AWS CLI認証プロセス
KeeperシークレットマネージャーでAWSアクセスキーを保護
最終更新
KeeperシークレットマネージャーでAWSアクセスキーを保護
最終更新
AWS CLIは、デフォルトではプレーンテキストで~/.aws/credentials
に保存された認証情報を使用します。この認証情報プロセスにより、Keeperボルトを使用して AWS 認証情報を保存できるようになり、認証情報をディスクに保存する必要がなくなります。
代わりに、AWS はこの実行可能ファイルを使用して、Keeperシークレットマネージャー (KSM) を介してボルトからAWS認証情報を安全に取得します。
ボルトに保管された AWS アクセスキーを使用して AWS CLI に認証します。
この統合を利用するには、以下が必要となります。
Keeperシークレットマネージャーへのアクセス (詳細についてはクイックスタートガイドのページをご参照ください)
Keeperアカウントでシークレットマネージャーのアドオンが有効である
シークレットマネージャー強制適用ポリシーが有効になっているロールのメンバーシップ
アクセスキーが共有されたKeeperシークレットマネージャーアプリケーション
アプリケーションの作成手順については、クイックスタートガイドをご参照ください。
初期化されたKeeperシークレットマネージャー構成
この統合ではJSON形式の設定のみが使用できます。
AWS CLI v2がインストールされている
まず、AWSのAccess Key ID
と をSecret Access Key
ボルト内の記録に追加します。この種類の情報専用の記録タイプはありませんが、カスタム記録を作成できます。
注: フィールド名では大文字と小文字が区別されます。
カスタムフィールドを作成することでAWSアクセスキーを保存するための記録を作成します。この記録は、KSMアプリケーションがアクセスする権限を持つ共有フォルダに保存します。
保存後、AWS認証情報ファイルからアクセスキー認証情報を削除できます。
統合では、.config/keeper/aws-credential-process.json
またはユーザーのホームディレクトリにあるaws-credential-process.json
に KSM アプリケーション構成ファイルが配置されている必要があります。また、必要なAWSアクセスキーを含む共有フォルダにアクセスできる必要があります。
KSM構成をJSON形式で取得するには、こちらのページの手順をご参照ください。新しいデバイスを作成した後、対応するconfig.json
を取得し、aws-credential-process.json
としてユーザーのホームフォルダにコピーします。
GitHubリリースページからkeeper-aws-credential-process
実行可能ファイルの最新バージョンをダウンロードし、任意の場所に保存します。
次に、通常 にある AWS 設定ファイルで、~/.aws/config
CLI 経由で使用しているプロファイルに次の行を追加します。
マシンにAWS CLI構成が残っていないことを確かにします。これが自動的に読み込まれたり、認証プロセスの設定ミスを引き起こしたりする可能性があります。
上記の設定を終えると、AWS CLIはKeeperボルトから認証情報を自動的に取得するようになります。動作を検証するには、以下のような適切なIAMロールが必要となるCLIコマンドを使用して動作を検証できます。
エラーなしで正常に完了する場合、これでセットアップは完了です。
この認証プロセスはオープンソースであり、GitHubで入手できます。バグ報告やより多くの認証事例への対応をご要望でしたら、こちらのGitHubページからチケットを作成してください。
新しいカスタム記録タイプを作成するには、ユーザーがの権限が有効になっている管理者ロールに属している必要があります。