ローテーションの概要

Keeperパスワードローテーションのクイックスタートガイド

要件

KeeperPAMを使用するには、ライセンスが必要です。ライセンスは、ビジネスおよびエンタープライズのお客様にご利用いただけます。

パスワードローテーションの設定を行う前に、以下を行います。

強制適用ポリシー

KeeperPAMパスワードローテーション関連の強制適用ポリシーについては、Keeper管理コンソールの[管理者] > [ロール] > [強制適用ポリシー] > [特権アクセス管理]画面にて管理します。

KeeperPAM強制適用ポリシー

以下は、パスワードローテーション機能に関連したポリシーとなります。

ポリシー
コマンダーによる適用
説明

アプリケーションの作成およびシークレットの管理

ALLOW_SECRETS_MANAGER

シークレットマネージャーアプリケーションを作成できるようにします。

Keeperゲートウェイを作成、デプロイ、管理

ALLOW_PAM_GATEWAY

Keeperゲートウェイを展開および管理できるようにします。

ローテーション構成を設定

ALLOW_PAM_ROTATION

PAMユーザーレコードでローテーションを設定できるようにします。

ローテーション構成を設定 (レガシー設定)

ALLOW_CONFIGURE_ROTATION_SETTINGS

ALLOW_PAM_ROTATIONと同じ設定にする必要があります。

認証情報をローテーション

ALLOW_ROTATE_CREDENTIALS

すべてのユーザーがパスワードローテーションを実行できるようにします。

KeeperコマンダーCLIでもenterprise-roleコマンドを使用してローテーションを有効にできます。

enterprise-role "Keeper Administrator" --enforcement "ALLOW_SECRETS_MANAGER":true
enterprise-role "Keeper Administrator" --enforcement "ALLOW_PAM_GATEWAY":true
enterprise-role "Keeper Administrator" --enforcement "ALLOW_PAM_ROTATION":true
enterprise-role "Keeper Administrator" --enforcement "ALLOW_CONFIGURE_ROTATION_SETTINGS":true
enterprise-role "Keeper Administrator" --enforcement "ALLOW_ROTATE_CREDENTIALS":true

Keeperゲートウェイの展開

まだKeeperゲートウェイを作成されていない場合は、ウェブボルトまたはデスクトップアプリ (バージョン17.1以降) から[新規作成] > [ゲートウェイ]をクリックして新しいゲートウェイを作成します。また、手軽にサンドボックス環境を作成する方法について記載したページもご用意しています。

アプリケーションの作成

[新規作成] > [ゲートウェイ]からゲートウェイを作成すると、自動的にシークレットマネージャーアプリケーション、共有フォルダ、PAM構成が作成されます。ボルトの[シークレットマネージャー]画面で、アプリケーションが共有フォルダに割り当てられ、ゲートウェイにも割り当てられているのが確認できます。

アプリケーションのセットアップ
ゲートウェイに関連つけられたアプリケーション

PAMユーザーレコードの作成

PAMユーザーレコードには、特権アカウントの認証情報、パスワード、秘密鍵を格納します。PAMユーザーの作成手順については、こちらのページをご参照ください。以下の例は、Windowsサーバーの管理者パスワードに関するPAMユーザーレコードとなります。PAMユーザーレコードは、ユーザーアカウントが含まれている共有フォルダに追加されます。

PAMユーザーレコードの作成

PAMリソースの作成

PAMリソースは、マシン、データベース、ディレクトリを表します。

マシン、データベース、ディレクトリの新規作成

ローテーション設定の構成

PAMユーザーレコードの[ローテーション設定]セクションでは、認証情報のローテーションをどのように管理するかを設定します。

PAMユーザーレコードの編集

パスワードローテーションの設定

フィールド
説明
必須か否か

ローテーションタイプ

実行するローテーションの種類 (および使用するプロトコル) を指定します。

必須 「一般」、「IAMユーザー」、「PAMスクリプトの実行のみ」。詳細については下のセクションをご覧ください。

PAMリソース

「一般」ローテーションタイプの場合、必要な権限を提供できるPAMリソースレコードを指定します。

「IAMユーザー」ローテーションタイプの場合、クラウドAPIを利用するPAM構成を指定します。

「一般」および「IAMユーザー」のローテーションタイプでのみ必須

ローテーションスケジュール

ローテーションは、オンデマンドまたは特定のスケジュールで実行できます。

高度なスケジュール機能についてはcron式のページをご参照ください。

パスワードの複雑さ

パスワードベースのローテーションに適用され、PEMキーには適用されません。

[さらに表示]をクリックして特殊文字や記号を制御します。

ローテーションタイプ

以下の3種類のローテーションタイプに対応しています。

  • 一般 LDAP、データベース、SSHキーなどのネイティブプロトコルを使用してローテーションを実行します。

  • IAMユーザー AWS IAMユーザーやAzure管理リソースなど、クラウド特有のAPIを使用してローテーションを実行します。この場合、必要なのはPAM構成のみで必要な情報が含まれています。

  • PAMスクリプトの実行のみ 標準のローテーションをスキップし、添付されたPAMスクリプトのみを実行します。

パスワードローテーションの設定

ローテーションのスケジュールは、特定の間隔で設定するか、cron式を使用して設定できます。

カスタムスケジュール
カレンダー設定
Cron式

PAMリソース

ローテーションの設定を完了するためには、ローテーションタイプに応じたリソースを選択する必要があります。

「一般」ローテーションの場合、Keeperゲートウェイはネイティブプロトコルを使用して必要なローテーションを実行し、指定されたPAMリソースでローテーションが実行されます。必要に応じて、PAMリソースに関連付けられた管理者の認証情報が使用されます。

