tr><td>セッションレコーディング</td><td>録画かタイプスクリプトのオプション</td><td><a href="https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/privileged-access-manager/session-recording-and-playback/README.md">こちらのページ</a>をご参照ください。</td></tr><tr><td>接続パラメータ</td><td>プロトコルの種類に基づいて異なる接続固有のプロトコル設定</td><td><p><a href="https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/privileged-access-manager/connections/session-protocols/rdp-connections/README.md">こちらのページ</a>をご参照ください。<br></p><p>最低でも接続ポートの指定を推奨します (例: RDPの場合は「3389」)。</p></td></tr></tbody></table>

### 管理者認証情報レコード

PAMマシンの**管理者認証情報レコード**により、管理者ユーザーをボルト内のPAMマシンレコードにリンクします。この管理者ユーザーは、パスワードのローテーションや接続の認証に使用されます。

ユーザーアカウントはPAMユーザーレコードで構成できます。PAMユーザーに関して詳しくは、こちらのページをご参照ください。

#### 管理者ではないユーザーを管理者認証情報レコードとして設定

管理者認証情報を使用して接続を認証しない場合は、リソースの通常ユーザーを管理者認証情報として指定することもできます。

## PAMマシンレコードの共有

PAMマシンレコードは、組織内の他のKeeperユーザーと共有できます。ただし、受信者はKeeperPAM機能を共有されたPAMレコードで使用するために、[適切なPAM関連ポリシーが適用](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/getting-started/enforcement-policies)されている必要があります。

PAMマシンレコードを共有する際、リンクされている管理者認証情報は共有されません。たとえば、PAMマシンがLinuxマシンとして構成されている場合、受信者はPAMマシンレコード上のLinuxマシンに接続できますが、リンクされている認証情報へは直接アクセスできません。

* 詳細については、[アクセス制御](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/getting-started/sharing-and-access-control)のページをご参照ください。