Azure VMユーザーアカウント
Keeperを使用したAzure仮想マシンのローカルユーザーアカウントとリモートユーザーアカウントのローテーション
最終更新
Keeperを使用したAzure仮想マシンのローカルユーザーアカウントとリモートユーザーアカウントのローテーション
最終更新
このガイドでは、Keeperローテーションを使用してAzure環境内でAzure仮想マシンのローカルユーザーアカウントとリモートユーザーアカウントをローテーションする方法について説明します。Azureネットワークでのローテーションプロセスの概要については、こちらのページをご参照ください。
このガイドでは、以下の作業がすでに実行されていることを前提としています。
Keeperローテーションがご利用のロールに対して有効になっていること
Keeperシークレットマネージャーアプリケーションが作成済みであること
Azure環境が設定されていること
Keeperローテーションゲートウェイがすでにインストールされて動作しており、SSHかWinRMを使用してターゲットのAzure仮想マシンと通信できること
PowerShellがすべてのWindowsマシンとすべてのLinuxマシンのbashで利用できること
Keeperは、ゲートウェイマシンまたはネットワーク上の他のマシン上の任意のローカルユーザーアカウントをローテーションできます。PAMマシンレコードは、すべてのマシンに対して作成する必要があります。このPAMマシンレコードには、マシン上のユーザーのパスワードを変更する権限を持つ管理用クレデンシャルが含まれている必要があります。
すべてのマシンに対してPAMマシンレコードが作成されたら、ローテーションされるユーザーアカウントごとにPAMユーザーレコードを作成する必要があります。PAMマシンレコードもローテーションできます。
以下の表に、PAMマシンレコードで入力が必要な必須フィールドをすべて一覧で表示します。
| フィールド | 説明 |
|---|---|
タイトル | レコードの名前、例: |
ホスト名またはIPアドレス | ゲートウェイがアクセスするマシンのホスト名またはIP、例: 10.0.1.4 |
ポート | 通常、WinRMは5985または5986、SSHは22 |
ログイン | 管理者アカウントのユーザー名 |
パスワード | WinRMで必須
設定でパスワードが必要な場合、SSHではオプション。パスワードが不要の場合はPEM鍵を使用できます。
注意:次の文字は使用が制限されています。 |
PEM秘密鍵 | パスワードを使用しない場合、SSHでは必須 |
オペレーティングシステム | 仮想マシンのオペレーティングシステム: |
SSL検証 | WinRMの場合、選択すると、SSLモードポート5986が使用されます。SSHでは無視されます。 トラブルシューティングのヒントについては、このセクションをご参照ください |
Azure環境のPAM設定が作成済みの場合は、マシンユーザーのローテーションに必要なその他のリソースクレデンシャルを既存のPAM設定に追加すればよいだけです。
最初に以下の項目が完了していることを確認します。
Keeperシークレットマネージャーアプリケーションが作成済みであること
Keeperローテーションゲートウェイがすでにインストールされて動作しており、作成したKeeperシークレットマネージャーアプリケーションでプロビジョニングされていること
ターゲットマシンごとにPAMマシンレコードが作成されていること
新しいPAM設定を作成する場合は、Keeperボルトにログインし、ボルトの左側のメニューから[Secrets Manager]、[PAM設定]タブの順に選択して、[新規設定]をクリックします。 以下は、PAM設定で入力が必要なフィールドとなります。
| フィールド | 説明 |
|---|---|
タイトル | 設定名、例: |
環境 | 選択: |
ゲートウェイ | Keeperシークレットマネージャーアプリケーションで設定され、前提条件のAzure仮想マシンにネットワークでアクセスできるゲートウェイを選択します |
アプリケーションフォルダ | PAMマシンレコードを含む共有フォルダを選択します |
リソースクレデンシャル | ローカルユーザーのパスワードをローテーションするのに十分な権限を持つ管理者クレデンシャルを含むPAMマシンレコードを選択します 重要:ローテーションするマシンが複数ある場合は、各PAMマシンレコードをリソースクレデンシャルとして追加する必要があります |
Azure ID | このAzureインスタンスの一意のID。これは参考用のため、何を指定してもよいですが、短くすることをお勧めします
例: |
クライアントID | アプリケーションの登録時にAzure ADによってアプリに割り当てられた一意のアプリケーション(クライアント)ID |
クライアントシークレット | Azureアプリケーションのクライアントのクレデンシャルシークレット |
サブスクリプションID | Azureサービスを使用するためのサブスクリプション(従量課金制)を識別するUUID |
テナントID | Azure Active DirectoryのUUID |
PAMネットワーク設定レコードの設定可能なすべてのフィールドの詳細は、こちらのページをご参照ください。
ゲートウェイが既存のPAM設定にすでにデプロイ済みの場合は、必要に応じてその他の管理用のリソースクレデンシャルを追加するように設定を調整すればよいだけです。
以下の例では、ローカル管理者のPAMマシンレコードがAzureの各VMに1つずつ、全部で5つあります。各アカウントを使用して、それぞれのマシンのローカルユーザーのクレデンシャルをローテーションします。
Keeperローテーションは、PAMマシンレコードのクレデンシャルを使用して、PAMユーザーレコードによって参照されるアカウントのクレデンシャルをローテーションします。
以下の表に、PAMユーザーレコードで入力が必要な必須フィールドをすべて一覧で表示します。
| フィールド | 説明 |
|---|---|
タイトル | Keeperのレコードタイトル( |
ログイン | ローテーションするアカウントの大文字と小文字の区別があるユーザー名。ユーザー名は、次のいずれかの形式にする必要があります。
|
パスワード | アカウントパスワードはオプションです。空白の場合はローテーションで設定されます |
手順3で設定したPAMユーザーのレコードを選択し、そのレコードを編集して[パスワードローテーション設定]を開きます。を開きます。
適切なスケジュールとパスワードの複雑さを選択します。
[ローテーション設定]では、以前に設定したPAM設定を使用する必要があります。
[リソースクレデンシャル]フィールドで、このユーザーのマシン固有のPAMマシン管理者のクレデンシャルを選択する必要があります。
保存すると、ローテーションボタンが有効になり、必要に応じて、または選択したスケジュールでローテーションできるようになります。
PAMユーザーのレコードに対するedit権限を持つユーザーならだれでも、そのレコードのローテーションを設定できます。
必要に応じて、PAMマシンのクレデンシャルをローテーションすることもできます。手順1で設定したPAMマシンレコードを選択し、そのレコードを編集して、[パスワードローテーション設定]を開きます。
適切なスケジュールとパスワードの複雑さを選択します。
[ローテーション設定]では、以前に設定したPAM設定を使用する必要があります。
[リソースクレデンシャル]フィールドで、クレデンシャルをローテーションできるPAMマシンを選択する必要があります。
保存すると、ローテーションボタンが有効になり、必要に応じて、または選択したスケジュールでローテーションできるようになります。
