# AWS

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FjqbDLcPkMtW5oVzUmguf%2Fimage.png?alt=media&#x26;token=c089f53d-a2c8-4eaa-9f91-a7c45d0519fe" alt=""><figcaption></figcaption></figure>

## 概要

本ページでは、対象となる様々なシステムとサービス間で、AWSクラウド環境内のユーザークレデンシャルをローテーションする方法について取り扱います。

## AWSクレデンシャルと対応PAMレコードタイプ

AWS環境の設定は、Keeperシークレットマネージャーの**PAM構成**で定義します。Keeperは、ゲートウェイがインストールされたEC2インスタンスの継承されたロールを使用して、AWSシステムで認証し、ローテーションを実行します。インスタンスのロールが定義されていない場合は、AWSアクセスキーIDと秘密鍵をPAM構成レコードに格納して、認証およびローテーションを実行できます。

EC2、RDS、ディレクトリサービスなどのマネージドリソースの設定は、[PAMマシン](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/getting-started/pam-resources/pam-machine)、[PAMデータベース](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/getting-started/pam-resources/pam-database)、[PAMディレクトリ](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/getting-started/pam-resources/pam-directory)レコードタイプで定義されます。以下の表は、KeeperローテーションでサポートされているAWSマネージドリソースと、それらに対応するPAMレコードタイプを示しています。

<table><thead><tr><th width="302.9425438302998">AWSマネージドリソース</th><th>対応レコードタイプ</th></tr></thead><tbody><tr><td>EC2</td><td>PAMマシン</td></tr><tr><td>RDS</td><td>PAMデータベース</td></tr><tr><td>ディレクトリサービス</td><td>PAMディレクトリ</td></tr></tbody></table>

ディレクトリユーザーまたはIAMユーザーの設定は、**PAMユーザー**レコードタイプで定義されます。

## 要件

IAMユーザーアカウントやEC2ローカルユーザーアカウントを正常にローテーションするには、Keeperゲートウェイにパスワードローテーションを実行するために必要なAWSロールポリシーが設定されている必要があります。詳しくは、[AWS環境のセットアップのページ](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/getting-started/pam-configuration/aws-environment-setup)をご参照ください。

EC2インスタンスロールポリシーを使用しない場合、[PAM構成](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/getting-started/pam-configuration)には以下の値が必要になります。

<table><thead><tr><th width="240.00153109296485">フィールド</th><th>説明</th></tr></thead><tbody><tr><td><strong>アクセスキーID</strong></td><td>IAMユーザーアカウントで検出された目的のアクセスキーのアクセスキーID<br><br>ゲートウェイがインスタンスロールをサポートするEC2インスタンスにデプロイされている場合は、このフィールドを <code>USE_INSTANCE_ROLE</code> に設定します</td></tr><tr><td><strong>シークレットアクセスキー</strong></td><td>IAMユーザーアカウントで検出された目的のアクセスキーのシークレットアクセスキー<br><br>ゲートウェイがインスタンスロールをサポートするEC2インスタンスにデプロイされている場合は、このフィールドを <code>USE_INSTANCE_ROLE</code> に設定します</td></tr></tbody></table>

Keeperゲートウェイは、常にまずEC2インスタンスロールを使用して認証およびローテーションを実行しようとします。これが失敗するか、マシン上で利用できない場合、PAM構成に保存されたアクセスキーIDとシークレットアクセスキーを使用します。

## セットアップ手順

AWSネットワークでパスワードを正常にローテーションするには、以下の手順が必要となります。

1. ローテーションに関連するPAMレコードを格納する共有フォルダの作成
2. 各リソース用にPAMマシン、PAMデータベース、PAMディレクトリレコードの作成
3. 各リソース用に必要なアカウント認証情報を含むPAMユーザーレコードの作成
4. PAMユーザーレコードをPAMリソースレコードへリンク
5. PAMレコードが格納された共有フォルダすべてにシークレットマネージャーアプリケーションを割り当てる
6. Keeperゲートウェイをインストールし、シークレットマネージャーアプリケーションへ追加
7. AWS環境設定でPAM構成を作成
8. PAMユーザーレコードでローテーション設定を構成

## 活用事例

* [IAMユーザーパスワード](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/password-rotation/rotation-use-cases/aws/iam-user)
* [マネージドMicrosoft ADユーザー](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/password-rotation/rotation-use-cases/aws/directory-user)
* [EC2インスタンスローカルユーザー](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/password-rotation/rotation-use-cases/aws/ec2-virtual-machine-user)
* [IAMユーザーアクセスキー](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/password-rotation/rotation-use-cases/aws/iam-user-access-key)
* [マネージドデータベース](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/password-rotation/rotation-use-cases/aws/managed-database)