ローテーションの概要
Keeperパスワードローテーションのクイックスタートガイド
最終更新
KeeperPAMとシークレットマネージャー
Keeperパスワードローテーションのクイックスタートガイド
最終更新
パスワードローテーションの設定を行う前に、以下を行います。
KeeperPAMの「はじめに」のページをお読みください。
KeeperPAMパスワードローテーション関連の強制適用ポリシーについては、Keeper管理コンソールの[管理者] > [ロール] > [強制適用ポリシー] > [特権アクセス管理]画面にて管理します。
以下は、パスワードローテーション機能に関連したポリシーとなります。
アプリケーションの作成およびシークレットの管理
シークレットマネージャーアプリケーションを作成できるようにします。
Keeperゲートウェイを作成、デプロイ、管理
Keeperゲートウェイを展開および管理できるようにします。
ローテーション構成を設定
PAMユーザーレコードでローテーションを設定できるようにします。
ローテーション構成を設定 (レガシー設定)
ALLOW_PAM_ROTATIONと同じ設定にする必要があります。
認証情報をローテーション
すべてのユーザーがパスワードローテーションを実行できるようにします。
KeeperコマンダーCLIでもenterprise-roleコマンドを使用してローテーションを有効にできます。
まだKeeperゲートウェイを作成されていない場合は、ウェブボルトまたはデスクトップアプリ (バージョン17.1以降) から[新規作成] > [ゲートウェイ]をクリックして新しいゲートウェイを作成します。また、手軽にサンドボックス環境を作成する方法について記載したページもご用意しています。
[新規作成] > [ゲートウェイ]からゲートウェイを作成すると、自動的にシークレットマネージャーアプリケーション、共有フォルダ、PAM構成が作成されます。ボルトの[シークレットマネージャー]画面で、アプリケーションが共有フォルダに割り当てられ、ゲートウェイにも割り当てられているのが確認できます。
PAMユーザーレコードには、特権アカウントの認証情報、パスワード、秘密鍵を格納します。PAMユーザーの作成手順については、こちらのページをご参照ください。以下の例は、Windowsサーバーの管理者パスワードに関するPAMユーザーレコードとなります。PAMユーザーレコードは、ユーザーアカウントが含まれている共有フォルダに追加されます。
PAMリソースは、マシン、データベース、ディレクトリを表します。
認証情報のローテーションは、PAMユーザーレコードタイプに制限されています。
KeeperシークレットマネージャーまたはKeeperPAMを有効にすると、以下のレコードタイプが利用できるようになります。
PAMユーザー ユーザーIDとパスワード、秘密鍵、またはその両方を格納。
PAMディレクトリ オンプレミスまたはクラウドベースのディレクトリに関する情報。
PAMデータベース セルフホスト型またはクラウドベースのデータベース (MySQL、SQL Serverなど)。
PAMマシン オンプレミスまたはクラウド上のWindows、Linux、macOSマシン。
PAMリモートブラウザ ウェブベースのアプリケーションを保護するためのリモートブラウザ分離。
これらの5つのレコードタイプは、ボルトに追加し、フォルダに配置し、他のKeeperレコードと同様に共有できます。詳細については、PAMリソースのページをご参照ください。
ローテーションが有効になると、ボルトのシークレットマネージャー画面に「PAM構成」というセクションが表示されます。PAM構成は、以下の要素を含むオブジェクトです。
環境 ローカルネットワーク、AWS、Azure。
Keeperゲートウェイ オンプレミスまたはクラウドインフラストラクチャにインストールするサービス。
アプリケーションフォルダ シークレットマネージャーアプリケーションと関連するレコードを含む共有フォルダ。
管理者認証情報 ローテーションとディスカバリを実行するための特権認証情報を含むKeeperレコード。
任意の数のPAM構成、アプリケーション、ゲートウェイをご利用になれます。 詳細については、PAM構成、アプリケーション、ゲートウェイの各ページをご覧ください。
PAMユーザーレコードを共有フォルダに追加します。
PAMリソース (マシン、データベース、ディレクトリ) レコードを共有フォルダに追加します。
各PAMユーザーレコードにローテーション設定を構成します。
シークレットマネージャーアプリケーションを作成します。
