# IAMユーザーのパスワード

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FVfmeT6uLXLqU96fg1QKe%2Fimage.png?alt=media&#x26;token=f3503657-f446-4bc5-bf33-427a7e7fdc0e" alt=""><figcaption></figcaption></figure>

## 概要

本ページでは、AWS IAMユーザーのパスワードをローテーションする方法について取り扱います。Keeperの**PAM構成**には、パスワードのローテーションに必要な情報がすべて含まれています。ローテーションするAWS IAMユーザーアカウントを含むレコードは、**PAMユーザー**レコードに格納されます。

## 要件

以下がすでに実行されていることを前提としています。

* [ロール](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/password-rotation/rotation-overview)に対してKeeperシークレットマネージャー有効になっていること。
* Keeperローテーションがご利用の[ロール](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/password-rotation/rotation-overview)に対して有効になっていること。
* Keeperシークレットマネージャー[アプリケーション](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/references/creating-ksm-app-for-rotation)が作成済みであること。
* Keeperローテーション[ゲートウェイ](https://docs.keeper.io/keeperpam/privileged-access-manager/getting-started/gateways)がすでにインストールされて動作していること。
* AWS環境がKeeperのドキュメントに従って[設定](https://docs.keeper.io/jp/keeperpam/privileged-access-manager/getting-started/pam-configuration/aws-environment-setup)されていること。

KeeperゲートウェイはAWS APIを使用して、**PAMユーザー**レコードで定義されたクレデンシャルをローテーションします。

## 1. 共有フォルダの作成 <a href="#managed-directory-services" id="managed-directory-services"></a>

このフォルダに、ローテーションするAWS IAMアカウントのレコードを作成します。ローテーションするユーザーごとに**PAMユーザー**レコードを作成します。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FC3PbjGHCKst58jEoJRnx%2Fimage.png?alt=media&#x26;token=0494ee45-5c1e-4c02-bed5-7f7260f121b8" alt=""><figcaption><p>PAMユーザーレコードを含む共有フォルダ</p></figcaption></figure>

{% hint style="warning" %}
ローテーション対象のユーザーは、AWSコンソールへのアクセス権を持ち、最低でもAWSコンソールで一時パスワードが設定されている必要があります。
{% endhint %}

## 2. PAMユーザーレコードを作成

Keeperローテーションは、AWS APIを使用してAWS環境のPAMユーザーレコードをローテーションします。PAMユーザーレコードは、要件を満たすために作成したKSMアプリケーションで共有される共有フォルダに格納されている必要があります。

以下は、PAMユーザーレコードの必須フィールドとなります。

<table><thead><tr><th width="219.72067714631197">フィールド</th><th>説明</th></tr></thead><tbody><tr><td><strong>タイトル</strong></td><td>Keeperレコードのタイトル (<code>AWS user: TestUser</code>)</td></tr><tr><td><strong>ログイン</strong></td><td>ローテーションするアカウントのユーザー名 (大文字と小文字の区別ある)。</td></tr><tr><td><strong>パスワード</strong></td><td>パスワードの設定は任意です。このフィールドが空白のままの場合、ローテーションを実行するとパスワードが設定されます。</td></tr><tr><td><strong>識別名</strong></td><td><p>ユーザーIDの完全なARNです。</p><p>例: <code>arn:aws:iam::123456789:user/TestUser</code></p></td></tr></tbody></table>

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2Fzn3pYjZeLkDXKoUQpcRC%2Fimage.png?alt=media&#x26;token=07b5ba11-03b4-488f-976e-eb420580d741" alt=""><figcaption><p>IAMユーザーのPAMユーザーレコード</p></figcaption></figure>

## 3. PAM構成を設定 <a href="#managed-directory-services" id="managed-directory-services"></a>

注: 環境に対して既にPAM構成を設定済みの場合は、この手順を省略できます。

新しい**PAM構成**を作成する場合は、Keeperボルトにログインし、左側のメニューから **\[シークレットマネージャー]**、**\[PAM構成]** タブの順に選択して、**\[新規構成]** をクリックします。\
\
以下は、**PAM構成**レコードの必須フィールドとなります。

<table><thead><tr><th width="266.4556962025316">フィールド</th><th>説明</th><th data-hidden></th></tr></thead><tbody><tr><td><strong>タイトル</strong></td><td>設定名 (<code>AWS IAM Configuration</code>など)</td><td></td></tr><tr><td><strong>環境</strong></td><td><code>AWS</code>を選択</td><td></td></tr><tr><td><strong>ゲートウェイ</strong></td><td>Keeperシークレットマネージャーアプリケーションで構成されたゲートウェイを選択します。</td><td></td></tr><tr><td><strong>アプリケーションフォルダ</strong></td><td>PAM構成が格納されている共有フォルダを選択します。PAMユーザーが格納されている共有フォルダ内に配置することを推奨します。</td><td></td></tr><tr><td><strong>管理者認証情報レコード</strong></td><td>これはIAMユーザーのローテーションには必要ありません。他の事例で必要になる場合があります。</td><td></td></tr><tr><td><strong>AWS ID</strong></td><td>AWSのこのインスタンスの固有のID。参考用のため任意のIDを指定できますが、短くすることをお勧めします。<br>例: <code>AWS-DepartmentName</code></td><td></td></tr><tr><td><strong>アクセスキーID</strong></td><td>EC2ロールポリシー (デフォルト) を使用している場合は、このフィールドを<code>USE_INSTANCE_ROLE</code>に設定します。使用していない場合は、特定のアクセスキーIDを使用します。</td><td></td></tr><tr><td><strong>シークレットアクセスキー</strong></td><td>EC2ロールポリシー (デフォルト) を使用している場合は、このフィールドを<code>USE_INSTANCE_ROLE</code>に設定します。使用していない場合は、特定のシークレットアクセスキーを使用します。</td><td></td></tr></tbody></table>

PAM構成レコードで構成できるすべてのフィールドの詳細については、[こちらのページ](https://docs.keeper.io/keeperpam/privileged-access-manager/getting-started/pam-configuration)をご参照ください。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2F5afaHr14Da9AMK34HFdQ%2Fimage.png?alt=media&#x26;token=bab17782-e561-48b7-b85a-6959280b9252" alt=""><figcaption><p>AWS環境のPAM設定</p></figcaption></figure>

## 4. PAMユーザーレコードでローテーションを構成

手順2で設定した**PAMユーザー**のレコードを選択し、そのレコードを編集し&#x3066;**\[パスワードローテーション設定]**&#x3092;開きます。

* ローテーション方式にはAWS APIを使用しますの&#x3067;**\[IAMユーザー]**&#x3092;選択します。
* **\[ローテーション設定]**&#x3067;は、以前に設定したPAM構成を使用する必要があります。
* 適切なスケジュールとパスワードの複雑さを選択します。
* 保存すると、ローテーションボタンが有効になり、必要に応じて、または選択したスケジュールでローテーションできるようになります。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FNaTjSnQWvWWT2pGWXZv3%2Fimage.png?alt=media&#x26;token=afda17c4-e89d-4f30-812e-91f6a1a8c353" alt=""><figcaption><p>AWS IAMユーザーのパスワードローテーション設定</p></figcaption></figure>

PAMユーザーのレコードに対する`edit`権限が付与されたユーザーなら誰でもそのレコードのローテーションを設定できます。

パスワードをローテーションするには、ユーザーがAWSコンソールにアクセスでき、少なくともAWSコンソールで一時的なパスワードが設定されている必要があります。