CLIによるローテーション管理

Keeperコマンダーを使用して、個別および一括でのローテーション設定を管理

従来のrotate (プラグインベース) およびpam rotation setコマンドは非推奨となりました。 pam rotation editを使用してローテーションスケジュールを設定し、pam action rotateを使用してKeeperゲートウェイ経由のオンデマンドローテーションを実行してください。

要件

  • 対象レコードが準備されていること。ローテーション対象のPAMマシンPAMユーザー、その他の特権レコードがすべてKeeperボルト内の共有フォルダに存在している必要があります。

  • Keeperゲートウェイがインストールされ、オンラインであること (以下の手順1を参照)

  • 少なくとも1つのPAM構成が存在し、ゲートウェイが参照されていること (手順2を参照)

  • administrator (管理者) またはrotation-manager (ローテーションマネージャー) のロールでKeeperコマンダーにサインインしていること

手順1 – ゲートウェイの作成または指定

コマンダーのpam gatewayサブコマンドでゲートウェイサービスを管理します。

タスク
コマンド (省略形)

既存のゲートウェイを一覧表示

pam gateway list

新しいゲートウェイの作成とワンタイムトークンの生成

pam gateway new --name "<Gateway_Name>" --application "<KSM_Application_UID>"

Dockerインストール用にGATEWAY_CONFIGブロブを生成

pam gateway new -n "<Gateway_Name>" -a "<App_UID>" --config-init b64

最後のコマンドでは、Dockerコンテナ起動時にGATEWAY_CONFIG環境変数として渡すbase64エンコードされた文字列を出力します。

ヒント: 既存ゲートウェイのUIDはpam gateway list --verboseでいつでも確認できます。

手順2 – ゲートウェイを利用するPAM構成の作成

pam config new (またはpam config edit) 使用して、ゲートウェイとローテーション、検出、トンネル、接続を関連付けるルールを構築します。

pam config new --title "Prod Rotation" \
               --gateway "<Gateway_UID>" \
               --shared-folder "<Shared_Folder_UID>" \
               --rotation on \
               --schedule "0 2 * * *"

  • --gatewayで、手順1で作成したKeeperゲートウェイに構成を紐付けます。

  • --rotation onで、この構成に紐づくレコードのローテーション機能を有効にします。

  • --scheduleで、CRON形式のデフォルトスケジュールを設定します (pam rotation editでレコード単位に上書き可能)。

構成のUIDはpam config listで確認できます。

ローテーションコマンドの理解 (簡単なおさらい)

コマンド
実際の動作

rotate

非推奨: コマンダーから直接実行される従来のプラグインベースローテーション

pam action rotate

Keeperゲートウェイ経由で即時ローテーションジョブを実行

pam rotation edit

ローテーション設定 (スケジュール、リソース、複雑さなど) を個別または複数レコードに適用 (即時ローテーションは行わない)

コマンド: pam rotation edit

pam rotation editで、レコードに保存されているKeeperPAMのローテーションメタデータを編集します。

主なオプション

オプション
目的

--record / --folder

個別レコードまたはフォルダ内すべてのレコードを対象に

--config

手順2のPAM構成を指定

--resource

変更を実行する特権アカウント (多くの場合、対象レコードと同じ)

--schedule / --schedule-json

簡易キーワードまたはJSON形式のスケジュール指定

--enable / --disable

スケジュールの有効と無効を切り替え

--reset

レコードのローテーション設定をすべて削除

詳細ヘルプ: pam rotation edit --help

実用例

例1 – 単一マシンで毎日ローテーション

pam rotation edit --record "<Machine_UID>" \
                  --config "<PAM_Config_UID>" \
                  --resource "<Machine_UID>" \
                  --schedule daily \
                  --enable

例2 – JSONを使用した毎週ローテーション

pam rotation edit --record "<Machine_UID>" \
                  --config "<PAM_Config_UID>" \
                  --resource "<Machine_UID>" \
                  -sj '{"type":"WEEKLY","weekday":"SATURDAY","time":"22:00","tz":"America/New_York"}' \
                  --enable

例3 – フォルダ内すべてのレコードのローテーションを一括有効化

pam rotation edit --folder "/Shared/Prod" \
                  --config "<PAM_Config_UID>" \
                  --resource "<Gateway_Proxy_User_UID>" \
                  --schedule monthly \
                  --enable --force

例4 – ローテーション設定の削除

pam rotation edit --record "<Machine_UID>" --reset

オンデマンドローテーションの実行

スケジュールを無視して今すぐローテーションを実行したい場合

pam action rotate --record "<Machine_UID>"

コマンダーがジョブをKeeperゲートウェイに送信し、ゲートウェイが対象リソースに対して適切なプラグインまたはネイティブドライバを実行します。

参考

  • pam action gateway-info --gateway <Gateway_UID> – ゲートウェイのヘルス状態とバージョン確認

  • pam rotation list – ローテーションが有効なリソースを確認

  • pam action job-info --gateway <Gateway_UID> – 過去のローテーションジョブログを確認

バッチモード

多数のコマンドを一括で実行するには、KeeperのBatch Modeコマンドをご参照ください。

前へPAMリソースのインポート次へITSMとの統合

最終更新