AWS
AWS環境でのパスワードローテーション
最終更新
AWS環境でのパスワードローテーション
最終更新
このセクションでは、対象となる様々なシステムとサービス間で、AWSクラウド環境内のユーザークレデンシャルをローテーションする方法について説明します。
AWS環境の設定は、KeeperシークレットマネージャーのPAM設定セクションで定義します。Keeperは、ゲートウェイがインストールされたEC2インスタンスの継承されたロールを使用して、AWSシステムで認証し、ローテーションを実行します。インスタンスのロールが定義されていない場合は、AWSアクセスキーIDと秘密鍵をPAM設定レコードに格納して、認証およびローテーションを実行できます。
PAM設定レコードは、他のKeeperのレコードと同様にボルトで暗号化されます
EC2、RDS、ディレクトリサービスなどのマネージドリソースの設定は、PAMマシン、PAMデータベース、およびPAMディレクトリレコードタイプで定義されます。以下の表は、KeeperローテーションでサポートされているAWSマネージドリソースと、それらに対応するPAMレコードタイプを示しています。
| AWSマネージドリソース | 対応するレコードタイプ |
|---|---|
EC2 | PAMマシン |
RDS | PAMデータベース |
ディレクトリサービス | PAMディレクトリ |
ディレクトリユーザーまたはIAMユーザーの設定は、PAMユーザーレコードタイプで定義されます。
AWS環境内でユーザークレデンシャルをローテーションする前に、次の情報と設定を必ず用意する必要があります。
IAMユーザーアカウントを正常にローテーションするには、IAM管理者アカウントを作成する必要があります。IAM管理者アカウントは、ターゲットリソースにアクセスするための適切なポリシー設定が指定されたIAMユーザーアカウントです。ポリシー設定の詳細は、こちらのページをご参照ください。
EC2インスタンスにアタッチされたAWSマネージドリソースのクレデンシャルを正常にローテーションするには、ポリシーが適切に指定されたロールを設定し、EC2インスタンスにアタッチする必要があります。ポリシー設定の詳細は、こちらのページをご参照ください。
AWS環境内でローテーションを構成および設定するには、PAM設定で以下の値が必要です。
| フィールド | 説明 |
|---|---|
アクセスキーID | これは、IAMユーザーアカウントで検出された目的のアクセスキーのアクセスキーIDです
ゲートウェイがインスタンスロールをサポートするEC2インスタンスにデプロイされている場合は、このフィールドを |
シークレットアクセスキー | これは、IAMユーザーアカウントで検出された目的のアクセスキーのシークレットアクセスキーです
ゲートウェイがインスタンスロールをサポートするEC2インスタンスにデプロイされている場合は、このフィールドを |
Keeperゲートウェイは、常にまずEC2インスタンスロールを使用して認証およびローテーションを実行しようとします。これが失敗するか、またはマシンで使用できない場合、KeeperはPAM設定に保存されたアクセスキーIDとシークレットアクセスキーを使用します。
AWSでの環境設定の詳細は、以下のセクションをご参照ください。
AWS環境の設定大まかに言えば、AWSネットワークでパスワードを正常にローテーションするには、以下の手順が必要です。
ローテーションに関連するPAMレコードを格納する共有フォルダの作成
ユーザーのクレデンシャルをローテーションおよび更新するために必要な権限を持つ、クレデンシャルを格納するPAMマシン、PAMデータベース、およびPAMディレクトリレコードの作成
ユーザーの情報を含むPAMユーザーレコードの作成
シークレットマネージャーアプリケーションの作成およびPAMレコードを格納する共有フォルダへの割り当て
Keeperゲートウェイのインストールおよびシークレットマネージャーアプリケーションへの追加
AWS環境設定を使用したPAM設定の作成
PAMユーザーレコードやPAMマシン、PAMデータベース、PAMディレクトリレコードのローテーション設定の指定
以下のページでは、Azureネットワーク上の様々なシナリオでパスワードを正常にローテーションする方法について、これらの手順を詳しく説明します。
