# ローテーションの概要

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FaOlJw4JBKbSrLvhN5HbP%2Fimage.png?alt=media&#x26;token=bf27ea15-6acd-4233-bb23-cd328115ea2b" alt=""><figcaption></figcaption></figure>

## 要件

KeeperPAMを使用するには、ライセンスが必要です。ライセンスは、ビジネスおよびエンタープライズのお客様にご利用いただけます。

* [KeeperPAMホームページ](https://www.keepersecurity.com/ja_JP/privileged-access-management/)
* [デモを申し込む](https://www.keepersecurity.com/ja_JP/contact.html?t=b\&r=sales)
* [サポートにお問い合わせ](https://www.keepersecurity.com/ja_JP/support.html)

パスワードローテーションの設定を行う前に、以下を行います。

* KeeperPAMの[「はじめに」のページ](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/getting-started)をお読みください。
* [強制適用ポリシーを有効にします。](#porish)
* [Keeperゲートウェイを展開します。](#keepergtoweino)
* [PAMユーザーレコードを作成します。](#pamyzrekdono)
* [PAMリソースを作成します。](#pamrissuno)
* [ローテーション設定を構成します。](#rtshonno)

## 強制適用ポリシー

KeeperPAMパスワードローテーション関連の強制適用ポリシーについては、Keeper管理コンソールの **\[管理者]** > **\[ロール]** > **\[強制適用ポリシー]** > **\[特権アクセス管理]** 画面にて管理します。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FaS3x7F27GBkTFHfz2PK1%2Fimage.png?alt=media&#x26;token=5f37ddc1-e6f1-450d-ad5e-a0b56c660e8b" alt=""><figcaption><p>KeeperPAM強制適用ポリシー</p></figcaption></figure>

以下は、パスワードローテーション機能に関連したポリシーとなります。

<table><thead><tr><th>ポリシー</th><th>コマンダーによる適用</th><th>説明</th></tr></thead><tbody><tr><td>アプリケーションの作成およびシークレットの管理</td><td><pre><code>ALLOW_SECRETS_MANAGER
</code></pre></td><td>シークレットマネージャーアプリケーションを作成できるようにします。</td></tr><tr><td>Keeperゲートウェイを作成、デプロイ、管理</td><td><pre><code>ALLOW_PAM_GATEWAY
</code></pre></td><td>Keeperゲートウェイを展開および管理できるようにします。</td></tr><tr><td>ローテーション構成を設定</td><td><pre><code>ALLOW_PAM_ROTATION
</code></pre></td><td>PAMユーザーレコードでローテーションを設定できるようにします。</td></tr><tr><td>ローテーション構成を設定 (レガシー設定)</td><td><pre><code>ALLOW_CONFIGURE_ROTATION_SETTINGS
</code></pre></td><td><code>ALLOW_PAM_ROTATION</code>と同じ設定にする必要があります。</td></tr><tr><td>認証情報をローテーション</td><td><pre><code>ALLOW_ROTATE_CREDENTIALS
</code></pre></td><td>すべてのユーザーがパスワードローテーションを実行できるようにします。</td></tr></tbody></table>

KeeperコマンダーCLIでも`enterprise-role`コマンドを使用してローテーションを有効にできます。

```
enterprise-role "Keeper Administrator" --enforcement "ALLOW_SECRETS_MANAGER":true
enterprise-role "Keeper Administrator" --enforcement "ALLOW_PAM_GATEWAY":true
enterprise-role "Keeper Administrator" --enforcement "ALLOW_PAM_ROTATION":true
enterprise-role "Keeper Administrator" --enforcement "ALLOW_CONFIGURE_ROTATION_SETTINGS":true
enterprise-role "Keeper Administrator" --enforcement "ALLOW_ROTATE_CREDENTIALS":true
```

## Keeperゲートウェイの展開

まだKeeperゲートウェイを作成されていない場合は、ウェブボルトまたはデスクトップアプリ (バージョン17.1以降) から **\[新規作成]** > **\[ゲートウェイ]** をクリックして新しいゲートウェイを作成します。また、手軽にサンドボックス環境を作成する方法について記載したページもご用意しています。

* [クイックスタート (サンドボックス)](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/quick-start-sandbox)

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FId7A41UP6OSxUSjLHtBE%2Fimage.png?alt=media&#x26;token=afaddc01-fea2-4592-b5ab-9e69f678904b" alt=""><figcaption></figcaption></figure>

