クイックスタートガイド

このクイックスタートガイドに従って、Keeperシークレットマネージャーを設定できます

概要ビデオ

シークレットマネージャーを設定する際の基本的な手順については、以下のビデオをご参照ください。

前提条件

Keeperビジネスライセンス

シークレットマネージャーはビジネスアカウントで使用できます。まだKeeperをご利用でない場合は、弊社のウェブサイトから無料トライアルを開始できます。

ワークステーション側の要件:

はじめに

まず、いくつかの手順に従って、Keeperアカウントのシークレットマネージャーを有効にする必要があります。

シークレットマネージャーの有効化

Keeperシークレットマネージャーの試用版を有効にするには、管理コンソールにログインし、「Secrets Manager」をクリックします。

以下のリンクに従って、Keeper管理コンソールにアクセスしてください。 US: https://keepersecurity.com/console EU: https://keepersecurity.eu/console AU: https://keepersecurity.com.au/console CA: https://keepersecurity.ca/console JP: https://keepersecurity.jp/console US_GOV: https://govcloud.keepersecurity.us/console

(またはKeeperSecurity.com > ログイン (Login) > 管理コンソール (Admin Console) を開きます)

無料トライアルの開始

ロールの作成

シークレットマネージャーユーザーが使用するKeeperアカウントのロールを作成します。 管理者アカウントのロールは、管理コンソールで作成できます。

「ロールの追加 (Add Role)」をクリックして新しいロールを作成し、「シークレットマネージャー」のような名前を付けます。

Keeperロールの追加

ロールのシークレットマネージャーを有効化

Keeperシークレットマネージャーの強制ポリシーで、ロールのアプリケーションアクセスを有効にします。

  1. ロールを選択します

  2. 強制ポリシーを開きます

  3. Keeperシークレットマネージャータブを選択します

  4. Keeperシークレットマネージャーポリシーを有効にします

ロールポリシーでシークレットマネージャーを有効化

シークレットマネージャーを設定

この演習では、Keeperシークレットマネージャーを使用してシークレットにアクセスするために、シークレットの設定、アプリケーションの作成、クライアントの設定を行います。

次に、KeeperボルトまたはKeeperコマンダーを使用して、シークレットマネージャーを設定できます。 以下では、Keeperボルトを使用する手順について説明します。コマンダーCLIの手順については、このページの下部にある説明をご参照ください。

シークレットの作成

シークレットは、Keeperボルトにレコードとして保存され、通常はこれらのレコードの添付ファイルまたはフィールドとして保存されます。

シークレットマネージャーのシークレットの詳細

Keeperウェブボルトまたはデスクトップアプリのユーザーインターフェースで共有フォルダを作成し、シークレットをそのフォルダに追加します。

共有フォルダの作成

「新規作成 (Create New)」をクリックし、「共有フォルダ (Shared Folder)」を選択します

Keeperボルトの新規作成ボタン
シークレットを含む新しい共有フォルダを作成

名前を入力し、「作成 (Create)」をクリックして、新しい共有フォルダを作成します。

新しい共有フォルダに名前を付けて作成

新しい共有フォルダを選択して、「新規作成 (Create New)」ボタンをクリックし、「レコード (Record)」を選択して、共有フォルダ内に新しいレコードを作成します。

新規作成のリストから「レコード」を選択

シークレットマネージャーアプリケーションの作成

シークレットは、レコードまたは共有フォルダとしてアプリケーションで共有されます。アプリケーションは、クライアントデバイス、アクセス権限、監査証跡、履歴を管理します。シークレットマネージャーアプリケーションの詳細

Keeperボルトでシークレットマネージャータブに移動すると、シークレットマネージャーアプリケーションの一覧が表示されます。そこで、「アプリケーションの作成 (Create Application)」をクリックします

