Azure MySQL - シングル/フレキシブルデータベース

Keeperを使用して、Azure MySQLの管理者および通常のユーザー (シングルまたはフレキシブルデータベース) の認証情報をローテーション

概要

本ページでは、Keeperローテーションを使用して、Azure環境でAzure MySQLデータベースのユーザーアカウントと管理者アカウントのパスワードをローテーションする方法について取り扱います。Azure MySQLはAzureのマネージドリソースで、MySQLの管理者認証情報はPAMデータベースレコードタイプで定義され、MySQLユーザーの構成はPAMユーザーレコードタイプで定義されています。

AzureマネージドMySQLデータベースでは、Azure SDKを使用してデータベース管理者アカウントのパスワードをローテーションします。通常のデータベースユーザーのパスワードをローテーションするために、Keeperが指定された管理者認証情報を使用してDBインスタンスに接続し、パスワードの変更に必要なSQLステートメントを実行します。Azureの概要については、こちらのページをご参照ください。

Azureでは、フレキシブル以外のMySQLマネージドサービスを2024年が廃止となる予定です。フレキシブルという用語も削除されます (「Azure Database for MySQL - シングルサーバーの現状」をご参照ください)。

要件

本ページでは、以下がすでに実行されていることを前提としています。

ローテーションのポリシーがご利用のロールに対して有効になっていること
Keeperシークレットマネージャーアプリケーションが作成済みであること
Azure環境がKeeperのドキュメントに従って設定されていること
Keeperゲートウェイがオンラインであること
KeeperゲートウェイからAzure My SQL Serverデータベースと通信できること

1. PAMデータベースレコードを設定

PAMデータベースレコードには、管理者認証情報へのリンクと、AzureのMySQLサーバーに接続するために必要な構成が含まれています。Keeperローテーションは、これらの設定を使用して、Azure MySQLサーバーインスタンスの通常のデータベースユーザーアカウントのパスワードをローテーションします。これらの管理者認証情報には、データベースユーザーアカウントの認証情報を正常に変更するための十分なデータベースアクセス権も必要です。

以下は、PAMデータベースレコードの必須フィールドとなります。

フィールド

説明

タイトル

Keeperレコードのタイトル (Azure MySQL Adminなど)

ホスト名またはIPアドレス

データベースサーバー名 (testdb-sql.mysql.database.azure.comなど)

ポート

デフォルトポートはポートマッピングを参照例: mysql=3306

SSLの使用

データベースにSSLが設定されている場合は、接続する前にSSL検証を実行します

管理者認証情報

ローテーションを実行するPAMユーザー管理者アカウントのユーザー名とパスワード。DBユーザーテーブルの管理者アカウントのホストが%以外の場合は、USERNAME@HOSTのようにユーザー名にホストの値を追加します

データベースID

Azureデータベースサーバーの名前 (testdb-sql)

データベースタイプ

mysqlまたはmysql-flexible

プロバイダグループ

Azureリソースグループ名

プロバイダリージョン

Azureリソースリージョン (East USなど)

備考:プロバイダグループ、プロバイダリージョン、データベースIDを追加すると、Azure SDKを使用してPAMデータベースレコードを管理できるようになります。

管理者認証情報がリンクされたこのPAMデータベースレコードは、要件で作成したKSMアプリケーションに共有されている共有フォルダに格納されている必要があります。この特権アカウントへのアクセスが必要なのはKSMアプリケーションのみであり、どのユーザーとも共有する必要はありません。

2. PAM構成を設定

注: 環境に対して既にPAM構成を設定済みの場合は、この手順を省略できます。

新しいPAM構成を作成する場合は、Keeperボルトにログインし、左側のメニューから[シークレットマネージャー]、[PAM構成]タブの順に選択して、[新規構成]をクリックします。以下は、PAM構成レコードの必須フィールドとなります。

フィールド

説明

タイトル

設定名 (Azure DB Configurationなど)

環境

Azure Networkを選択

ゲートウェイ

Keeperシークレットマネージャーアプリケーションで構成され、要件のAzure SQLデータベースにネットワークでアクセスできるゲートウェイを選択します

アプリケーションフォルダ

PAM構成が格納されている共有フォルダを選択します。PAMユーザーが格納されている共有フォルダ内に配置することを推奨します。

Azure ID

このAzureインスタンスの固有のID。参考用のため任意のIDを指定できますが、短くすることをお勧めします例:Azure-prod

クライアントID

アプリケーションの登録時にAzure ADによってアプリに割り当てられた固有のアプリケーション (クライアント) ID

クライアントシークレット

Azureアプリケーションのクライアントのクレデンシャルシークレット

サブスクリプションID

Azureサービスを使用するためのサブスクリプション (従量課金制) を識別するUUID

テナントID

Azure Active DirectoryのUUID

PAM構成レコードで構成できるすべてのフィールドの詳細については、こちらのページをご参照ください。

3. 1つまたは複数のPAMユーザーレコードを設定

Keeperローテーションにより、PAMデータベースレコードの認証情報を使用して、Azure環境のPAMユーザーレコードをローテーションします。PAMユーザーの認証情報は、要件で作成したKSMアプリケーションに共有されている共有フォルダに格納されている必要があります。

以下は、PAMユーザーレコードの必須フィールドとなります。

フィールド

説明

タイトル

Keeperレコードのタイトル (Azure DB User1など)

ログイン

ローテーションするアカウントのユーザー名 (大文字と小文字の区別あり)。DBユーザーテーブルのユーザーのホストが%以外の場合は、USERNAME@SERVERNAMEのようにユーザー名にホストの値を追加します

パスワード

アカウントパスワードはオプションです。空白の場合はローテーションで設定されます

4. PAMユーザーレコードでローテーションを構成

手順3のPAMユーザーレコードを選択し、編集して[パスワードローテーション設定]を開きます。

適切なスケジュールとパスワードの複雑さを選択します。
[ローテーション設定]では、以前に設定したPAM構成を使用する必要があります。
[リソースクレデンシャル]フィールドで、手順1で設定されたPAMデータベース認証情報を選択する必要があります。
保存すると、ローテーションボタンが有効になり、必要に応じて、または選択したスケジュールに基づいてローテーションできるようになります。

PAMユーザーのレコードに対するedit権限を持つユーザーならだれでも、そのレコードのローテーションを設定できます。

前へAzure SQL 次へAzure MariaDBデータベース

最終更新 16 時間前