Azure VMユーザーアカウント
Keeperを使用したAzure仮想マシンのローカルユーザーアカウントとリモートユーザーアカウントのローテーション
最終更新
Keeperを使用したAzure仮想マシンのローカルユーザーアカウントとリモートユーザーアカウントのローテーション
最終更新
このガイドでは、Keeperローテーションを使用してAzure環境内でAzure仮想マシンのローカルユーザーアカウントとリモートユーザーアカウントをローテーションする方法について説明します。Azureネットワークでのローテーションプロセスの概要については、こちらのページをご参照ください。
このガイドでは、以下の作業がすでに実行されていることを前提としています。
Keeperローテーションがご利用のロールに対して有効になっていること
Keeperシークレットマネージャーアプリケーションが作成済みであること
Azure環境が設定されていること
Keeperローテーションゲートウェイがすでにインストールされて動作しており、SSHかWinRMを使用してターゲットのAzure仮想マシンと通信できること
PowerShellがすべてのWindowsマシンとすべてのLinuxマシンのbashで利用できること
Keeperは、ゲートウェイマシンまたはネットワーク上の他のマシン上の任意のローカルユーザーアカウントをローテーションできます。PAMマシンレコードは、すべてのマシンに対して作成する必要があります。このPAMマシンレコードには、マシン上のユーザーのパスワードを変更する権限を持つ管理用クレデンシャルが含まれている必要があります。
すべてのマシンに対してPAMマシンレコードが作成されたら、ローテーションされるユーザーアカウントごとにPAMユーザーレコードを作成する必要があります。PAMマシンレコードもローテーションできます。
以下の表に、PAMマシンレコードで入力が必要な必須フィールドをすべて一覧で表示します。
Azure環境のPAM設定が作成済みの場合は、マシンユーザーのローテーションに必要なその他のリソースクレデンシャルを既存のPAM設定に追加すればよいだけです。
最初に以下の項目が完了していることを確認します。
Keeperシークレットマネージャーアプリケーションが作成済みであること
Keeperローテーションゲートウェイがすでにインストールされて動作しており、作成したKeeperシークレットマネージャーアプリケーションでプロビジョニングされていること
ターゲットマシンごとにPAMマシンレコードが作成されていること
新しいPAM設定を作成する場合は、Keeperボルトにログインし、ボルトの左側のメニューから[Secrets Manager]、[PAM設定]タブの順に選択して、[新規設定]をクリックします。 以下は、PAM設定で入力が必要なフィールドとなります。
PAMネットワーク設定レコードの設定可能なすべてのフィールドの詳細は、こちらのページをご参照ください。
ゲートウェイが既存のPAM設定にすでにデプロイ済みの場合は、必要に応じてその他の管理用のリソースクレデンシャルを追加するように設定を調整すればよいだけです。
以下の例では、ローカル管理者のPAMマシンレコードがAzureの各VMに1つずつ、全部で5つあります。各アカウントを使用して、それぞれのマシンのローカルユーザーのクレデンシャルをローテーションします。
Keeperローテーションは、PAMマシンレコードのクレデンシャルを使用して、PAMユーザーレコードによって参照されるアカウントのクレデンシャルをローテーションします。
以下の表に、PAMユーザーレコードで入力が必要な必須フィールドをすべて一覧で表示します。
手順3で設定したPAMユーザーのレコードを選択し、そのレコードを編集して[パスワードローテーション設定]を開きます。を開きます。
適切なスケジュールとパスワードの複雑さを選択します。
[ローテーション設定]では、以前に設定したPAM設定を使用する必要があります。
[リソースクレデンシャル]フィールドで、このユーザーのマシン固有のPAMマシン管理者のクレデンシャルを選択する必要があります。
保存すると、ローテーションボタンが有効になり、必要に応じて、または選択したスケジュールでローテーションできるようになります。
PAMユーザーのレコードに対するedit
権限を持つユーザーならだれでも、そのレコードのローテーションを設定できます。
必要に応じて、PAMマシンのクレデンシャルをローテーションすることもできます。手順1で設定したPAMマシンレコードを選択し、そのレコードを編集して、[パスワードローテーション設定]を開きます。
適切なスケジュールとパスワードの複雑さを選択します。
[ローテーション設定]では、以前に設定したPAM設定を使用する必要があります。
[リソースクレデンシャル]フィールドで、クレデンシャルをローテーションできるPAMマシンを選択する必要があります。
保存すると、ローテーションボタンが有効になり、必要に応じて、または選択したスケジュールでローテーションできるようになります。
フィールド | 説明 |
---|---|
フィールド | 説明 |
---|---|
フィールド | 説明 |
---|---|
タイトル
レコードの名前、例: Windows Machine 1
ホスト名またはIPアドレス
ゲートウェイがアクセスするマシンのホスト名またはIP、例: 10.0.1.4
ポート
通常、WinRMは5985または5986、SSHは22
ログイン
管理者アカウントのユーザー名
パスワード
WinRMで必須
設定でパスワードが必要な場合、SSHではオプション。パスワードが不要の場合はPEM鍵を使用できます。
注意:次の文字は使用が制限されています。" '
PEM秘密鍵
パスワードを使用しない場合、SSHでは必須
オペレーティングシステム
仮想マシンのオペレーティングシステム:Windows
またはLinux
SSL検証
WinRMの場合、選択すると、SSLモードポート5986が使用されます。SSHでは無視されます。 トラブルシューティングのヒントについては、このセクションをご参照ください
タイトル
設定名、例:Azure Demo
環境
選択:Azure Network
ゲートウェイ
Keeperシークレットマネージャーアプリケーションで設定され、前提条件のAzure仮想マシンにネットワークでアクセスできるゲートウェイを選択します
アプリケーションフォルダ
PAMマシンレコードを含む共有フォルダを選択します
リソースクレデンシャル
ローカルユーザーのパスワードをローテーションするのに十分な権限を持つ管理者クレデンシャルを含むPAMマシンレコードを選択します 重要:ローテーションするマシンが複数ある場合は、各PAMマシンレコードをリソースクレデンシャルとして追加する必要があります
Azure ID
このAzureインスタンスの一意のID。これは参考用のため、何を指定してもよいですが、短くすることをお勧めします
例:Azure-prod
クライアントID
アプリケーションの登録時にAzure ADによってアプリに割り当てられた一意のアプリケーション(クライアント)ID
クライアントシークレット
Azureアプリケーションのクライアントのクレデンシャルシークレット
サブスクリプションID
Azureサービスを使用するためのサブスクリプション(従量課金制)を識別するUUID
テナントID
Azure Active DirectoryのUUID
タイトル
Keeperのレコードタイトル(Local User1
)
ログイン
ローテーションするアカウントの大文字と小文字の区別があるユーザー名。ユーザー名は、次のいずれかの形式にする必要があります。
domain\username
username@domain
パスワード
アカウントパスワードはオプションです。空白の場合はローテーションで設定されます