# トンネルの設定

## 概要

KeeperPAMのトンネルでは、対象システムへの直接的なネットワーク経路を必要とせずにインフラへアクセスするための安全で一時的な接続を確立します。RDP、SSH、LDAPS、データベースなどのプロトコルに対して暗号化されたトンネルを確立することで、ジャストインタイムアクセスが実現します。ユーザーはKeeperPAMプラットフォームを通じて認証を行い、そこから接続を仲介しポリシーを適用します。

KeeperPAMを使用するには、ライセンスが必要です。ライセンスは、ビジネスおよびエンタープライズのお客様にご利用いただけます。

* [KeeperPAMホームページ](https://www.keepersecurity.com/ja_JP/privileged-access-management/)
* [デモを申し込む](https://www.keepersecurity.com/ja_JP/contact.html?t=b\&r=sales)
* [サポートにお問い合わせ](https://www.keepersecurity.com/ja_JP/support.html)

## 要件

トンネルはKeeperデスクトップアプリおよびKeeperコマンダーCLIからご利用になれます。

トンネルを設定する前に、以下をご確認ください。

## トンネル関連のポリシー <a href="#tunnel-enforcement-policies" id="tunnel-enforcement-policies"></a>

以下のトンネル関連の強制適用ポリシーを有効にしてトンネル使用権限を制御します。

KeeperPAMの強制ポリシーへは、管理コンソールを開いて、**\[管理者]** > **\[ロール]** > **\[強制適用ポリシー]** > **\[特権アクセス管理]** の順に移動します。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2F5RJSbXLfYUTHOzvEMH13%2FSetting%20up%20tunnels-1.png?alt=media&#x26;token=45ce463d-2de9-46bd-9823-9c462a5b4056" alt=""><figcaption><p>トンネルへの強制適用ポリシー</p></figcaption></figure>

| ポリシー      | コマンダーでのポリシー                              | 定義                                                            |
| --------- | ---------------------------------------- | ------------------------------------------------------------- |
| トンネル設定を構成 | `ALLOW_CONFIGURE_PAM_TUNNELING_SETTINGS` | PAMマシン、PAMディレクトリ、PAMデータベース、PAM構成の各レコードタイプでトンネル設定を構成できるようにします。 |
| トンネルを開始   | `ALLOW_LAUNCH_PAM_TUNNELS`               | PAMマシン、PAMディレクトリ、PAMデータベースの各レコードタイプでトンネルを開始できるようにします。         |

以下のように[KeeperコマンダーCLI](https://docs.keeper.io/jp/keeperpam/commander-cli/command-reference/secrets-manager-commands)で `enterprise-role`コマンドを使用することでもトンネルを有効にできます。

```
enterprise-role "My Role" --enforcement "ALLOW_CONFIGURE_PAM_TUNNELING_SETTINGS":true
enterprise-role "My Role" --enforcement "ALLOW_LAUNCH_PAM_TUNNELS":true
```

## **ポリシーの活用**

トンネルの開始のみの権限のみを付与し、トンネルの設定を構成する権限を付与しない場合は、「トンネルを開始」ポリシーのみを有効にします。

トンネルの開始に加え、トンネルの設定を構成する権限も付与する場合は、「トンネル設定を構成」と「トンネルを開始」の両方のポリシーを有効にします。

## Keeperゲートウェイのインストール <a href="#installing-the-keeper-gateway" id="installing-the-keeper-gateway"></a>

Keeperゲートウェイは、顧客のネットワークにインストールし、対象インフラへのゼロトラストアクセスを実現するエージェントレスのホスティングサービスです。通常、このサービスはアクセスが必要な各ネットワークにおいて、LinuxまたはDocker環境にインストールします。

詳しくはこちらの[ページ](https://docs.keeper.io/keeperpam/privileged-access-manager/getting-started/gateways)をご参照ください。

## PAM構成 <a href="#pam-configuration" id="pam-configuration"></a>

**PAM構成**には、対象インフラ、設定、[Keeperゲートウェイ](https://docs.keeper.io/keeperpam/privileged-access-manager/getting-started/gateways)に関する重要な情報が含まれています。インフラストラクチャ用PAM構成の設定は必須となります。詳しくはこちらの[ページ](https://docs.keeper.io/keeperpam/privileged-access-manager/getting-started/pam-configuration)をご参照ください。

