search
github編集

syncコマンド

Keeperボルトから外部のシークレットマネージャーに選択したキーを同期

circle-check

同期は一方向のみで、Keeper を信頼できる情報源 (読み取り専用) として使用し、外部のシークレットマネージャー内のリモートのキー・バリュー ペアのみを更新します。

hashtag
sync

hashtag
概要

Keeperボルトからシークレットをインポートして、外部のシークレット管理システムと同期します。

ksm sync --credentials <UID> --type [aws|azure|gcp|json] [--dry-run] [--preserve-missing] --map <KEY NOTATION>...

circle-info

ksm profile init <TOKEN> コマンドで初期化したシークレットマネージャープロファイルが必要です。 詳細については、profileコマンドのページをご参照ください。

hashtag
パラメータ

-t、--type

ターゲットのキー/値ストレージのタイプ。使用できるタイプは以下のとおりです。

aws

AWS Secrets Manager

azure

Azure Key Vault

gcp

GCP Secret Manager

json

送信元と送信先の両方の値を含む、保留中の同期操作をすべて一覧表示します。

-m、--map<KEY NOTATION>

表記法URIを使用して、送信先のキー名を値にマッピングします。

-c、--credentials <uid>

送信先のキー/値ストレージにアクセスするためのクレデンシャルを格納したKeeperレコードのUID。指定したレコードは、Keeperシークレットマネージャーアプリケーションに共有されている必要があります。

hashtag
オプションパラメータ

-n、--dry-run

変更を加えずにテストで実行します。

-p、--preserve-missing

送信元の値が削除されても、送信先の値を保持します。

hashtag
AWS固有のオプション

--record, -r <RECORD>

タイトルまたはUIDを指定して、個別のレコードを同期します。複数回指定できます。

--folder, -f <FOLDER>

指定したフォルダ内のすべてのレコードを同期します (再帰処理は行われません)。

--folder-recursive, -fr <FOLDER>

指定したフォルダおよびその配下のすべてのサブフォルダを再帰的に同期します。

--raw-json, -rj

完全な生のJSONをKMSシークレットに保存します(secret get <UID> --json と同じ形式)。

hashtag
crontabを使用した自動化

cronジョブを使用することで、シークレットの同期を自動化できます。

hashtag
例1. 毎日のシンプルな同期

毎日午前2時に1回同期します。

hashtag
例2. 複数同期を行う高度なスクリプト

異なるマッピングを使用して複数の同期処理を行う場合は、シェルスクリプトを作成します。

/home/user/scripts/ksm-sync-all.sh を作成します。

スクリプトに実行権限を付与します。

6時間ごとに実行するようcrontabに追加します。

hashtag
同期タイプ

各同期タイプの詳細については、以下をご参照ください。

AWSシークレットマネージャー同期chevron-rightAzure Key Vaultとの同期chevron-rightGoogle Cloud Secret Managerとの同期chevron-right
前へfolderコマンド次へexecコマンド

最終更新