## アプリケーションの作成

**\[新規作成]** > **\[ゲートウェイ]** からゲートウェイを作成すると、自動的にシークレットマネージャーアプリケーション、共有フォルダ、PAM構成が作成されます。ボルトの **\[シークレットマネージャー]** 画面で、アプリケーションが共有フォルダに割り当てられ、ゲートウェイにも割り当てられているのが確認できます。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FjXcIJlXakYc5llUVThGr%2Fimage.png?alt=media&#x26;token=0126adad-ea0a-4106-97b1-1cfd62cc1ccf" alt=""><figcaption><p>アプリケーションのセットアップ</p></figcaption></figure>

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FeROLi3F8szztiWEGhhbp%2Fimage.png?alt=media&#x26;token=b9844014-5735-4554-9de7-4531e4e885e2" alt=""><figcaption><p>ゲートウェイに関連つけられたアプリケーション</p></figcaption></figure>

## PAMユーザーレコードの作成

PAMユーザーレコードには、特権アカウントの認証情報、パスワード、秘密鍵を格納します。PAMユーザーの作成手順については、[こちらのページ](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/getting-started/pam-resources/pam-user)をご参照ください。以下の例は、Windowsサーバーの管理者パスワードに関するPAMユーザーレコードとなります。PAMユーザーレコードは、ユーザーアカウントが含まれている共有フォルダに追加されます。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FZJ32a5SCW3AMJVgb1T89%2Fimage.png?alt=media&#x26;token=0bef6fdb-a078-49a5-b145-a97013ee549c" alt=""><figcaption><p>PAMユーザーレコードの作成</p></figcaption></figure>

## PAMリソースの作成

PAMリソースは、マシン、データベース、ディレクトリを表します。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2F8iUwsw15zpg5rguM49lz%2Fimage.png?alt=media&#x26;token=f6d9cbc4-9b57-4519-a13d-91dbdb44256f" alt=""><figcaption><p>マシン、データベース、ディレクトリの新規作成</p></figcaption></figure>

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FtXxQGWm1jeCz77IHYfoG%2Fimage.png?alt=media&#x26;token=152ac6d1-0c3d-41a5-ab99-cf2ad9b7d497" alt=""><figcaption></figcaption></figure>

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FwpZYxnx7sCeaPOOx9Lcv%2Fimage.png?alt=media&#x26;token=71345dd1-03c6-4ac7-a799-9419d4ff171b" alt=""><figcaption></figcaption></figure>

## ローテーション設定の構成

PAMユーザーレコードの **\[ローテーション設定]** セクションでは、認証情報のローテーションをどのように管理するかを設定します。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2F7ghcbqFNmq9tAw3ByVtv%2Fimage.png?alt=media&#x26;token=e52e81b5-fb59-4bf9-805a-0f71641b036e" alt=""><figcaption><p>PAMユーザーレコードの編集</p></figcaption></figure>

## パスワードローテーションの設定

<table><thead><tr><th>フィールド</th><th width="235">説明</th><th>必須か否か</th></tr></thead><tbody><tr><td>ローテーションタイプ</td><td>実行するローテーションの種類 (および使用するプロトコル) を指定します。</td><td><strong>必須</strong><br><br>「一般」、「IAMユーザー」、「PAMスクリプトの実行のみ」。詳細については下のセクションをご覧ください。</td></tr><tr><td>PAMリソース</td><td><p>「一般」ローテーションタイプの場合、必要な権限を提供できるPAMリソースレコードを指定します。</p><p>「IAMユーザー」ローテーションタイプの場合、クラウドAPIを利用するPAM構成を指定します。</p></td><td>「一般」および「IAMユーザー」のローテーションタイプでのみ<strong>必須</strong></td></tr><tr><td>ローテーションスケジュール</td><td>ローテーションは、オンデマンドまたは特定のスケジュールで実行できます。</td><td>高度なスケジュール機能については<a href="../references/cron-spec">cron式のページ</a>をご参照ください。</td></tr><tr><td>パスワードの複雑さ</td><td>パスワードベースのローテーションに適用され、PEMキーには適用されません。</td><td>[さらに表示]をクリックして特殊文字や記号を制御します。</td></tr></tbody></table>

## ローテーションタイプ

以下の3種類のローテーションタイプに対応しています。

* **一般**\
  LDAP、データベース、SSHキーなどのネイティブプロトコルを使用してローテーションを実行します。
* **IAMユーザー**\
  AWS IAMユーザーやAzure管理リソースなど、クラウド特有のAPIを使用してローテーションを実行します。この場合、必要なのはPAM構成のみで必要な情報が含まれています。
* **PAMスクリプトの実行のみ**\
  標準のローテーションをスキップし、添付されたPAMスクリプトのみを実行します。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FiwpYlPrMYM8UVPZhfupD%2Fimage.png?alt=media&#x26;token=27f980f6-af88-450b-b672-1b58dd25430e" alt=""><figcaption><p>パスワードローテーションの設定</p></figcaption></figure>