シークレットマネージャータブ
シークレットマネージャーアプリケーションの新規作成

新しいシークレットマネージャーアプリケーションの名前を入力します

シークレットマネージャーアプリケーションの名前を入力

次に、新しいアプリケーションと共有する共有フォルダを選択します。 アプリケーションがアクセスできるのは、選択したフォルダ内のレコードのみです。

アプリケーションがアクセスできる共有フォルダを選択

アプリケーションにボルトのレコードへの読み取り専用アクセス権または書き込みアクセス権を付与することもできますし、最初のシークレットマネージャークライアントデバイスをシークレットマネージャーにアクセスした最初のIPアドレスに固定するか否かも選択できます。(クライアントデバイスの詳細は後述)

入力済みの「アプリケーションの追加 (Add Application)」フォーム

「アクセストークンの生成 (Generate Access Token)」をクリックしてアプリケーションを作成すると、最初のシークレットマネージャークライアントデバイスが自動的に作成されます。

シークレットマネージャークライアントデバイスの作成

クライアントデバイスは、アプリケーションに関連付けられたシークレットにアクセスする必要のあるエンドポイントです。これは、物理デバイス、仮想デバイス、またはクラウドベースのデバイスの場合もあります。シークレットマネージャークライアントデバイスの詳細

シークレットマネージャーアプリケーションがKeeperボルトに作成されると、シークレットマネージャークライアントデバイスも作成されます。

クライアントデバイスが作成されると、ワンタイムアクセストークンが生成されて表示されます。 このワンタイムアクセストークンは、このガイドの後半で必要になります。 後で使用するためにトークンをコピーまたはダウンロードしておきます。

クライアントデバイスの作成時に生成されるワンタイムアクセストークン

ダイアログを閉じると、ワンタイムアクセストークンは再び表示されません。 新しいクライアントデバイスを作成して、より多くのトークンを生成できます。

クライアントデバイスの追加作成 (オプション)

シークレットマネージャーアプリケーションを作成すると、そのアプリケーションに対してさらにクライアントデバイスを追加で作成できます。

追加のクライアントデバイスとワンタイムアクセストークンを作成する手順については、ドキュメントをご参照ください。

これで、シークレットマネージャーが設定され、使用する準備ができました。

シークレットを表示

次に、シークレットマネージャーCLIを使用して、シークレットマネージャーで共有されているKeeperボルトのシークレットを表示します。

シークレットマネージャーには、各種言語のSDKと、シークレットへのアクセスに使用できる、多くの組み込み済みの統合機能があります。

この例では、シークレットマネージャーCLIツール(ksm)を使用して、Keeperボルトからシークレットを取得して表示します。

シークレットマネージャーCLIのインストール

バイナリリリースを使用したインストール

最新のバイナリリリースは、GitHubリポジトリで入手できます。ご利用のオペレーティングシステムに合わせてインストーラーをダウンロードし、クリックしてインストールまたは解凍して使用します。

WindowsまたはmacOSでUIを使用してCLIを起動すると、CLIはシェルモードで実行されます。ksmコマンドは、コマンドラインから引き続き利用できます。

Linuxバイナリは単なる実行可能ファイルなので、PATHの通ったディレクトリに移動する必要があります。

pip3とPython3を使用したKSMのインストール

pip3とPython3を使用してインストールする場合は、以下のコマンドを使用します。

sudo pip3 install --upgrade pip
sudo pip3 install keeper-secrets-manager-cli

pip3がシステムにインストールされていない場合は、Python3をインストールしてください。たとえば、yumを使用する場合は、以下のようになります。

sudo yum install python3

KeeperシークレットマネージャーCLIをシークレットマネージャーアプリケーションに接続

上記で取得したワンタイムアクセストークンを使用して、CLIを初期化します。

$ ksm profile init --token PASTE_TOKEN_HERE

KSMプロファイルが正常に初期化されない場合は、ワンタイムアクセストークンが失効している可能性があります。 新しいクライアントデバイスを作成し、新しいワンタイムアクセストークンを生成してみてください。

シークレットにアクセス

すべてのシークレットの一覧を取得するには、ksm secret listコマンドを使用します。

$ ksm secret list

CLIには、シークレットマネージャーアプリケーションで共有されるシークレットの一覧が表示されるはずです。

Example output
 UID                     Record Type          Title
 ----------------------- -------------------- ---------------
 bf3dg-99-JuhoaeswgtFxg  login                My Secret
 3FXqmP5nFKwju0H8pl0DmQ  databaseCredentials  MySQL Credentials

