AWS CLI認証プロセス
KeeperシークレットマネージャーでAWSアクセスキーを保護
概要
AWS CLIは、デフォルトではプレーンテキストで~/.aws/credentials
に保存された認証情報を使用します。この認証情報プロセスにより、Keeperボルトを使用して AWS 認証情報を保存できるようになり、認証情報をディスクに保存する必要がなくなります。
代わりに、AWS はこの実行可能ファイルを使用して、Keeperシークレットマネージャー (KSM) を介してボルトからAWS認証情報を安全に取得します。
特徴
ボルトに保管された AWS アクセスキーを使用して AWS CLI に認証します。
要件
この統合を利用するには、以下が必要となります。
Keeperシークレットマネージャーへのアクセス (詳細についてはクイックスタートガイドのページをご参照ください)
Keeperアカウントでシークレットマネージャーのアドオンが有効である
シークレットマネージャー強制適用ポリシーが有効になっているロールのメンバーシップ
アクセスキーが共有されたKeeperシークレットマネージャーアプリケーション
アプリケーションの作成手順については、クイックスタートガイドをご参照ください。
初期化されたKeeperシークレットマネージャー構成
この統合ではJSON形式の設定のみが使用できます。
AWS CLI v2がインストールされている
セットアップ
ボルト
まず、AWSのAccess Key ID
と をSecret Access Key
ボルト内の記録に追加します。この種類の情報専用の記録タイプはありませんが、カスタム記録を作成できます。
新しいカスタム記録タイプを作成するには、ユーザーが「ボルト内の記録タイプを管理」の権限が有効になっている管理者ロールに属している必要があります。
注: フィールド名では大文字と小文字が区別されます。
カスタムフィールドを作成することでAWSアクセスキーを保存するための記録を作成します。この記録は、KSMアプリケーションがアクセスする権限を持つ共有フォルダに保存します。
保存後、AWS認証情報ファイルからアクセスキー認証情報を削除できます。
Keeperシークレットマネージャー (KSM)
統合では、.config/keeper/aws-credential-process.json
またはユーザーのホームディレクトリにあるaws-credential-process.json
に KSM アプリケーション構成ファイルが配置されている必要があります。また、必要なAWSアクセスキーを含む共有フォルダにアクセスできる必要があります。
KSM構成をJSON形式で取得するには、こちらのページの手順をご参照ください。新しいデバイスを作成した後、対応するconfig.json
を取得し、aws-credential-process.json
としてユーザーのホームフォルダにコピーします。
AWS構成
GitHubリリースページからkeeper-aws-credential-process
実行可能ファイルの最新バージョンをダウンロードし、任意の場所に保存します。
次に、通常 にある AWS 設定ファイルで、~/.aws/config
CLI 経由で使用しているプロファイルに次の行を追加します。
マシンにAWS CLI構成が残っていないことを確かにします。これが自動的に読み込まれたり、認証プロセスの設定ミスを引き起こしたりする可能性があります。
使用法
上記の設定を終えると、AWS CLIはKeeperボルトから認証情報を自動的に取得するようになります。動作を検証するには、以下のような適切なIAMロールが必要となるCLIコマンドを使用して動作を検証できます。
エラーなしで正常に完了する場合、これでセットアップは完了です。
機能リクエストおよび不具合の報告
この認証プロセスはオープンソースであり、GitHubで入手できます。バグ報告やより多くの認証事例への対応をご要望でしたら、こちらのGitHubページからチケットを作成してください。
最終更新