Google Cloud

概要

このセクションでは、Google Cloud環境において、さまざまな対象システムやサービスに対するユーザー認証情報のローテーション方法について説明します。

KeeperPAMのレコードタイプ

GCP環境向けの構成は、Keeperシークレットマネージャーの PAM構成 セクションで定義します。Keeperは、ゲートウェイがインストールされている環境で継承されるサービスアカウントを使用してGCPシステムに認証し、認証情報のローテーションを実行します。

Compute Engine、Cloud SQL、管理対象Microsoft Active Directoryなどの管理対象リソースに関する構成は、PAMマシン、PAMデータベース、PAMディレクトリの各レコードタイプで定義します。

次の表は、KeeperPAMでサポートされているGCPの管理対象リソースと、それぞれに対応するPAMレコードタイプを示しています。

ディレクトリユーザー、データベースユーザー、VMユーザーといった各種ユーザーの構成は、PAMユーザーレコードタイプで定義します。

要件

Compute Cloud ResourceのユーザーアカウントやGoogle Workspaceプリンシパルのアカウントを正常にローテーションするには、Keeperゲートウェイに、パスワードローテーションを実行するために必要な権限を持つサービスアカウントが構成されている必要があります。

詳細については、Google Cloud環境のセットアップをご参照ください。

セットアップ手順

Google Cloud環境でパスワードローテーションを正しく実行するには、全体として次の手順が必要です。

1. ローテーションに関連するPAMレコードを格納するための共有フォルダを作成します

2. 各リソースを表すPAMマシン、PAMデータベース、PAMディレクトリの各レコードを作成します

3. 各リソースで使用するアカウント認証情報を含むPAMユーザーレコードを作成します

4. PAMユーザーレコードを、対応するPAMリソースレコードにリンクします

5. PAMレコードを格納しているすべての共有フォルダに、シークレットマネージャーアプリケーションを割り当てます

6. Keeperゲートウェイをインストールし、シークレットマネージャーアプリケーションに追加します

7. GCP環境設定を使用してPAM構成を作成します

8. PAMユーザーレコードでローテーション設定を構成します

活用事例

• IAMユーザーパスワード

• マネージドMicrosoft ADユーザー

• EC2インスタンスローカルユーザー

• IAMユーザーアクセスキー

• マネージドデータベース