ローテーションのスケジュールは、特定の間隔で設定するか、cron式を使用して設定できます。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FTHr1agpRLpAgqKgqvKCQ%2Fimage.png?alt=media&#x26;token=9d7d567f-5a47-468f-a786-991c2c5a5ae9" alt=""><figcaption><p>カスタムスケジュール</p></figcaption></figure>

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FElxbFPPvenPu8HGxXPvd%2Fimage.png?alt=media&#x26;token=58577c6a-4548-403a-bf26-b38dcc63649f" alt=""><figcaption><p>カレンダー設定</p></figcaption></figure>

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2F075lK0UkM8ebtGbUiom6%2Fimage.png?alt=media&#x26;token=e55c7eb1-13ba-4709-91f5-581e67c50c46" alt=""><figcaption><p>Cron式</p></figcaption></figure>

## PAMリソース

ローテーションの設定を完了するためには、ローテーションタイプに応じたリソースを選択する必要があります。

「一般」ローテーションの場合、Keeperゲートウェイはネイティブプロトコルを使用して必要なローテーションを実行し、指定されたPAMリソースでローテーションが実行されます。必要に応じて、PAMリソースに関連付けられた管理者の認証情報が使用されます。

以下の例では、Windowsサービスアカウントのパスワードが関連のWindowsサーバーでローテーションされます。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FDklXHVXbZuoC3sy7W8iD%2Fimage.png?alt=media&#x26;token=821a27b1-3e8e-45d3-9e9b-a6da4415d714" alt=""><figcaption><p>ローテーションリソース</p></figcaption></figure>

「IAMユーザー」ローテーションタイプの場合、Keeperゲートウェイが参照PAM構成を使用して、ローテーションを実行に使用するAPIとローテーション方法を決定します。以下の例では、AWSのIAMユーザーが「AWS (US-WEST-1)」構成を使用します。

IAMユーザーローテーションを使用する場合、Keeperゲートウェイは、インスタンスロールポリシーから特権を継承するか、PAM構成レコード内のアクセスキーを通じて特権を取得することが前提となります。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FhCrm3cpBnLmgiKLdoSx3%2Fimage.png?alt=media&#x26;token=f9a27873-44eb-4a2b-a314-7d72228bfb2c" alt=""><figcaption><p>lAMユーザーローテーション</p></figcaption></figure>

## 要約

* PAMユーザーレコードは、ローテーションする認証情報を格納します。
* PAMユーザーレコードのローテーション設定は、特定のPAMマシン、PAMデータベース、PAMディレクトリリソースを参照します。このリソースがローテーションの対象となります。
* Keeperゲートウェイは、PAMマシン、PAMデータベース、PAMディレクトリリソースに関連付けられた管理者認証情報を使用して、ネイティブプロトコルでローテーションを実行します。
* AWSおよびAzure管理リソースの場合、Keeperはゲートウェイのインスタンスロール権限や、PAM構成のシークレットを使用してAPIでローテーションを実行します。

## 例

以下はPAMユーザーレコードの例となります。

* Windowsドメイン管理者

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FI3hrCvPQT4cJ6n8TUFuY%2Fimage.png?alt=media&#x26;token=edef632d-ec1f-4875-9816-9087e916c1f1" alt=""><figcaption><p>Windowsドメイン管理者ユーザー</p></figcaption></figure>

* Windowsドメインユーザーとポストローテーションスクリプト

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FX4014cpy9bziQft4EOqM%2Fimage.png?alt=media&#x26;token=ddee7054-d829-4596-98fe-64401acf8888" alt=""><figcaption><p>Windowsドメインユーザーとポストローテーションスクリプト</p></figcaption></figure>

* AWS IAMユーザー

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2Fd8DmCAe9wgPw7vAJ8tZD%2Fimage.png?alt=media&#x26;token=7bad69db-3ad9-47a7-91f6-ebea6ccba1cc" alt=""><figcaption><p>AWS IAMユーザー</p></figcaption></figure>

* データベースユーザー

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2Fmr4riXcrCvomWmm2HgLN%2Fimage.png?alt=media&#x26;token=70f64a6e-0319-404e-a752-7d7844ecd6b6" alt=""><figcaption><p>データベースユーザー</p></figcaption></figure>

* Azure ADユーザー

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FpxWtCFKBZ0K0F3N6lvtB%2Fimage.png?alt=media&#x26;token=3e95e09f-8745-4935-9e32-4610afe7acdb" alt=""><figcaption><p>Azure ADユーザー</p></figcaption></figure>

## ローテーション用のレコードタイプ

認証情報のローテーションは、[PAMユーザー](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/getting-started/pam-resources/pam-user)レコードタイプに制限されています。

