トラブルシューティング

Secrets Managerのよくある問題の解決策

アクセスの拒否

CommanderでSecrets Managerコマンドを実行しようとすると、ツールからaccess_deniedと表示されます

解決策

Keeper Secrets Managerを利用するには、以下の2つの権限条件を満たす必要があります。

  1. KeeperアカウントのSecrets Managerアドオンを有効にすること

  2. Secrets Manager強制ポリシーが有効化されたロールが割り当てられていること

Secrets Managerアドオンの有効化

Secrets Manager強制ポリシーの有効化

Secrets Managerが許可されたロールに属するユーザーはすべて、KeeperボルトでSecrets Managerタブを表示して、Secrets Managerアプリケーションとデバイスの作成および管理ができます。

Keeper CommanderによるSecrets Managerの有効化

ロールを作成および編集するには、Keeperアカウントの管理上の許可が必要です。

Secrets Manager強制ポリシーを有効にするには、Keeper Commanderで次のコマンドを使用します。

er --enforcement="allow_secrets_manager:true" "<ROLE NAME>"

を強制ポリシーを設定したいロールに置き換えます。

たとえば、Keeper管理者ロールに強制を設定するには、次のようにします。

er --enforcement="allow_secrets_manager:true" "Keeper Administrator"

ロールの作成と編集、およびユーザーのロールへの追加の詳細は、エンタープライズ管理コマンドのドキュメントをご参照ください。

「-」で始まるUID記録

記録またはフォルダUIDを入力として使用するコマンドをKSM CLIで実行する場合、コマンドラインインターフェースは、「-」で始まるUIDとコマンドのオプションを区別できません。 使用しているUIDが「-」 (ダッシュ/ハイフン) で始まる場合は、UIDの前に「--」を追加するだけで使用できます。

例: ksm secret get -- -id8QpE2ZAkdd4KlCfoWQ

*この例のUIDは実際のUID記録ではありません

記録が見つかりません

Secrets Managerを使用してシークレットを取得しようとすると、記録が見つからなかったと表示されます。

解決策

このメッセージが表示される理由は、以下の2つが考えられます。

  1. 検索対象の記録がSecrets Managerアプリケーションで共有されていません。

  2. 記録がタイプ指定されていない従来の (V2) 記録です。

Secrets Managerで記録を共有

個々の記録をSecrets Managerアプリケーションで共有することも、共有フォルダをSecrets Managerアプリケーションで共有することもできます。これにより、そのフォルダ内のすべての記録にアクセスできるようになります。

Secrets Managerアプリケーションで記録または共有フォルダを共有するには、Commanderで次のコマンドを使用します。

sm share add -a <APPLICATION NAME> -s <RECORD OR FOLDER UID>

タイプ指定された記録を識別

Keeper Secrets Managerでは、タイプ指定された記録 (V3) のみがサポートされています。 タイプ指定されていない従来の記録を照会すると、Secrets Managerは記録が見つからないと応答します。

Commanderで記録が入力されているか否かを確認するには、getコマンドを使用します

get <UID>

記録にタイプが設定されている場合 (Secrets Managerと互換性がある) は、記録の情報に表示されます。

my vault> get pICzm4iw9sW454m2ZR4mmQ

                 UID: pICzm4iw9sW454m2ZR4mmQ
                Type: login
               Title:My Login
             (login): john.doe
          (password):N*3s.kk/Ji20}cJ7
              Shared:False
       Last Modified:2021-10-18 16:08:04
            Revision:887800170

記録がタイプ指定されていない場合 (Secrets Managerと互換性がない) は、Typeフィールドが表示されません。

また、ls -lコマンドを使用して、現在のフォルダ内のすべての記録を表示できます。 結果表示されたテーブルには、タイプ列があります。 タイプ列が空白の記録はすべて、タイプ指定されていない記録です。

My Vault> ls -l
  #  Folder UID              Name               Flags
---  ----------------------  -----------------  -------
  1  RpdmergF5lpsaID3TcHu8A  Devops Secrets     S
  2  461XtX26R1SggIyQDFGfZg  Secrets            S
  3  ZDw67iL28d6-YqUVwBHAug  Social

  #  Record UID              Type                 Title                    Login                  URL
---  ----------------------  -------------------  -----------------------  ---------------------  -------------------
  1  FyP2it0DzwIDPSbch2WyHw  address              Bank Address 1
  2  pICzm4iw9sWS_4m2ZR4mmQ  login                breached                 john.doe@example.com    keepersecurity.com
  3  qUX4gSlmDRfM1Kq9lrQi-w  databaseCredentials  MySQL Database           SQL_Admin
  4  rlr04tiSxFmLmRNjEC7h7Q                       NonTyped Record          legacy                  test.com

上の例では、一番下の記録 (#4) はタイプ指定されていないので、Secrets Managerとの互換性がありません。

タイプ指定された記録の作成

タイプ指定された記録は、ボルトの[新規作成]をクリックするか、またはCommanderのrecord-addコマンドを使用して作成できます。

記録タイプを選択する際、「一般」 (General) タイプを除くすべてのタイプでSecrets Managerと互換性があります。

汎用タイプの記録は、従来のタイプ指定されていない記録と同じ扱いになります。

既存の記録を置換

タイプ指定されていない既存の記録をSecrets Managerで使用したい場合は、タイプが「ログイン」にして記録を作成し、その記録に情報をコピーすることをお勧めします。

ログインタイプの記録には、従来のタイプ指定されていないKeeperの記録と同じフィールドがあります。

タイプ指定された新しい記録をSecrets Managerアプリケーションがアクセスできる共有フォルダに配置するか、UIDを使用してアプリケーションで直接共有します。

タイプ指定されていない記録の変換

タイプ指定されていない記録は、Keeper Commanderのconvertコマンドを使用して、Secrets Managerが利用できるタイプ指定された記録に変換できます。

形式:

convert <UID> --type <TYPE>

例:

convert Dtvb84zwkBmZgxrUByUfpg --type login

convertコマンドは、パターンを使用してすべての関連記録を検索し、すべてのサブフォルダに変換を再帰的に適用して、すべての記録タイプをサポートします。

convertコマンドの使用方法の詳細は、Commanderのマニュアルをご参照ください。

スロットリング

Keeper Secrets Manager APIは、短時間に大量のリクエストを送信する接続を制限します。 接続が制限されている場合、503応答コードなどのエラーが表示されます (実際のメッセージは、使用している統合機能/SDKによって異なります)。

レート制限の詳細

Secrets Manager APIは、10秒あたり100を超える呼び出しを行うシステムを制限するように設定されています。

このカウントは、10秒タイマーが切れるとリセットされますが、後続のリクエストが10秒未満の場合、送信されるたびに加算されます。そのため、10秒間停止しない限りシステムは常に制限されます。

スロットリングされる可能性のある場合の例

  • 10秒以内に101回呼び出した場合

  • 9秒ごとに1回呼び出すと、101番目の呼び出しで制限がかかります (15分9秒後)

APIリクエストの制限は、個々のIPアドレスごとに計算されます。

最終更新