PAMユーザー
PAMユーザーレコードタイプの詳細
概要
PAMユーザーはKeeperPAMリソースの一種で、アカウントの認証情報を表します。通常、他のリソースからリンクされて使用されます。
PAMユーザー
アカウント認証情報、IAMユーザー、パスワード、SSHキー
PAMユーザーとは
KeeperPAMユーザーレコードは、他のPAMリソース内の特定のアカウントを定義します。PAMマシン、PAMデータベース、PAMディレクトリ、PAMリモートブラウザの各レコードは、PAMユーザーにリンクされます。
機能
PAMユーザーリソースでは以下がサポートされています。
オンデマンドパスワードローテーションおよびスケジュールパスワードローテーション
特権管理自動化用PAMスクリプト
時間制限付きアクセスの共有
PAMユーザーの作成
PAMユーザーを作成する前に、PAM構成に加えてマシン、データベース、ディレクトリ、ブラウザなどのPAMリソースをまず作成しておいてください。
PAMユーザーの作成手順
[新規作成] をクリックします。
用途に応じて、[ローテーション]、[トンネル]、[コネクション] のいずれかを選択します。
ポップアップウィンドウで以下を行います。
[新しいレコード] を選択
レコードを作成する共有フォルダを選択
タイトルを入力
対象として [ユーザー] を選択
[次へ] をクリックし、必要な情報をすべて入力します。
PAMユーザーレコードタイプのフィールド
ログイン
ユーザー名。正確なコンテキストと形式は、関連するリソースによって異なります。
詳細については下の備考をご参照ください。
必須
例:
username
username@domain
DOMAIN\username
パスワード
ユーザーのパスワード
ローテーション可能
プライベートPEMキー
ユーザーに関連付けられたPEMキー
ローテーション可能
識別名
識別名。PAMディレクトリに関連付けられている場合に使用されます。
必須 (ディレクトリによってユーザーが管理されている場合にのみ)
例: CN=Jeff Smith,OU=Sales,DC=demo,DC=COM
空欄のままにした場合、プロバイダの種類に応じてデフォルトが試行されます。
管理ユーザー
AWSまたはAzure IAMシステムによって管理されるアカウント用のフラグ
Keeperディスカバリによって設定され、パスワードがローテーションできないことを示します。たとえば、AWSのトークンベース認証などです。
接続データベース
データベース名が必要な特定の状況で使用します。
特殊なケース (例: LDAPを使ってMySQLデータベースに接続する場合)
備考
ドメイン参加済みのWindowsマシンに接続する場合
ドメイン参加済みシステムでは、常にUPN形式 (user@domain.local) をご使用ください。この形式は最新の形式で、DNSに依存し、NetBIOSの問題を回避できます。
旧システムやUPNがサポートされていない混在環境では、DOMAIN\user形式をご使用ください。
ローテーション設定の構成
PAMユーザーレコードの [ローテーション設定] セクションでは、認証情報のローテーションをどのように管理するかを設定します。
パスワードローテーションの設定
ローテーションタイプ
実行するローテーションの種類 (および使用するプロトコル) を指定します。
必須 「一般」、「IAMユーザー」、「PAMスクリプトの実行のみ」。詳細については下のセクションをご覧ください。
PAMリソース
「一般」ローテーションタイプの場合、必要な権限を提供できるPAMリソースレコードを指定します。
「IAMユーザー」ローテーションタイプの場合、クラウドAPIを利用するPAM構成を指定します。
「一般」および「IAMユーザー」のローテーションタイプでのみ必須
パスワードの複雑さ
パスワードベースのローテーションに適用され、PEMキーには適用されません。
[さらに表示]をクリックして特殊文字や記号を制御します。
ローテーションタイプ
以下の3種類のローテーションタイプに対応しています。
一般 LDAP、データベース、SSHキーなどのネイティブプロトコルを使用してローテーションを実行します。
IAMユーザー AWS IAMユーザーやAzure管理リソースなど、クラウド特有のAPIを使用してローテーションを実行します。この場合、必要なのはPAM構成のみで必要な情報が含まれています。
PAMスクリプトの実行のみ 標準のローテーションをスキップし、添付されたPAMスクリプトのみを実行します。
ローテーションのスケジュールは、特定の間隔で設定するか、cron式を使用して設定できます。
PAMリソース
ローテーションの設定を完了するためには、ローテーションタイプに応じたリソースを選択する必要があります。
「一般」ローテーションの場合、Keeperゲートウェイはネイティブプロトコルを使用して必要なローテーションを実行し、指定されたPAMリソースでローテーションが実行されます。必要に応じて、PAMリソースに関連付けられた管理者の認証情報が使用されます。
以下の例では、Windowsサービスアカウントのパスワードが関連のWindowsサーバーでローテーションされます。
「IAMユーザー」ローテーションタイプの場合、Keeperゲートウェイが参照PAM構成を使用して、ローテーションを実行に使用するAPIとローテーション方法を決定します。以下の例では、AWSのIAMユーザーが「AWS (US-WEST-1)」構成を使用します。
IAMユーザーローテーションを使用する場合、Keeperゲートウェイは、インスタンスロールポリシーから特権を継承するか、PAM構成レコード内のアクセスキーを通じて特権を取得することが前提となります。
要約
PAMユーザーレコードは、ローテーションする認証情報を格納します。
PAMユーザーレコードのローテーション設定は、特定のPAMマシン、PAMデータベース、PAMディレクトリリソースを参照します。このリソースがローテーションの対象となります。
Keeperゲートウェイは、PAMマシン、PAMデータベース、PAMディレクトリリソースに関連付けられた管理者認証情報を使用して、ネイティブプロトコルでローテーションを実行します。
AWSおよびAzure管理リソースの場合、Keeperはゲートウェイのインスタンスロール権限や、PAM構成のシークレットを使用してAPIでローテーションを実行します。
例
以下はPAMユーザーレコードの例となります。
Windowsドメイン管理者
Windowsドメインユーザーとポストローテーションスクリプト
AWS IAMユーザー
データベースユーザー
Azure ADユーザー
最終更新