syncコマンド

Keeperボルトから外部のシークレットマネージャーに選択したキーを同期

同期は一方向のみで、Keeper を信頼できる情報源 (読み取り専用) として使用し、外部のシークレットマネージャー内のリモートのキー・バリューペアのみを更新します。

sync

概要

Keeperボルトからシークレットをインポートして、外部のシークレット管理システムと同期します。

ksm sync --credentials <UID> --type [aws|azure|gcp|json] [--dry-run] [--preserve-missing] --map <KEY NOTATION>...

ksm profile init <TOKEN> コマンドで初期化したシークレットマネージャープロファイルが必要です。詳細については、profileコマンドのページをご参照ください。

パラメータ

-t、--type

ターゲットのキー/値ストレージのタイプ。使用できるタイプは以下のとおりです。

aws

AWS Secrets Manager

azure

Azure Key Vault

gcp

GCP Secret Manager

json

送信元と送信先の両方の値を含む、保留中の同期操作をすべて一覧表示します。

-m、--map<KEY NOTATION>

表記法URIを使用して、送信先のキー名を値にマッピングします。

-c、--credentials <uid>

送信先のキー/値ストレージにアクセスするためのクレデンシャルを格納したKeeperレコードのUID。指定したレコードは、Keeperシークレットマネージャーアプリケーションに共有されている必要があります。

オプションパラメータ

-n、--dry-run

変更を加えずにテストで実行します。

-p、--preserve-missing

送信元の値が削除されても、送信先の値を保持します。

AWS固有のオプション

--record, -r <RECORD>

タイトルまたはUIDを指定して、個別のレコードを同期します。複数回指定できます。

--folder, -f <FOLDER>

指定したフォルダ内のすべてのレコードを同期します (再帰処理は行われません)。

--folder-recursive, -fr <FOLDER>

指定したフォルダおよびその配下のすべてのサブフォルダを再帰的に同期します。

--raw-json, -rj

完全な生のJSONをKMSシークレットに保存します(secret get <UID> --json と同じ形式)。

crontabを使用した自動化

cronジョブを使用することで、シークレットの同期を自動化できます。

例1. 毎日のシンプルな同期

毎日午前2時に1回同期します。

# crontabを編集
crontab -e

# Productionフォルダを毎日2:00に同期する行を追加
0 2 * * * /usr/local/bin/ksm sync -t aws -c <CRED_UID> --folder-recursive "Production" >> /var/log/ksm-sync.log 2>&1

例2. 複数同期を行う高度なスクリプト

異なるマッピングを使用して複数の同期処理を行う場合は、シェルスクリプトを作成します。

/home/user/scripts/ksm-sync-all.sh を作成します。

#!/usr/bin/env bash

# 設定
CRED_UID="<YOUR_AWS_CRED_UID>"

# 複数のカスタムマッピングを使用した同期
ksm sync -t aws -c "$CRED_UID" \
    --map "legacy-db-password" "keeper://<UID>/field/password" \
    --map "api_key" "keeper://<UID>/custom_field/api_key" \
    --map "db_host" "keeper://<UID>/custom_field/hostname" \
    >> /var/log/ksm-sync.log 2>&1

# マッピング数が多い場合は、複数の同期コマンドに分割します
ksm sync -t aws -c "$CRED_UID" \
    --map "db_password" "keeper://<UID>/field/password" \
    --map "db_login" "keeper://<UID>/custom_field/login" \
    >> /var/log/ksm-sync.log 2>&1

スクリプトに実行権限を付与します。

chmod +x /home/user/scripts/ksm-sync-all.sh

6時間ごとに実行するようcrontabに追加します。

# crontabを編集
crontab -e

# 6時間ごとに同期スクリプトを実行
0 */6 * * * /home/user/scripts/ksm-sync-all.sh

同期タイプ

各同期タイプの詳細については、以下をご参照ください。

https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/secrets-manager/integrations/aws-secrets-manager/README.md https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/secrets-manager/integrations/azure-key-vault/README.md https://github.com/Keeper-Security/gitbook-jp-secrets-manager/blob/main/secrets-manager/integrations/gcp-secret-manager/README.md

前へfolderコマンド次へexecコマンド

最終更新 6 日前

役に立ちましたか？

hashtagsync

hashtag概要

hashtagパラメータ

hashtagオプションパラメータ

hashtagAWS固有のオプション

hashtagcrontabを使用した自動化

hashtag例1. 毎日のシンプルな同期

hashtag例2. 複数同期を行う高度なスクリプト

hashtag同期タイプ

sync

概要

パラメータ

オプションパラメータ

AWS固有のオプション

crontabを使用した自動化

例1. 毎日のシンプルな同期

例2. 複数同期を行う高度なスクリプト

同期タイプ