トラブルシューティング
Secrets Managerのよくある問題の解決策
アクセスの拒否
CommanderでSecrets Managerコマンドを実行しようとすると、ツールからaccess_denied
と表示されます
解決策
Keeper Secrets Managerを利用するには、以下の2つの権限条件を満たす必要があります。
KeeperアカウントのSecrets Managerアドオンを有効にすること
Secrets Manager強制ポリシーが有効化されたロールが割り当てられていること
Secrets Managerアドオンの有効化
Secrets Manager強制ポリシーの有効化
Secrets Managerが許可されたロールに属するユーザーはすべて、KeeperボルトでSecrets Managerタブを表示して、Secrets Managerアプリケーションとデバイスの作成および管理ができます。
「-」で始まるUID記録
記録またはフォルダUIDを入力として使用するコマンドをKSM CLIで実行する場合、コマンドラインインターフェースは、「-」で始まるUIDとコマンドのオプションを区別できません。 使用しているUIDが「-」 (ダッシュ/ハイフン) で始まる場合は、UIDの前に「--」を追加するだけで使用できます。
例:
ksm secret get -- -id8QpE2ZAkdd4KlCfoWQ
*この例のUIDは実際のUID記録ではありません
記録が見つかりません
Secrets Managerを使用してシークレットを取得しようとすると、記録が見つからなかったと表示されます。
解決策
このメッセージが表示される理由は、以下の2つが考えられます。
検索対象の記録がSecrets Managerアプリケーションで共有されていません。
記録がタイプ指定されていない従来の (V2) 記録です。
Secrets Managerで記録を共有
個々の記録をSecrets Managerアプリケーションで共有することも、共有フォルダをSecrets Managerアプリケーションで共有することもできます。これにより、そのフォルダ内のすべての記録にアクセスできるようになります。
Secrets Managerアプリケーションで記録または共有フォルダを共有するには、Commanderで次のコマンドを使用します。
タイプ指定された記録を識別
Keeper Secrets Managerでは、タイプ指定された記録 (V3) のみがサポートされています。 タイプ指定されていない従来の記録を照会すると、Secrets Managerは記録が見つからないと応答します。
Commanderで記録が入力されているか否かを確認するには、get
コマンドを使用します
記録にタイプが設定されている場合 (Secrets Managerと互換性がある) は、記録の情報に表示されます。
記録がタイプ指定されていない場合 (Secrets Managerと互換性がない) は、Typeフィールドが表示されません。
また、ls -l
コマンドを使用して、現在のフォルダ内のすべての記録を表示できます。 結果表示されたテーブルには、タイプ列があります。 タイプ列が空白の記録はすべて、タイプ指定されていない記録です。
上の例では、一番下の記録 (#4) はタイプ指定されていないので、Secrets Managerとの互換性がありません。
タイプ指定された記録の作成
タイプ指定された記録は、ボルトの[新規作成]をクリックするか、またはCommanderのrecord-addコマンドを使用して作成できます。
記録タイプを選択する際、「一般」 (General) タイプを除くすべてのタイプでSecrets Managerと互換性があります。
汎用タイプの記録は、従来のタイプ指定されていない記録と同じ扱いになります。
既存の記録を置換
タイプ指定されていない既存の記録をSecrets Managerで使用したい場合は、タイプが「ログイン」にして記録を作成し、その記録に情報をコピーすることをお勧めします。
ログインタイプの記録には、従来のタイプ指定されていないKeeperの記録と同じフィールドがあります。
タイプ指定された新しい記録をSecrets Managerアプリケーションがアクセスできる共有フォルダに配置するか、UIDを使用してアプリケーションで直接共有します。
タイプ指定されていない記録の変換
タイプ指定されていない記録は、Keeper Commanderのconvert
コマンドを使用して、Secrets Managerが利用できるタイプ指定された記録に変換できます。
形式:
convert <UID> --type <TYPE>
例:
convertコマンドは、パターンを使用してすべての関連記録を検索し、すべてのサブフォルダに変換を再帰的に適用して、すべての記録タイプをサポートします。
convert
コマンドの使用方法の詳細は、Commanderのマニュアルをご参照ください。
スロットリング
Keeper Secrets Manager APIは、短時間に大量のリクエストを送信する接続を制限します。 接続が制限されている場合、503応答コードなどのエラーが表示されます (実際のメッセージは、使用している統合機能/SDKによって異なります)。
レート制限の詳細
Secrets Manager APIは、10秒あたり100を超える呼び出しを行うシステムを制限するように設定されています。
このカウントは、10秒タイマーが切れるとリセットされますが、後続のリクエストが10秒未満の場合、送信されるたびに加算されます。そのため、10秒間停止しない限りシステムは常に制限されます。
スロットリングされる可能性のある場合の例
10秒以内に101回呼び出した場合
9秒ごとに1回呼び出すと、101番目の呼び出しで制限がかかります (15分9秒後)
APIリクエストの制限は、個々のIPアドレスごとに計算されます。
最終更新