IAMユーザーのパスワード
KeeperでAWS IAMアカウントのパスワードをローテーション
最終更新
KeeperでAWS IAMアカウントのパスワードをローテーション
最終更新
本ページでは、AWS IAMユーザーのパスワードをローテーションする方法について取り扱います。KeeperのPAM構成には、パスワードのローテーションに必要な情報がすべて含まれています。ローテーションするAWS IAMユーザーアカウントを含むレコードは、PAMユーザーレコードに格納されます。
以下がすでに実行されていることを前提としています。
KeeperゲートウェイはAWS APIを使用して、PAMユーザーレコードで定義されたクレデンシャルをローテーションします。
このフォルダに、ローテーションするAWS IAMアカウントのレコードを作成します。ローテーションするユーザーごとにPAMユーザーレコードを作成します。
ローテーション対象のユーザーは、AWSコンソールへのアクセス権を持ち、最低でもAWSコンソールで一時パスワードが設定されている必要があります。
Keeperローテーションは、AWS APIを使用してAWS環境のPAMユーザーレコードをローテーションします。PAMユーザーレコードは、要件を満たすために作成したKSMアプリケーションで共有される共有フォルダに格納されている必要があります。
以下は、PAMユーザーレコードの必須フィールドとなります。
タイトル
Keeperレコードのタイトル (AWS user: TestUser
)
ログイン
ローテーションするアカウントのユーザー名 (大文字と小文字の区別ある)。
パスワード
パスワードの設定は任意です。このフィールドが空白のままの場合、ローテーションを実行するとパスワードが設定されます。
識別名
ユーザーIDの完全なARNです。
例: arn:aws:iam::123456789:user/TestUser
タイトル
設定名 (AWS IAM Configuration
など)
環境
AWS
を選択
ゲートウェイ
Keeperシークレットマネージャーアプリケーションで構成されたゲートウェイを選択します。
アプリケーションフォルダ
PAM構成が格納されている共有フォルダを選択します。PAMユーザーが格納されている共有フォルダ内に配置することを推奨します。
管理者認証情報レコード
これはIAMユーザーのローテーションには必要ありません。他の事例で必要になる場合があります。
AWS ID
AWSのこのインスタンスの固有のID。参考用のため任意のIDを指定できますが、短くすることをお勧めします。
例: AWS-DepartmentName
アクセスキーID
EC2ロールポリシー (デフォルト) を使用している場合は、このフィールドをUSE_INSTANCE_ROLE
に設定します。使用していない場合は、特定のアクセスキーIDを使用します。
シークレットアクセスキー
EC2ロールポリシー (デフォルト) を使用している場合は、このフィールドをUSE_INSTANCE_ROLE
に設定します。使用していない場合は、特定のシークレットアクセスキーを使用します。
手順2で設定したPAMユーザーのレコードを選択し、そのレコードを編集して[パスワードローテーション設定]を開きます。
ローテーション方式にはAWS APIを使用しますので[IAMユーザー]を選択します。
[ローテーション設定]では、以前に設定したPAM構成を使用する必要があります。
適切なスケジュールとパスワードの複雑さを選択します。
保存すると、ローテーションボタンが有効になり、必要に応じて、または選択したスケジュールでローテーションできるようになります。
PAMユーザーのレコードに対するedit
権限が付与されたユーザーなら誰でもそのレコードのローテーションを設定できます。
パスワードをローテーションするには、ユーザーがAWSコンソールにアクセスでき、少なくともAWSコンソールで一時的なパスワードが設定されている必要があります。
に対してKeeperシークレットマネージャー有効になっていること。
Keeperローテーションがご利用のに対して有効になっていること。
Keeperシークレットマネージャーが作成済みであること。
Keeperローテーションがすでにインストールされて動作していること。
AWS環境がKeeperのドキュメントに従ってされていること。
注: 環境に対して既にPAM構成を設定済みの場合は、この手順を省略できます。
新しいPAM構成を作成する場合は、Keeperボルトにログインし、左側のメニューから [シークレットマネージャー]、[PAM構成] タブの順に選択して、[新規構成] をクリックします。 以下は、PAM構成レコードの必須フィールドとなります。
PAM構成レコードで構成できるすべてのフィールドの詳細については、をご参照ください。