Azure

Azure環境でのパスワードローテーション

概要

このセクションでは、Azureネットワーク環境内のユーザー認証情報を、対象となる様々なシステムでローテーションする方法について取り扱います。ローテーションは、デフォルトのディレクトリでもあるAzure Active Directory (Azure AD) に設定されてアタッチされたデバイスで動作します。

KeeperPAMで、Azure ADユーザー、サービスアカウント、ローカル管理者ユーザー、ローカルユーザー、マネージドサービス、データベースなどのパスワードをローテーションできます。

KeeperPAMレコードタイプ

Azure Active Directoryの構成は、KeeperシークレットマネージャーのPAM構成で定義します。

Azure AD参加済みデバイスの構成は、PAMディレクトリ、PAMマシンPAMデータベースのレコードタイプで定義されます。以下の表には、KeeperローテーションでサポートされているAzure AD参加済みデバイスと、それらに対応するPAMレコードタイプが記載されています。

Azure AD参加済みデバイス
対応するPAMレコードタイプ

Azure AD Domain Services

PAMディレクトリ

仮想マシン

PAMマシン

マネージドデータベース

PAMデータベース

Azure Directoryユーザーのクレデンシャルの設定は、PAMユーザーレコードで定義されます。

ローテーションの要件

Azure環境内でユーザー認証情報をローテーションする前に、以下の情報と構成を用意しておきます。

  1. ローテーションで使用するAzure AD参加済みデバイスはすべて、Azure Active Directory内で作成および構成する必要があります。

  2. Azureネットワーク内でローテーションを正常に構成および設定するには、PAM構成で以下の値が必要です。

フィールド
説明

クライアントID

Azureアプリケーションのアプリケーション/クライアントID (UUID)

クライアントシークレット

Azureアプリケーションのクライアントのクレデンシャルシークレット

サブスクリプションID

Azureサービス (従量課金制) を使用するためのサブスクリプションのUUID

テナントID

Azure Active DirectoryのUUID

  1. ローテーションに使用する予定のすべてのAzureサービスまたはAzure AD参加済みデバイスが、Azure Active Directoryにアクセスできることを確かにします。

  2. アプリケーションが様々なAzureリソースにアクセスしてアクションを実行できるようにするカスタムロールを作成します。詳しくは、Azure環境セットアップのページをご参照ください

セットアップ手順

Azureネットワークでパスワードを正常にローテーションするには、以下の手順が必要となります。

  1. ローテーションに関連するPAMレコードを格納する共有フォルダの作成します。

  2. 各リソースを格納するPAMマシン、PAMデータベース、PAMディレクトリレコードを作成します。

  3. 各リソースに必要となるアカウント認証情報を含むPAMユーザーレコードを作成します。

  4. PAMユーザーレコードをPAMリソースレコードにリンクします。

  5. シークレットマネージャーアプリケーションをPAMレコードが格納されているすべての共有フォルダに割り当てます。

  6. Keeperゲートウェイをインストールし、シークレットマネージャーアプリケーションへの追加します。

  7. Azure環境設定を使用してPAM構成を作成します。

  8. PAMユーザーレコードでローテーション設定を構成します。

活用事例

前へローテーションの活用事例次へAzure ADユーザー

最終更新