## PAMマシン、PAMデータベース、PAMディレクトリ <a href="#pam-machine-pam-database-or-pam-directory" id="pam-machine-pam-database-or-pam-directory"></a>

Keeperトンネルは、ボルトクライアントと対象エンドポイントとの間で確立される、安全で暗号化されたTCP/IP接続です。対象のエンドポイントは、以下のいずれかのPAMレコードタイプで定義する必要があります。

<table><thead><tr><th width="230.953125">PAMレコードのタイプ</th><th>対象エンドポイントのタイプ</th><th data-hidden></th></tr></thead><tbody><tr><td><a href="../getting-started/pam-resources/pam-machine">PAMマシン</a></td><td>Windows/MacOS/Linuxの各マシン、EC2インスタンス、Azure VM</td><td></td></tr><tr><td><a href="../getting-started/pam-resources/pam-database">PAMデータベース</a></td><td>MySQL、PostgreSQL、SQL Server、MongoDB、MariaDB、Oracle</td><td></td></tr><tr><td><a href="https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/privileged-access-manager/getting-started/pam-resources/pam-directory/README.md">PAMディレクトリ</a></td><td>Active Directory、OpenLDAP</td><td></td></tr></tbody></table>

設定の詳細については対象エンドポイントに該当するPAMレコードタイプのページをご参照ください。

## PAM設定 (トンネル設定) <a href="#pam-settings-tunnel-settings" id="pam-settings-tunnel-settings"></a>

対象エンドポイントでPAMレコードタイプ (PAMマシン、PAMデータベース、PAMディレクトリ) を作成した後、以下の手順でPAM設定画面の **\[トンネル]** セクションへ移動します。

1. PAMレコードを編集する
2. PAM設定セクション内の **\[セットアップ]** をクリックする
3. 表示されたウィンドウで **\[トンネル]** セクションに移動する

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FAucDMusvCBG3GUTjZTSd%2FSetting%20up%20tunnels-2.webp?alt=media&#x26;token=18151654-7360-4714-866d-2a1031633c31" alt=""><figcaption></figcaption></figure>

以下の表は、PAM設定画面の **\[トンネル]** セクションで設定可能な項目となります。

<table><thead><tr><th>フィールド</th><th>定義</th><th data-hidden></th></tr></thead><tbody><tr><td>PAM構成</td><td><p><strong>必須</strong></p><p>PAM構成には対象インフラの詳細が含まれており、PAMレコードで設定された対象へのアクセスが可能になります。</p></td><td></td></tr><tr><td>トンネルを有効にする</td><td><p><strong>必須</strong></p><p>チェックするとそのレコードでトンネルを有効にします。</p></td><td></td></tr><tr><td>前回のポートを再利用する</td><td>チェックすると、前回使用されたトンネルポートが再利用されます。これにより、ポート番号が毎回変更されなくなります。</td><td></td></tr><tr><td>トンネルポート</td><td>Keeperゲートウェイが対象インフラへ接続する際に使用するポートです。指定がない場合は、Keeperレコードで設定されている「ローテーションポート」が使用されます。<br>指定したポートがすでに使用中である場合、トンネルは開始できません。</td><td></td></tr></tbody></table>

以下の画像のPAMマシンレコードでは以下が設定されています。

* トンネルが有効
* トンネルはローカルホストからリモートサーバーのポート3306に接続
* 以降のトンネルでは同じローカルポートを使用

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FhqrQV0QYzc7xBs8L6gTa%2FSetting%20up%20tunnels-3.png?alt=media&#x26;token=e2205e3e-23b3-4ad9-b6a6-c2c96f79f5a1" alt=""><figcaption><p>KeeperPAMリソースでのトンネル設定</p></figcaption></figure>