{% hint style="info" %}
以前のバージョンのKeeperでは、PAMマシン、PAMデータベース、PAMディレクトリのレコードでもローテーションは可能でしたが、最新バージョンのKeeperPAMでは、PAMリソースとPAMユーザーを分けて管理する必要があります。詳細については、[レコードリンク](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/getting-started/record-linking)のページをご参照ください。
{% endhint %}

KeeperシークレットマネージャーまたはKeeperPAMを有効にすると、以下のレコードタイプが利用できるようになります。

* **PAMユーザー**\
  ユーザーIDとパスワード、秘密鍵、またはその両方を格納。
* **PAMディレクトリ**\
  オンプレミスまたはクラウドベースのディレクトリに関する情報。
* **PAMデータベース**\
  セルフホスト型またはクラウドベースのデータベース (MySQL、SQL Serverなど)。
* **PAMマシン**\
  オンプレミスまたはクラウド上のWindows、Linux、macOSマシン。
* **PAMリモートブラウザ**\
  ウェブベースのアプリケーションを保護するためのリモートブラウザ分離。

これらの5つのレコードタイプは、ボルトに追加し、フォルダに配置し、他のKeeperレコードと同様に共有できます。詳細については、[PAMリソース](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/getting-started/pam-resources)のページをご参照ください。

## PAM構成

ローテーションが有効になると、ボルトのシークレットマネージャー画面に「PAM構成」というセクションが表示されます。PAM構成は、以下の要素を含むオブジェクトです。

* **環境**\
  ローカルネットワーク、AWS、Azure。
* **Keeperゲートウェイ**\
  オンプレミスまたはクラウドインフラストラクチャにインストールするサービス。
* **アプリケーションフォルダ**\
  シークレットマネージャーアプリケーションと関連するレコードを含む共有フォルダ。
* **管理者認証情報**\
  ローテーションとディスカバリを実行するための特権認証情報を含むKeeperレコード。

任意の数のPAM構成、アプリケーション、ゲートウェイをご利用になれます。\
詳細については、[PAM構成](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/getting-started/pam-configuration)、[アプリケーション](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/getting-started/applications)、[ゲートウェイ](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/getting-started/gateways)の各ページをご覧ください。

## パスワードのローテーション方法

1. PAMユーザーレコードを共有フォルダに追加します。
2. PAMリソース (マシン、データベース、ディレクトリ) レコードを共有フォルダに追加します。
3. 各PAMユーザーレコードにローテーション設定を構成します。
4. シークレットマネージャーアプリケーションを作成します。
5. シークレットマネージャーアプリケーションを共有フォルダに割り当てます。
6. PAMユーザーが含まれる共有フォルダの権限を\[読み取り専用]から\[編集]に変更します。
7. [Keeperゲートウェイ](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/getting-started/gateways)をシークレットマネージャーアプリケーションに追加します。
8. すべてを統合する[PAM構成](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/getting-started/pam-configuration)を作成します。
9. [PAMユーザー](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/getting-started/pam-resources/pam-user)レコードにローテーション設定を割り当てます。

## Keeperコマンダーでのローテーション

Keeper[コマンダー](https://docs.keeper.io/jp/keeperpam/commander-cli/overview)では以下のコマンドでローテーション機能の自動化に対応しています。

* [`pam action rotate`](https://docs.keeper.io/jp/keeperpam/commander-cli/command-reference/keeperpam-commands)
* [`pam action job-info`](https://docs.keeper.io/jp/keeperpam/commander-cli/command-reference/keeperpam-commands)

**例**

```
bashCopyEditMy Vault> pam action rotate -r 5NaygwI4LK1BDZmH3Ib
Scheduled action id: MfKbPR3ac6A/oBDZpctpOg==

My Vault> pam action job-info MfKbPR3ac6A/oBDZpctpOg== -g QPkRsR8KQm6_4vnHTcofZA
Job id to check [MfKbPR3ac6A/oBDZpctpOg==]
Execution Details
-------------------------
	Status              : finished
	Duration            : 0:00:17.525641
	Response Message    : Rotation completed for record uid 5NaygwI4LK1BDZmH3Ib
My Vault>
```

## サービスおよびスケジュールタスク

Keeperローテーションにより、Windowsサービスアカウントとスケジュールタスクの「log on」認証情報も更新できます。詳細については[サービス管理](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/password-rotation/service-management)のページをご覧ください。

## レコードインポート

JSON形式からの一括インポートに対応しています。詳細については、[PAMリソースのインポート](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/references/importing-pam-resources)のページをご参照ください。


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.keeper.io/jp/keeperpam/privileged-access-manager/password-rotation/rotation-overview.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.