GCPプリンシパルユーザーパスワード
KeeperによるGoogle Workspaceユーザーアカウントのパスワードローテーション
概要
本ページでは、Google Workspaceユーザーのパスワードをローテーションする方法を説明します。Keeperでは、PAM構成にパスワードローテーションに必要なすべての情報が含まれています。ローテーション対象となるGoogleプリンシパルユーザーアカウントを含むレコードは、PAMユーザーレコードに保存されます。
要件
以下の作業がすでに完了していることを前提としています。
ロールに対してKeeperシークレットマネージャーが有効になっていること
ロールに対してKeeperローテーションが有効になっていること
Keeperシークレットマネージャーのアプリケーションが作成されていること
Keeperローテーションゲートウェイがインストールされ、稼働していること
Google Cloud環境が、当社ドキュメントに従って構成されていること
Keeperゲートウェイは、Google Admin APIを使用して、PAMユーザーレコードで定義された認証情報のローテーションを行います。
1. 共有フォルダの作成
このフォルダには、ローテーション対象となるGoogleプリンシパルアカウントのレコードを作成します。ローテーションを行う各ユーザーごとに、PAMユーザーレコードを作成してください。
ローテーション対象のユーザーは、PAM構成に設定されているメールアドレスのGoogle Workspace管理者が管理できるドメインに属している必要があります。
Keeperローテーションは、Google Admin APIを使用して、Google Workspace環境内のPAMユーザーレコードのパスワードをローテーションします。PAMユーザーレコードは、前提条件で作成したKSMアプリケーションと共有された共有フォルダ内に配置する必要があります。
以下は、PAMユーザーレコードの必須フィールドとなります。
タイトル
Keeperのレコードタイトル。例: AWS user: TestUser
ログイン
ローテーション対象となるアカウントの完全なメールアドレス
パスワード
パスワードの指定は任意です。このフィールドが空の場合、ローテーション実行時に自動的にパスワードが設定されます
2. PAM構成のセットアップ
(すでにこの環境用のPAM構成が設定されている場合は、この手順を省略できます。)
ボルトの左側メニューから [シークレットマネージャー] を選択し、[PAM構成] タブを開いて、[新しい構成] をクリックします。
以下は、PAM構成レコードの必須フィールドとなります。
タイトル
構成名。例: GCP Workspace Configuration
環境
Google Cloud を選択します
ゲートウェイ
Keeperシークレットマネージャーアプリケーションで設定済みのゲートウェイを選択します
アプリケーションフォルダ
PAM構成を保存する共有フォルダを選択します。PAMユーザーレコードと同じ共有フォルダに配置することを推奨します
GCP ID
このGoogle Cloud環境を識別するための一意のIDです。任意の値を指定できますが、短く分かりやすい名称を推奨します。例: GCP-DepartmentName
サービスアカウントキー
ゲートウェイ用サービスアカウントキーのJSONテキストをコピーして貼り付けます
Google Workspace管理者のメールアドレス
GCPプリンシパルのパスワード管理に使用できる、Google Workspace管理者アカウントのメールアドレス
PAM構成レコードで設定可能なすべてのフィールドの詳細については、こちらのページをご参照ください。
3. PAMユーザーレコードでローテーションを構成
手順2で作成したPAMユーザーレコードを選択し、レコードを編集して [パスワードローテーション設定] を開きます。
ローテーション方法には、Google Admin APIを使用するため [IAMユーザー] を選択します。
[ローテーション設定] では、前の手順で設定したPAM構成を使用します。
希望するスケジュールとパスワードの複雑さを選択します。
保存すると、ローテーションボタンが有効になり、手動実行または設定したスケジュールに基づいてローテーションを実行できるようになります。
PAMユーザーレコードに対して編集権限を持つユーザーであれば、そのレコードのローテーション設定を行うことができます。
最終更新