CLIによるローテーション管理
Keeperコマンダーを使用して、個別および一括でのローテーション設定を管理
従来のrotate (プラグインベース) およびpam rotation setコマンドは非推奨となりました。
pam rotation editを使用してローテーションスケジュールを設定し、pam action rotateを使用してKeeperゲートウェイ経由のオンデマンドローテーションを実行してください。
要件
対象レコードが準備されていること。ローテーション対象のPAMマシン、PAMユーザー、その他の特権レコードがすべてKeeperボルト内の共有フォルダに存在している必要があります。
Keeperゲートウェイがインストールされ、オンラインであること (以下の手順1を参照)
少なくとも1つのPAM構成が存在し、ゲートウェイが参照されていること (手順2を参照)
administrator (管理者) またはrotation-manager (ローテーションマネージャー) のロールでKeeperコマンダーにサインインしていること
手順1 – ゲートウェイの作成または指定
コマンダーの pam gateway サブコマンドでゲートウェイサービスを管理します。
既存のゲートウェイを一覧表示
pam gateway list
新しいゲートウェイの作成とワンタイムトークンの生成
pam gateway new --name "<Gateway_Name>" --application "<KSM_Application_UID>"
Dockerインストール用に GATEWAY_CONFIG ブロブを生成
pam gateway new -n "<Gateway_Name>" -a "<App_UID>" --config-init b64
手順2 – ゲートウェイを利用するPAM構成の作成
pam config new (または pam config edit ) 使用して、ゲートウェイとローテーション、検出、トンネル、接続を関連付けるルールを構築します。
pam config new --title "Prod Rotation" \
--gateway "<Gateway_UID>" \
--shared-folder "<Shared_Folder_UID>" \
--rotation on \
--schedule "0 2 * * *"--gatewayで、手順1で作成したKeeperゲートウェイに構成を紐付けます。--rotation onで、この構成に紐づくレコードのローテーション機能を有効にします。--scheduleで、CRON形式のデフォルトスケジュールを設定します (pam rotation editでレコード単位に上書き可能)。
構成のUIDは pam config list で確認できます。
ローテーションコマンドの理解 (簡単なおさらい)
rotate
非推奨: コマンダーから直接実行される従来のプラグインベースローテーション
pam action rotate
Keeperゲートウェイ経由で即時ローテーションジョブを実行
pam rotation edit
ローテーション設定 (スケジュール、リソース、複雑さなど) を個別または複数レコードに適用 (即時ローテーションは行わない)
コマンド: pam rotation edit
pam rotation editpam rotation editで、レコードに保存されているKeeperPAMのローテーションメタデータを編集します。
主なオプション
--record / -r
UID、名前、またはパターンで個別のレコードを対象にします。
--folder / -fd
フォルダ内のすべてのレコードを対象にします (一括更新)。
--force / -f
確認プロンプトをスキップします。
--config / -c
リンクするPAM構成のUIDまたはパスを指定します。
--iam-aad-config / -iac
IAM / Azure AD ユーザー向けの --resource の代替オプションです。
--resource / -rs
操作対象となるリソースレコードのUIDまたはパスを指定します。
--schedulejson / -sj
スケジューラーオブジェクトをJSON形式で指定します。
--schedulecron / -sc
CRON形式のスケジュール文字列を指定します。
--on-demand / -od
ローテーションをオンデマンド (スケジュールなし) に設定します。
--schedule-config / -sf
リンクされたPAM構成からスケジュールを継承します。
--complexity / -x
パスワードの複雑さを指定します(length,upper,lower,digits,symbols[,symbol_set])。
--admin-user / -a
ローテーションを管理するPAMユーザーのUIDまたはパスを指定します。
--enable / -e
対象のレコードでローテーションを有効にします。
--disable / -d
対象のレコードでローテーションを無効にします。
--schedule-only / -so
対象のレコードのスケジュールのみを更新します (構成、リソース、複雑さは変更しません)。
詳細ヘルプ: pam rotation edit --help
実用例
< >で示されたプレースホルダは、実際のUIDやパスに置き替えて使用してください。
例1. 単一マシンで毎日ローテーション
pam rotation edit --record "<Machine_UID>" \
--config "<PAM_Config_UID>" \
--resource "<Machine_UID>" \
--schedule daily \
--enable例2. JSONを使用した毎週ローテーション
pam rotation edit --record "<Machine_UID>" \
--config "<PAM_Config_UID>" \
--resource "<Machine_UID>" \
-sj '{"type":"WEEKLY","weekday":"SATURDAY","time":"22:00","tz":"America/New_York"}' \
--enable例3. フォルダ内すべてのレコードのローテーションを一括有効化
pam rotation edit --folder "/Shared/Prod" \
--config "<PAM_Config_UID>" \
--resource "<Gateway_Proxy_User_UID>" \
--schedule monthly \
--enable --force例4. ローテーション設定の削除
pam rotation edit --record "<Machine_UID>" --reset例5. オンデマンドローテーション (スケジュールなし)
pam rotation edit --record "<Machine_UID>" --on-demand --enable例6. パスワードの複雑さを設定
pam rotation edit --record "<PAM_User_UID>" \
--complexity 20,1,4,2,2,.=+- \
--enableオンデマンドローテーションの実行
スケジュールを無視して今すぐローテーションを実行したい場合
pam action rotate --record "<Machine_UID>"コマンダーがジョブをKeeperゲートウェイに送信し、ゲートウェイが対象リソースに対して適切なプラグインまたはネイティブドライバを実行します。
参考
pam action gateway-info --gateway <Gateway_UID>– ゲートウェイのヘルス状態とバージョン確認pam rotation list– ローテーションが有効なリソースを確認pam action job-info --gateway <Gateway_UID>– 過去のローテーションジョブログを確認pam rotation script– ポストローテーションスクリプトの管理
バッチモード
多数のコマンドを一括で実行するには、KeeperのBatch Modeコマンドをご参照ください。
最終更新