はじめに
Keeperパスワードローテーションのクイックスタートガイド
ローテーションの有効化
ローテーションは、Keeper Secrets Manager(「KSM」)の機能です。ご利用のアカウントでKeeper Secrets Managerを有効化すると、特定のロールに対してローテーション機能を有効にできます。
管理コンソールでローテーションを有効化
ご利用のテナントのKeeper管理コンソールにログインします。
管理者 > ロールの選択 (またはロールの新規作成) > 強制ポリシー > Secrets Managerに移動します。
以下の両方のポリシーを有効にします。
[Keeper Secrets Manager を有効化]: これにより、ローテーションに必要なボルトのSecrets Manager機能が有効になります。
[Keeper ローテーションの管理]: これにより、ユーザーはゲートウェイをデプロイし、ボルト内の特権アクセス記録のローテーションを設定できます。
Commanderを使用したローテーションの有効化
ローテーションは、enterprise-role
コマンドを使用して、Keeper Commander CLIで有効にすることもできます。enterprise-role
コマンドを使用すると、強制ポリシーを管理できます。
ローテーションを有効にする前に、以下のコマンドを使用してロールのKSM機能を有効にする必要があります。
KSMを有効にした後、以下のコマンドを使用して同じロールのローテーション機能を有効にしてください。
ローテーションの記録タイプ
ロールのKeeper Rotationを有効にすると、4つの新しい記録タイプがボルトで利用できるようになります。そのロールのユーザーは、以下の新しい記録タイプを作成できるようになります。
PAMユーザー ログイン/パスワードと秘密鍵のいずれか一方またはその両方が格納されます。
PAMディレクトリ オンプレミスまたはクラウドベースのディレクトリに関する情報
PAMデータベース MySQLやSQL Serverなどのセルフホステッドまたはマネージドクラウドベースのデータベース
PAMマシン オンプレミスまたはクラウドのWindowsやLinux、macOSのマシン
4つの記録タイプすべてをボルトに追加したり、フォルダに格納したり、Keeperの他の記録と同様に共有したりすることができます。これらの記録は、特権を持たないKeeperユーザーと共有できますが、ユーザーが「Keeper ローテーションの管理」ロール強制ポリシーを有効にしていない限り、ローテーションすることはできません。
これらの記録タイプとローテーションで担うロールの詳細は、以下をご参照ください。
記録タイプの詳細PAM設定
ローテーションが有効になると、ボルトのSecrets Manager画面にPAM 設定というセクションが表示されます。PAM設定は、以下を含むオブジェクトです。
環境 ローカルネットワーク、AWSまたはAzure
Keeper Gateway オンプレミスまたはクラウドのインフラストラクチャにインストールするサービス
アプリケーションフォルダ Secrets Managerアプリケーションと関連記録を含む共有フォルダ
管理用クレデンシャル ローテーションおよび検出を実行するための特権クレデンシャルを含むKeeperの記録。
PAM設定、アプリケーション、ゲートウェイの数に制限はありません。
パスワードのローテーション方法
ターゲット環境でパスワードをローテーションするための基本的な手順は以下のとおりです。
ボルトに共有フォルダを作成します
PAMディレクトリ、PAMデータベース、またはPAMマシンの記録を共有フォルダに追加します
PAMユーザーの記録を共有フォルダに追加します
Secrets Managerアプリケーションを作成します
Secrets Managerアプリケーションを共有フォルダに割り当てます
Secrets ManagerアプリケーションにKeeper Gatewayを追加します
すべてを連携するPAM設定を作成します
最終更新