シークレットマネージャーアプリケーションを共有フォルダに割り当てます。
PAMユーザーが含まれる共有フォルダの権限を[読み取り専用]から[編集]に変更します。
Keeperゲートウェイをシークレットマネージャーアプリケーションに追加します。
すべてを統合するPAM構成を作成します。
PAMユーザーレコードにローテーション設定を割り当てます。
Keeperコマンダーでは以下のコマンドでローテーション機能の自動化に対応しています。
例
Keeperローテーションにより、Windowsサービスアカウントとスケジュールタスクの「log on」認証情報も更新できます。詳細についてはサービス管理のページをご覧ください。
JSON形式からの一括インポートに対応しています。詳細については、PAMレコードのインポートのページをご参照ください。
PAMユーザーレコードの [ローテーション設定] セクションでは、認証情報のローテーションをどのように管理するかを設定します。
ローテーションタイプ
実行するローテーションの種類 (および使用するプロトコル) を指定します。
必須 「一般」、「IAMユーザー」、「PAMスクリプトの実行のみ」。詳細については下のセクションをご覧ください。
PAMリソース
「一般」ローテーションタイプの場合、必要な権限を提供できるPAMリソースレコードを指定します。
「IAMユーザー」ローテーションタイプの場合、クラウドAPIを利用するPAM構成を指定します。
「一般」および「IAMユーザー」のローテーションタイプでのみ必須
ローテーションスケジュール
ローテーションは、オンデマンドまたは特定のスケジュールで実行できます。
パスワードの複雑さ
パスワードベースのローテーションに適用され、PEMキーには適用されません。
[さらに表示]をクリックして特殊文字や記号を制御します。
以下の3種類のローテーションタイプに対応しています。
一般 LDAP、データベース、SSHキーなどのネイティブプロトコルを使用してローテーションを実行します。
IAMユーザー AWS IAMユーザーやAzure管理リソースなど、クラウド特有のAPIを使用してローテーションを実行します。この場合、必要なのはPAM構成のみで必要な情報が含まれています。
PAMスクリプトの実行のみ 標準のローテーションをスキップし、添付されたPAMスクリプトのみを実行します。
ローテーションのスケジュールは、特定の間隔で設定するか、cron式を使用して設定できます。
ローテーションの設定を完了するためには、ローテーションタイプに応じたリソースを選択する必要があります。
「一般」ローテーションの場合、Keeperゲートウェイはネイティブプロトコルを使用して必要なローテーションを実行し、指定されたPAMリソースでローテーションが実行されます。必要に応じて、PAMリソースに関連付けられた管理者の認証情報が使用されます。
以下の例では、Windowsサービスアカウントのパスワードが関連のWindowsサーバーでローテーションされます。
「IAMユーザー」ローテーションタイプの場合、Keeperゲートウェイが参照PAM構成を使用して、ローテーションを実行に使用するAPIとローテーション方法を決定します。以下の例では、AWSのIAMユーザーが「AWS (US-WEST-1)」構成を使用します。
IAMユーザーローテーションを使用する場合、Keeperゲートウェイは、インスタンスロールポリシーから特権を継承するか、PAM構成レコード内のアクセスキーを通じて特権を取得することが前提となります。
PAMユーザーレコードは、ローテーションする認証情報を格納します。
PAMユーザーレコードのローテーション設定は、特定のPAMマシン、PAMデータベース、PAMディレクトリリソースを参照します。このリソースがローテーションの対象となります。
Keeperゲートウェイは、PAMマシン、PAMデータベース、PAMディレクトリリソースに関連付けられた管理者認証情報を使用して、ネイティブプロトコルでローテーションを実行します。
AWSおよびAzure管理リソースの場合、Keeperはゲートウェイのインスタンスロール権限や、PAM構成のシークレットを使用してAPIでローテーションを実行します。
以下はPAMユーザーレコードの例となります。
Windowsドメイン管理者
Windowsドメインユーザーとポストローテーションスクリプト
AWS IAMユーザー
データベースユーザー
Azure ADユーザー
高度なスケジュール機能についてはをご参照ください。
KeeperPAMを使用するには、ライセンスが必要です。ライセンスは、ビジネスおよびエンタープライズのお客様にご利用いただけます。