Azure VMユーザーアカウント

Keeperを使用したAzure仮想マシンのローカルユーザーアカウントとリモートユーザーアカウントのローテーション

概要

本ページでは、KeeperPAMを使用してAzure環境内でAzure仮想マシンのローカルユーザーアカウントとリモートユーザーアカウントをローテーションする方法について取り扱います。Azureの概要については、こちらのページをご参照ください。

要件

  • ローテーションのポリシーがご利用のロールに対して有効になっていること。

  • Keeperシークレットマネージャーアプリケーションが作成済みであること。

  • Keeperローテーションゲートウェイがすでにインストール済みであること。

  • ゲートウェイがSSHWinRMを使用して対象のAzure仮想マシンと通信できること。

  • すべてのWindowsマシンでPowerShellが、すべてのLinuxマシンでbashで利用できること。

1. PAMマシンレコードのセットアップ

Keeperでは、ゲートウェイマシンまたはネットワーク上の他のマシン上の任意のローカルユーザーアカウントをローテーションできます。PAMマシンレコードは、すべてのマシンに対して作成する必要があります。このPAMマシンレコードには、マシン上のユーザーのパスワードを変更する権限を持つ管理用クレデンシャルが含まれている必要があります。

すべてのマシンに対してPAMマシンレコードが作成されたら、ローテーション対象のユーザーアカウントごとにPAMユーザーレコードを作成する必要があります。

以下は、PAMマシンレコードの必須フィールドです。

フィールド
説明

タイトル

レコードの名前 (Windows Machine 1など)

ホスト名またはIPアドレス

ゲートウェイがアクセスするマシンのホスト名またはIP (例: 10.0.1.4)

ポート

通常、WinRMは5985または5986、SSHは22

PEM秘密鍵

パスワードを使用しない場合、SSHでは必須

オペレーティングシステム

仮想マシンのオペレーティングシステム:WindowsまたはLinux

SSL検証

WinRMの場合、選択すると、SSLモードポート5986が使用されます。SSHでは無視されます。 トラブルシューティングについてはこちらをご参照ください。

2. PAM構成を設定

注: 環境に対して既にPAM構成を設定済みの場合は、この手順を省略できます。

最初に以下の項目が完了していることを確認します。

  • Keeperシークレットマネージャーアプリケーションが作成済みであること

  • Keeperローテーションゲートウェイがすでにインストールされて動作しており、作成したKeeperシークレットマネージャーアプリケーションにプロビジョニングされていること

  • ターゲットマシンごとにPAMマシンレコードが作成されていること

新しいPAM構成を作成する場合は、Keeperボルトにログインし、ボルトの左側のメニューから[Secrets Manager][PAM構成]タブの順に選択して、[新規構成]をクリックします。 以下は、PAM設定で入力が必要なフィールドとなります。

フィールド
説明

タイトル

設定名 (Azure Demoなど)

環境

Azure Networkを選択

ゲートウェイ

Keeperシークレットマネージャーアプリケーションで構成され、要件のAzure仮装マシンにネットワークでアクセスできるゲートウェイを選択します

アプリケーションフォルダ

PAMマシンレコードを含む共有フォルダを選択します

Azure ID

このAzureインスタンスの固有のID。参考用のため任意のIDを指定できますが、短くすることをお勧めします 例:Azure-prod

クライアントID

アプリケーションの登録時にAzure ADによってアプリに割り当てられた固有のアプリケーション (クライアント) ID

クライアントシークレット

Azureアプリケーションのクライアントのクレデンシャルシークレット

サブスクリプションID

Azureサービスを使用するためのサブスクリプション (従量課金制) を識別するUUID

テナントID

Azure Active DirectoryのUUID

PAMネットワーク設定レコードで設定できるフィールドの詳細については、こちらのページをご参照ください。

3. PAMユーザーレコードを設定

Keeperローテーションは、PAMマシンレコードのクレデンシャルを使用して、PAMユーザーレコードによって参照されるアカウントのクレデンシャルをローテーションします。

以下の表に、PAMユーザーレコードで入力が必要な必須フィールドをすべて一覧で表示します。

フィールド
説明

タイトル

Keeperのレコードタイトル (Local User1)

ログイン

ローテーションするアカウントの大文字と小文字の区別があるユーザー名。ユーザー名は、次のいずれかの形式にする必要があります。 domain\username username@domain

パスワード

アカウントパスワードはオプションです。空白の場合はローテーションで設定されます

4. レコードのローテーションを設定

手順3で設定したPAMユーザーのレコードを選択し、そのレコードを編集して[パスワードローテーション設定]を開きます。を開きます。

  • 適切なスケジュールとパスワードの複雑さを選択します。

  • [ローテーション設定]では、以前に設定したPAM設定を使用する必要があります。

  • [リソースクレデンシャル]フィールドで、このユーザーのマシン固有のPAMマシン管理者のクレデンシャルを選択する必要があります。

  • 保存すると、ローテーションボタンが有効になり、必要に応じて、または選択したスケジュールでローテーションできるようになります。

PAMユーザーレコードに対するedit権限を持つユーザーならだれでも、そのレコードのローテーションを設定できます。

参考資料

サービス管理

PAMユーザーとして実行されているWindowsサービスの「log on as」認証情報を自動的に更新し、サービスを再起動することができます。さらに、対象マシン上でそのユーザーとして実行されているスケジュールタスクの認証情報も更新します。

詳しくは、サービス管理のページをご参照ください。

前へAzure ADユーザー次へAzureマネージドデータベース

最終更新