PAMレコードにトンネルを設定すると、PAMレコードに **\[トンネル接続を開始]** ボタンが表示されます。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2Fo3LpBxEitCI4GoMJeJEO%2FSetting%20up%20tunnels-4.png?alt=media&#x26;token=0232f709-2608-4486-a54f-e08daae1db95" alt=""><figcaption><p>トンネル接続を開始</p></figcaption></figure>

## トンネルの開始 <a href="#starting-a-tunnel" id="starting-a-tunnel"></a>

**\[トンネル接続を開始]** ボタンをクリックしてトンネルを開始します。この場合、ローカルポート番号は49644が選択されます。以降、このリソースに対するトンネルは同じローカルポートとトンネルが使用されます。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FObTFIE65OduiSminmpK2%2FSetting%20up%20tunnels-5.png?alt=media&#x26;token=7f6e042c-43d1-4750-928a-ad5db451dc42" alt=""><figcaption></figcaption></figure>

## トンネルの使用 <a href="#using-the-tunnel" id="using-the-tunnel"></a>

上記のスクリーンショットでは、対象エンドポイントであるAWSクラウド上で実行されているMySQLデータベースがPAMマシンレコードに定義および設定されています。トンネル設定が完了した後、ローカルホスト127.0.0.1およびローカルポート59644でトンネルが開始されました。

このMySQLデータベースには、MySQL Workbenchツールなど任意のネイティブアプリケーションを使用してアクセスできます。

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2F0AJbBgwmv3YtVyBf8wqZ%2FSetting%20up%20tunnels-6.png?alt=media&#x26;token=fd54669d-b817-4a93-9737-28c1a211cc45" alt=""><figcaption></figcaption></figure>

同様に、ローカルデバイスのCLIから以下のコマンドを使用してデータベースへの接続を開始できます。

```
mysql --host=127.0.0.1 --port=59644 --user=admin --password
```

## コマンダーCLI <a href="#commander-cli" id="commander-cli"></a>

Keeperデスクトップのユーザーインターフェースに加え、[Keeperコマンダー](https://docs.keeper.io/jp/keeperpam/commander-cli/overview)でもトンネリング機能を利用できます。

関連コマンド

* [`pam tunnel`](https://docs.keeper.io/keeperpam/commander-cli/command-reference/keeperpam-commands)

### 例

```
My Vault> pam tunnel start s0W1v6R4SUTJYMlu4jTZw
Establishing tunnel between Commander and Gateway. Please wait...

+------------------------------------------------------------------+
| Endpoint pbxV4snkAP9KGCUhSb6aQ==: Listening on: 127.0.0.1:49152 |
+------------------------------------------------------------------+
View all open tunnels   : pam tunnel list
Tail logs on open tunnel: pam tunnel tail pbxV4snkAP9KGCUhSb6aQ==
Stop a tunnel           : pam tunnel stop pbxV4snkAP9KGCUhSb6aQ==
```

## トンネルと接続の違い <a href="#tunnels-versus-connections" id="tunnels-versus-connections"></a>

トンネルでは、エンドツーエンドの暗号化を用いてユーザーのローカルデバイスから対象のインフラへの経路を確立します。セキュリティ上の理由から、Keeperが低レベル通信を傍受したり干渉したりすることはありません。そのため、パスワードやSSHキーなど、プロトコルで必要となる認証情報はすべて、ユーザーのローカルデバイス上で利用可能である必要があります。Keeperがプロトコル層を傍受することはありません。

トンネルとともに認証情報をユーザーに提供する場合、認証情報の自動ローテーションを行って認証情報がスケジュールに基づいて無効化されるようにすることを推奨します。詳しくは[パスワードローテーション](https://docs.keeper.io/jp/keeperpam/secrets-manager/password-rotation)のページをご参照ください。

KeeperPAMでは、認証情報を共有することなくリモートインフラへアクセスするのに2つの方法がご利用になれます。

* 多様なプロトコルを通じてインタラクティブなセッションを確立するための[接続](https://docs.keeper.io/keeperpam/privileged-access-manager/connections)
* 自動入力機能を備えた[リモートブラウザ分離](https://docs.keeper.io/keeperpam/privileged-access-manager/remote-browser-isolation)によるウェブベースのインタラクティブセッションの確立