以下の例では、Windowsサービスアカウントのパスワードが関連のWindowsサーバーでローテーションされます。

ローテーションリソース

「IAMユーザー」ローテーションタイプの場合、Keeperゲートウェイが参照PAM構成を使用して、ローテーションを実行に使用するAPIとローテーション方法を決定します。以下の例では、AWSのIAMユーザーが「AWS (US-WEST-1)」構成を使用します。

IAMユーザーローテーションを使用する場合、Keeperゲートウェイは、インスタンスロールポリシーから特権を継承するか、PAM構成レコード内のアクセスキーを通じて特権を取得することが前提となります。

lAMユーザーローテーション

要約

  • PAMユーザーレコードは、ローテーションする認証情報を格納します。

  • PAMユーザーレコードのローテーション設定は、特定のPAMマシン、PAMデータベース、PAMディレクトリリソースを参照します。このリソースがローテーションの対象となります。

  • Keeperゲートウェイは、PAMマシン、PAMデータベース、PAMディレクトリリソースに関連付けられた管理者認証情報を使用して、ネイティブプロトコルでローテーションを実行します。

  • AWSおよびAzure管理リソースの場合、Keeperはゲートウェイのインスタンスロール権限や、PAM構成のシークレットを使用してAPIでローテーションを実行します。

以下はPAMユーザーレコードの例となります。

  • Windowsドメイン管理者

Windowsドメイン管理者ユーザー

  • Windowsドメインユーザーとポストローテーションスクリプト

Windowsドメインユーザーとポストローテーションスクリプト

  • AWS IAMユーザー

AWS IAMユーザー

  • データベースユーザー

データベースユーザー

  • Azure ADユーザー

Azure ADユーザー

ローテーション用のレコードタイプ

認証情報のローテーションは、PAMユーザーレコードタイプに制限されています。

以前のバージョンのKeeperでは、PAMマシン、PAMデータベース、PAMディレクトリのレコードでもローテーションは可能でしたが、最新バージョンのKeeperPAMでは、PAMリソースとPAMユーザーを分けて管理する必要があります。詳細については、レコードリンクのページをご参照ください。

KeeperシークレットマネージャーまたはKeeperPAMを有効にすると、以下のレコードタイプが利用できるようになります。

  • PAMユーザー ユーザーIDとパスワード、秘密鍵、またはその両方を格納。

  • PAMディレクトリ オンプレミスまたはクラウドベースのディレクトリに関する情報。

  • PAMデータベース セルフホスト型またはクラウドベースのデータベース (MySQL、SQL Serverなど)。

  • PAMマシン オンプレミスまたはクラウド上のWindows、Linux、macOSマシン。

  • PAMリモートブラウザ ウェブベースのアプリケーションを保護するためのリモートブラウザ分離。

これらの5つのレコードタイプは、ボルトに追加し、フォルダに配置し、他のKeeperレコードと同様に共有できます。詳細については、PAMリソースのページをご参照ください。

PAM構成

ローテーションが有効になると、ボルトのシークレットマネージャー画面に「PAM構成」というセクションが表示されます。PAM構成は、以下の要素を含むオブジェクトです。

  • 環境 ローカルネットワーク、AWS、Azure。

  • Keeperゲートウェイ オンプレミスまたはクラウドインフラストラクチャにインストールするサービス。

  • アプリケーションフォルダ シークレットマネージャーアプリケーションと関連するレコードを含む共有フォルダ。

  • 管理者認証情報 ローテーションとディスカバリを実行するための特権認証情報を含むKeeperレコード。

任意の数のPAM構成、アプリケーション、ゲートウェイをご利用になれます。 詳細については、PAM構成アプリケーションゲートウェイの各ページをご覧ください。

パスワードのローテーション方法

  1. PAMユーザーレコードを共有フォルダに追加します。

  2. PAMリソース (マシン、データベース、ディレクトリ) レコードを共有フォルダに追加します。

  3. 各PAMユーザーレコードにローテーション設定を構成します。

  4. シークレットマネージャーアプリケーションを作成します。

  5. シークレットマネージャーアプリケーションを共有フォルダに割り当てます。

  6. PAMユーザーが含まれる共有フォルダの権限を[読み取り専用]から[編集]に変更します。

  7. Keeperゲートウェイをシークレットマネージャーアプリケーションに追加します。

  8. すべてを統合するPAM構成を作成します。

  9. PAMユーザーレコードにローテーション設定を割り当てます。

Keeperコマンダーでのローテーション

Keeperコマンダーでは以下のコマンドでローテーション機能の自動化に対応しています。

bashCopyEditMy Vault> pam action rotate -r 5NaygwI4LK1BDZmH3Ib
Scheduled action id: MfKbPR3ac6A/oBDZpctpOg==

My Vault> pam action job-info MfKbPR3ac6A/oBDZpctpOg== -g QPkRsR8KQm6_4vnHTcofZA
Job id to check [MfKbPR3ac6A/oBDZpctpOg==]
Execution Details
-------------------------
	Status              : finished
	Duration            : 0:00:17.525641
	Response Message    : Rotation completed for record uid 5NaygwI4LK1BDZmH3Ib
My Vault>

サービスおよびスケジュールタスク

Keeperローテーションにより、Windowsサービスアカウントとスケジュールタスクの「log on」認証情報も更新できます。詳細についてはサービス管理のページをご覧ください。

レコードインポート

JSON形式からの一括インポートに対応しています。詳細については、PAMレコードのインポートのページをご参照ください。

前へパスワードローテーション次へローテーションの活用事例

最終更新