シークレットマネージャーCLIの詳細な使用方法については、シークレットマネージャーCLI ページをご参照ください。

完了

🎉おめでとうございます。これで基本設定は完了です。

次の手順:

  • シークレットマネージャーチームとお客様のユースケースについて検討する時間を設定します

  • SDKを使用したKeeperシークレットマネージャーとお客様のソフトウェアとの連携について確認します

  • シークレットマネージャーCLIの詳細を確認します

  • 統合機能を使用したCI/CDシステムからシークレットへのアクセスについて確認します

ご不明な点がございましたら、sm@keepersecurity.comまでお問い合わせください

KeeperコマンダーCLIを使用して設定

ご希望に応じて、Keeperボルトの代わりにKeeperのコマンドラインツールであるコマンダーを使用して、シークレットマネージャーを設定することもできます。 以下の手順に従い、Keeperコマンダーを使用してシークレットマネージャーを設定します。

インストール手順については、コマンダーのドキュメントをご参照ください。

ロールのシークレットマネージャーを有効化

場合によっては、コマンダーを使用して、Keeperロールのシークレットマネージャーを有効にする必要があります。 そのためには、以下のコマンドを使用します。

enterprise-role "Keeper Admin" --enforcement "ALLOW_SECRETS_MANAGER:True"

「Keeper Admin」を、シークレットマネージャーを有効にしたいロールの名前に置き換えます。

シークレットの作成

シークレットは、Keeperボルトにレコードとして保存され、通常はこれらのレコードの添付ファイルまたはフィールドとして保存されます。

シークレットマネージャーのシークレットの詳細

keeper shellと入力してKeeperコマンダーを実行し、Keeperメールでログインします。

$ keeper shell
  _  __  
 | |/ /___ ___ _ __  ___ _ _ 
 | ' </ -_) -_) '_ \/ -_) '_|
 |_|\_\___\___| .__/\___|_|
 vXX.X.X      |_|

 password manager & digital vault

Not logged in> login me@company.com

ログイン後:

  • シークレットの作成

  • 共有フォルダを作成します

  • シークレットを共有フォルダに移動します

コマンドの例を以下に示します。

My Vault> add --login admin --pass "46$$62512%Rd1" --url "192.168.1.1" -t "My Secret"
My Vault> mkdir -sf -a "DevOps Secrets"
My Vault> mv "My Secret" "DevOps Secrets"

シークレットマネージャーアプリケーションの作成

シークレットは、レコードまたは共有フォルダとしてアプリケーションで共有されます。アプリケーションは、クライアントデバイス、アクセス権限、監査証跡、履歴を管理します。

シークレットマネージャーアプリケーションの詳細

以下の例では、XXXをボルトの共有フォルダのUIDまたはレコードUIDに置き換えます。

My Vault> secrets-manager app create MyApplication
My Vault> secrets-manager share add --app MyApplication --secret XXX

Keeperコマンダーを使用して、シークレットマネージャーの多くの操作を実行できます。シークレットマネージャーコマンドの詳細な使用方法については、コマンドのマニュアルをご参照ください

シークレットマネージャークライアントデバイスの作成

クライアントデバイスは、アプリケーションに関連付けられたシークレットにアクセスする必要のあるエンドポイントです。これは、物理デバイス、仮想デバイス、またはクラウドベースのデバイスの場合もあります。

シークレットマネージャークライアントデバイスの詳細

デバイスの初期化に使用するワンタイムアクセストークンを生成するクライアントデバイスを作成します。

My Vault> secrets-manager client add --app MyApplication

Successfully generated Client Device
====================================

One-Time Access Token:US:4d8THSdmLZOeqZubMNqKWKcrgh7SyQiAQ9afVI0IL0I
IP Lock:Enabled
Token Expires On:2021-08-26 12:03:23
App Access Expires on:Never

クイックスタートガイドを続行

これで、シークレットマネージャーが設定され、使用する準備ができました。

これ以降は、上記の手順に従い、シークレットマネージャーを使用してシークレットにアクセスし、このガイドを完了します。

最終更新