IAMユーザーのパスワード

概要

本ページでは、AWS IAMユーザーのパスワードをローテーションする方法について取り扱います。KeeperのPAM構成には、パスワードのローテーションに必要な情報がすべて含まれています。ローテーションするAWS IAMユーザーアカウントを含むレコードは、PAMユーザーレコードに格納されます。

要件

以下がすでに実行されていることを前提としています。

• ロールに対してKeeperシークレットマネージャー有効になっていること。

• Keeperローテーションがご利用のロールに対して有効になっていること。

• Keeperシークレットマネージャーアプリケーションが作成済みであること。

• Keeperローテーションゲートウェイがすでにインストールされて動作していること。

• AWS環境がKeeperのドキュメントに従って設定されていること。

KeeperゲートウェイはAWS APIを使用して、PAMユーザーレコードで定義されたクレデンシャルをローテーションします。

1. 共有フォルダの作成

このフォルダに、ローテーションするAWS IAMアカウントのレコードを作成します。ローテーションするユーザーごとにPAMユーザーレコードを作成します。

2. PAMユーザーレコードを作成

Keeperローテーションは、AWS APIを使用してAWS環境のPAMユーザーレコードをローテーションします。PAMユーザーレコードは、要件を満たすために作成したKSMアプリケーションで共有される共有フォルダに格納されている必要があります。

以下は、PAMユーザーレコードの必須フィールドとなります。

3. PAM構成を設定

注: 環境に対して既にPAM構成を設定済みの場合は、この手順を省略できます。

新しいPAM構成を作成する場合は、Keeperボルトにログインし、左側のメニューから[シークレットマネージャー]、[PAM構成]タブの順に選択して、[新規構成]をクリックします。 以下は、PAM構成レコードの必須フィールドとなります。

PAM構成レコードで構成できるすべてのフィールドの詳細については、こちらのページをご参照ください。

4. PAMユーザーレコードでローテーションを構成

手順2で設定したPAMユーザーのレコードを選択し、そのレコードを編集して[パスワードローテーション設定]を開きます。

• ローテーション方式にはAWS APIを使用しますので[IAMユーザー]を選択します。

• [ローテーション設定]では、以前に設定したPAM構成を使用する必要があります。

• 適切なスケジュールとパスワードの複雑さを選択します。

• 保存すると、ローテーションボタンが有効になり、必要に応じて、または選択したスケジュールでローテーションできるようになります。

PAMユーザーのレコードに対するedit権限が付与されたユーザーなら誰でもそのレコードのローテーションを設定できます。

パスワードをローテーションするには、ユーザーがAWSコンソールにアクセスでき、少なくともAWSコンソールで一時的なパスワードが設定されている必要があります。