PAMユーザー

PAMユーザーレコードタイプの詳細

概要

PAMユーザーはKeeperPAMリソースの一種で、アカウントの認証情報を表します。通常、他のリソースからリンクされて使用されます。

PAMレコードタイプ
対応アセット

PAMユーザー

アカウント認証情報、IAMユーザー、パスワード、SSHキー

PAMユーザーとは

KeeperPAMユーザーレコードは、他のPAMリソース内の特定のアカウントを定義します。PAMマシン、PAMデータベース、PAMディレクトリ、PAMリモートブラウザの各レコードは、PAMユーザーにリンクされます。

機能

PAMユーザーリソースでは以下がサポートされています。

  • オンデマンドパスワードローテーションおよびスケジュールパスワードローテーション

  • 特権管理自動化用PAMスクリプト

  • 時間制限付きアクセスの共有

PAMユーザーの作成

PAMユーザーを作成する前に、PAM構成に加えてマシン、データベース、ディレクトリ、ブラウザなどのPAMリソースをまず作成しておいてください。

PAMユーザーの作成手順

  1. [新規作成] をクリックします。

  2. 用途に応じて、[ローテーション][トンネル][コネクション] のいずれかを選択します。

  3. ポップアップウィンドウで以下を行います。

    1. [新しいレコード] を選択

    2. レコードを作成する共有フォルダを選択

    3. タイトルを入力

    4. 対象として [ユーザー] を選択

  4. [次へ] をクリックし、必要な情報をすべて入力します。

PAMユーザーの作成

PAMユーザーレコードタイプのフィールド

フィールド
説明
備考

ログイン

ユーザー名。正確なコンテキストと形式は、関連するリソースによって異なります。

詳細については下の備考をご参照ください。

必須 例: username username@domain DOMAIN\username

パスワード

ユーザーのパスワード

ローテーション可能

プライベートPEMキー

ユーザーに関連付けられたPEMキー

ローテーション可能

識別名

識別名。PAMディレクトリに関連付けられている場合に使用されます。

必須 (ディレクトリによってユーザーが管理されている場合にのみ)

例: CN=Jeff Smith,OU=Sales,DC=demo,DC=COM

空欄のままにした場合、プロバイダの種類に応じてデフォルトが試行されます。

管理ユーザー

AWSまたはAzure IAMシステムによって管理されるアカウント用のフラグ

Keeperディスカバリによって設定され、パスワードがローテーションできないことを示します。たとえば、AWSのトークンベース認証などです。

接続データベース

データベース名が必要な特定の状況で使用します。

特殊なケース (例: LDAPを使ってMySQLデータベースに接続する場合)

備考

ドメイン参加済みのWindowsマシンに接続する場合

  • ドメイン参加済みシステムでは、常にUPN形式 (user@domain.local) をご使用ください。この形式は最新の形式で、DNSに依存し、NetBIOSの問題を回避できます。

  • 旧システムやUPNがサポートされていない混在環境では、DOMAIN\user形式をご使用ください。

ローテーション設定の構成

PAMユーザーレコードの [ローテーション設定] セクションでは、認証情報のローテーションをどのように管理するかを設定します。

PAMユーザーレコードの編集

パスワードローテーションの設定

フィールド
説明
必須か否か

ローテーションタイプ

実行するローテーションの種類 (および使用するプロトコル) を指定します。

必須 「一般」、「IAMユーザー」、「PAMスクリプトの実行のみ」。詳細については下のセクションをご覧ください。

PAMリソース

「一般」ローテーションタイプの場合、必要な権限を提供できるPAMリソースレコードを指定します。

「IAMユーザー」ローテーションタイプの場合、クラウドAPIを利用するPAM構成を指定します。

「一般」および「IAMユーザー」のローテーションタイプでのみ必須

ローテーションスケジュール

ローテーションは、オンデマンドまたは特定のスケジュールで実行できます。

高度なスケジュール機能についてはcron式のページをご参照ください。

パスワードの複雑さ

パスワードベースのローテーションに適用され、PEMキーには適用されません。

[さらに表示]をクリックして特殊文字や記号を制御します。

ローテーションタイプ

以下の3種類のローテーションタイプに対応しています。

  • 一般 LDAP、データベース、SSHキーなどのネイティブプロトコルを使用してローテーションを実行します。

  • IAMユーザー AWS IAMユーザーやAzure管理リソースなど、クラウド特有のAPIを使用してローテーションを実行します。この場合、必要なのはPAM構成のみで必要な情報が含まれています。

  • PAMスクリプトの実行のみ 標準のローテーションをスキップし、添付されたPAMスクリプトのみを実行します。

パスワードローテーションの設定

ローテーションのスケジュールは、特定の間隔で設定するか、cron式を使用して設定できます。

カスタムスケジュール
カレンダー設定
Cron式

PAMリソース

ローテーションの設定を完了するためには、ローテーションタイプに応じたリソースを選択する必要があります。

「一般」ローテーションの場合、Keeperゲートウェイはネイティブプロトコルを使用して必要なローテーションを実行し、指定されたPAMリソースでローテーションが実行されます。必要に応じて、PAMリソースに関連付けられた管理者の認証情報が使用されます。

以下の例では、Windowsサービスアカウントのパスワードが関連のWindowsサーバーでローテーションされます。

ローテーションリソース

「IAMユーザー」ローテーションタイプの場合、Keeperゲートウェイが参照PAM構成を使用して、ローテーションを実行に使用するAPIとローテーション方法を決定します。以下の例では、AWSのIAMユーザーが「AWS (US-WEST-1)」構成を使用します。

IAMユーザーローテーションを使用する場合、Keeperゲートウェイは、インスタンスロールポリシーから特権を継承するか、PAM構成レコード内のアクセスキーを通じて特権を取得することが前提となります。

lAMユーザーローテーション

要約

  • PAMユーザーレコードは、ローテーションする認証情報を格納します。

  • PAMユーザーレコードのローテーション設定は、特定のPAMマシン、PAMデータベース、PAMディレクトリリソースを参照します。このリソースがローテーションの対象となります。

  • Keeperゲートウェイは、PAMマシン、PAMデータベース、PAMディレクトリリソースに関連付けられた管理者認証情報を使用して、ネイティブプロトコルでローテーションを実行します。

  • AWSおよびAzure管理リソースの場合、Keeperはゲートウェイのインスタンスロール権限や、PAM構成のシークレットを使用してAPIでローテーションを実行します。

以下はPAMユーザーレコードの例となります。

  • Windowsドメイン管理者

Windowsドメイン管理者ユーザー
  • Windowsドメインユーザーとポストローテーションスクリプト

Windowsドメインユーザーとポストローテーションスクリプト
  • AWS IAMユーザー

AWS IAMユーザー
  • データベースユーザー

データベースユーザー
  • Azure ADユーザー

Azure ADユーザー

最終更新