編集

アクセス制御

KeeperPAMポリシーを通じてPAMリソースへのアクセスを提供

概要

KeeperPAMにおけるリソースおよび機能へのアクセスは、複数のポリシーと構成設定による多層的な制御に基づいた、堅牢なクラウドベースのアクセス制御プレーンによって管理されます。デバイスやゲートウェイには特定の権限が割り当てられ、それによってボールトから割り当てられたデータへのアクセスおよび復号が可能になります。KeeperPAMの管理権限を持つユーザーは、管理対象リソースに対して柔軟にアクセス権を割り当てることができ、組織のニーズに応じて永続的・時間制限付き・ジャストインタイム(JIT)アクセスが設定可能です。

導入の計画

KeeperPAMを活用するためには、Keeper管理コンソール内に専用のサービスアカウントユーザーを作成することを推奨します。このアカウントは、アプリケーション、共有フォルダ、ゲートウェイ、リソースおよびそれらに関連する権限とアクセス権の作成・管理を担当します。

ボルトKSMアプリケーションの共有

Keeperコマンダーおよびボルトバージョン17.3以降では、アプリケーション共有がサポートされています。これにより、複数の管理者がアプリケーションおよびゲートウェイを共有・管理できるようになります。

[シークレットマネージャー] > [アプリケーション] > [編集] に移動し、アプリケーション、デバイス、ゲートウェイの管理を必要とする管理者を選択します。

  • アプリケーション管理者: アプリケーションフォルダ、ユーザー、すべてのデバイスおよびゲートウェイの管理が可能

  • アプリケーション閲覧者: アプリケーションおよびゲートウェイの閲覧と使用が可能

アプリケーションの共有

Keeperコマンダー

Keeperコマンダー CLIおよびSDKでアプリケーションの共有および共有解除に対応しています。

詳細については、secrets-manager app shareコマンドをご参照ください。

ロール単位の強制適用ポリシー

強制適用ポリシーは、ユーザーのロールに関連付けられる全体的な権限を決定します。ロールには管理者権限を持たせることも、割り当てられたリソースの利用のみに制限することもできます。

  1. 管理コンソールで [管理者] > [ロール] に移動します。

  2. 新しいロールを作成するか、既存のロールを編集します。

  3. [強制適用ポリシー] をクリックして、[特権アクセス管理] タブに進みます。

PAMロール
KeeperPAM管理機能を持つロールの例
接続とトンネルの起動のみ可能なロールの例

管理コンソールのノード、ロール、権限について、詳しくはエンタープライズガイドをご参照ください。

PAM構成設定

PAM構成は、PAMレコードに対する「ペアレンタルコントロール」のような役割を果たします。この構成を使用するすべてのリソースに対して、特定のPAM機能を有効または無効にすることができます。

PAM構成

アプリケーションおよびデバイスのアクセス制御

管理者がアプリケーションを作成する際、そのアプリケーションに関連付けられたデバイスやゲートウェイに対して、特定の共有フォルダへのアクセス権とレコード権限を割り当てます。これにより、Keeperボルトと連携するゲートウェイやデバイスに対して、アクセスを適切に制御できます。アプリケーションとゲートウェイの両方で権限を管理することで、セキュリティがさらに強化されます。

アプリケーション権限

複数のアプリケーションを、異なる権限レベルで1つの共有フォルダに関連付けることができます。

共有フォルダに複数のアプリケーションを追加

デバイスおよびゲートウェイのIPロック

WindowsまたはLinuxベースのインストール方法で新しいデバイスやゲートウェイを作成する際、Keeperは初回アクセス時にIPロックを適用するオプションを選択できます。この追加のセキュリティ対策は、既存のデバイス認可モデルにさらに一層の保護を加えるものです。

デバイスとゲートウェイのIPロック

PAMリソースの共有と権限管理

Keeperはゼロ知識プラットフォームとして、強力な暗号化に基づいた安全な共有技術を通じて、リソース単位のアクセス制御を実現しています。リソースへのアクセスは、ポリシー (RBACやABAC) による制御に加えて、暗号化によっても保護されています。ユーザーがリソースへアクセスするには、そのリソースに対応するレコードをボルト内で復号できる必要があります。復号プロセスが完了すると、ユーザーは対象システムへのゼロトラスト接続を確立するか、あるいは単にシークレットにアクセスすることが可能になります。

Keeperボルト内では、共有フォルダでKeeperPAMで管理されるリソースへのアクセスを制御します。リソースは、他のKeeperレコードと同様に共有フォルダ内に配置することができます。

KeeperPAMプラットフォームの大きな利点の一つは、認証情報を共有相手に公開することなく、リソースへのアクセスを共有できる点です。

共有フォルダには、以下のようなPAMリソースが含まれます。

  • PAMマシン

  • PAMデータベース

  • PAMディレクトリ

  • PAMリモートブラウザ

  • PAMユーザー

最小権限の原則を確保するために、PAMユーザーを別の共有フォルダに分けて配置するようにしましょう。これにより、ユーザーやデバイスが機密情報にアクセスできる範囲を制限できます。

