AWS

概要

本ページでは、対象となる様々なシステムとサービス間で、AWSクラウド環境内のユーザークレデンシャルをローテーションする方法について取り扱います。

AWSクレデンシャルと対応PAMレコードタイプ

AWS環境の設定は、KeeperシークレットマネージャーのPAM構成で定義します。Keeperは、ゲートウェイがインストールされたEC2インスタンスの継承されたロールを使用して、AWSシステムで認証し、ローテーションを実行します。インスタンスのロールが定義されていない場合は、AWSアクセスキーIDと秘密鍵をPAM構成レコードに格納して、認証およびローテーションを実行できます。

EC2、RDS、ディレクトリサービスなどのマネージドリソースの設定は、PAMマシン、PAMデータベース、PAMディレクトリレコードタイプで定義されます。以下の表は、KeeperローテーションでサポートされているAWSマネージドリソースと、それらに対応するPAMレコードタイプを示しています。

ディレクトリユーザーまたはIAMユーザーの設定は、PAMユーザーレコードタイプで定義されます。

要件

IAMユーザーアカウントやEC2ローカルユーザーアカウントを正常にローテーションするには、Keeperゲートウェイにパスワードローテーションを実行するために必要なAWSロールポリシーが設定されている必要があります。詳しくは、AWS環境のセットアップのページをご参照ください。

EC2インスタンスロールポリシーを使用しない場合、PAM構成には以下の値が必要になります。

Keeperゲートウェイは、常にまずEC2インスタンスロールを使用して認証およびローテーションを実行しようとします。これが失敗するか、マシン上で利用できない場合、PAM構成に保存されたアクセスキーIDとシークレットアクセスキーを使用します。

セットアップ手順

AWSネットワークでパスワードを正常にローテーションするには、以下の手順が必要となります。

1. ローテーションに関連するPAMレコードを格納する共有フォルダの作成

2. 各リソース用にPAMマシン、PAMデータベース、PAMディレクトリレコードの作成

3. 各リソース用に必要なアカウント認証情報を含むPAMユーザーレコードの作成

4. PAMユーザーレコードをPAMリソースレコードへリンク

5. PAMレコードが格納された共有フォルダすべてにシークレットマネージャーアプリケーションを割り当てる

6. Keeperゲートウェイをインストールし、シークレットマネージャーアプリケーションへ追加

7. AWS環境設定でPAM構成を作成

8. PAMユーザーレコードでローテーション設定を構成

活用事例

• IAMユーザーパスワード

• マネージドMicrosoft ADユーザー

• EC2インスタンスローカルユーザー

• IAMユーザーアクセスキー

• マネージドデータベース