クイックスタートサンドボックスを起動する場合やゲートウェイウィザードを使用する場合、リソースとユーザーは自動的に別々の共有フォルダに分けて配置します。

以下のデモ環境では、DevOpsチーム (Team DevOps) にはフルアクセスを付与し、開発チーム (Team Developers) にはリソースの閲覧と使用のみに制限しています。

この事例では、「Users」フォルダへのアクセス権があるのはDevOpsチーム (Team DevOps) のみです。 開発チーム (Team Developers) はこれらの認証情報にアクセスできないよう制限されています。

PAMユーザーへのアクセスを管理

レコードレベルの権限

共有フォルダ内のリソースレベルの権限によって、メンバーはレコードの編集や共有を制限されます。ただし、閲覧のみのアクセス権しか持たないユーザーでも、そのロールで許可されている場合なら、セッションの起動などのPAM機能は使用できます。

PAMリソースのレコードレベル権限

最小権限アクセスを確保するためには、共有フォルダ内のレコードレベルの権限を「閲覧のみ」に制限することを推奨します。アプリケーションやゲートウェイの構築を担当するKeeperのサービスアカウントユーザーのみが、完全な管理権限を持つべきです。

リソースの直接共有

レコードは、個別のユーザーに対して永続的または時間制限付きで共有することができます。

個別のレコードを共有するには、[共有] をクリックし、対象のユーザーを選択します。リソースへの「閲覧のみ」アクセスを付与すると、共有相手は認証情報にアクセスすることなく、対象の接続やトンネルを起動することが可能になります。

個別リソースの共有

ユーザーには、リソースに対して永続アクセス (スタンディングアクセス) または時間制限付きアクセスを割り当てることができます。

時間制限付きアクセスで共有

チームレベルの権限

管理コンソールでは、特定のチームに割り当てられた共有フォルダを通じて提供されたレコードに対して、そのチームが編集や再共有できないよう制限をかけることができます。この設定は、あくまで特定のチームに割り当てられた共有フォルダに対してのみ適用され、環境全体にわたって一貫したアクセス制御を実現します。

チームの権限を制限

共有管理者権限

Keeperボルト内のリソースやレコードの所有権や権限の管理は、「共有管理者」権限を使って他のKeeper管理者に委任することができます。

共有管理者の権限

レコードのリンク

認証情報を含むPAMユーザーレコードは、PAMリソースに「リンク」することができます。ただし、PAMリソースのレコードを他のユーザーと共有しても、リンクされた認証情報が自動的に共有されることはありません。これにより、「閲覧のみ」のアクセス権を持つ共有相手は、実際の認証情報にアクセスすることなく、ゼロトラスト接続を起動することが可能になります。

  • リソースを「閲覧のみ」で共有されたユーザーは、そのリソースへの接続やトンネルの起動はできますが、認証情報そのものを見ることはできません。

  • Keeperのゼロトラストアーキテクチャは、認証情報を共有することなくターゲットシステムへのアクセスを可能にし、最小権限アクセスを実現します。

以下の例では、PAMデータベースが特定のユーザーsqluserにリンクされています。このアカウントを使ったデータベース接続は、実際の認証情報にアクセスできないユーザーでも利用可能です。

PAMユーザーをリソースへリンク

こちらは、秘密鍵を共有せずにLinuxマシンへのSSHアクセスを付与する例です。

鍵なしでマシンへSSHアクセス

時間制限付きアクセス

フォルダおよびレコードへのアクセスは、永続的にも時間制限付きにも設定できます。

時間制限付きアクセス

リソースへのアクセスは、特定の日時に取り消すことができます。

アクセスの取り消し

ユーザーを共有フォルダから削除するか、リソースの直接共有から削除すると、そのユーザーによるアクティブなセッションやトンネルは即座に切断されます。

共有フォルダからユーザーを削除する手順

  1. 対象の共有フォルダを選択します。

  2. 編集ボタンをクリックし、[ユーザー] タブから該当のユーザーまたはチームを削除します。

  3. [保存] をクリックします。

個別のリソースからユーザーを削除する手順

  1. 対象のレコードを選択します。

  2. [共有] をクリックします。

  3. 共有設定から該当のユーザーを削除します。

この操作により、不要なアクセスを即時に遮断し、セキュリティを保つことができます。

アクセスの削除

[すべての共有レコードからXXXを削除] を選択すると、そのユーザーのすべてのリソースへのアクセスが取り消され、アクティブなセッションやトンネルもすべて即座に終了します。

共有の失効後の自動ローテーション

PAMユーザーの認証情報を他のユーザーと共有する必要がある事例では、共有の有効期限が切れた後に認証情報を自動的にローテーションするオプションを利用できます。これにより、セキュリティを維持しながら一時的な共有が可能になります。

パスワードの失効時のローテーション
前へPAMユーザー次へジャストインタイムアクセス (JIT)

最終更新