EC2 Cloud Connector

KSMからCloud Connectorのシークレットを取得

はじめに

KCM Cloud Connectorと一緒にEC2インスタンスに接続するためのSSH鍵とWindowsのパスワードをKeeperボルトに保存できます。

KCMをAWS EC2インスタンスに接続する詳細は、AWS EC2ディスカバリのドキュメントをご参照ください。

設定

有効化

Docker環境変数またはguacamoleプロパティを使用して、まずこの機能を有効にする必要があります。

Docker環境変数

Docker自動インストールメソッドおよびDocker Composeインストールメソッドの場合、keeper/guacamole-db-mysqlイメージで、以下の新しい環境変数を定義する必要があります。

AWS_DISCOVERY_KSM_CONFIG

これには、Keeperシークレットマネージャーの設定が含まれている必要があります。これは、KSM_CONFIG変数で使用されるものと同じ設定にすることができます。

以下はその例です。

    guacamole:
        image: keeper/guacamole:2
        restart: unless-stopped
        ......
        AWS_DISCOVERY_KSM_CONFIG: "eyJob3N0bmFtZSI6ICJrZWVwZX.....=="

Linuxの高度なインストールメソッドの場合は、guacamole.propertiesファイルを更新します。

プロパティ名
デフォルト値
説明

aws-discovery-ksm-config

false

KSMに接続されたボルトから取得したCloud Connectクレデンシャルの使用を有効化します

PEMキーファイルのボリュームマウントを削除

Keeperを使用してPEMキーファイルを保存している場合は、Docker Composeファイル内の/var/lib/guac_keys/の場所を参照するボリュームマウントは、不要なため削除できます。

Cloud Connectで使用するレコードを設定

EC2 Cloud Connectorは、特定のフィールドを含むKeeperのレコードを自動的に認識します。

EC2 Cloud Connectorで使用するレコードを作成するには、ご利用の鍵を含むpemファイル添付を格納するレコードを作成するか、または鍵をテキストとして格納するレコードを作成します。

PEMファイルレコード

pemファイルを含む新しいレコードを作成します。 「ファイル添付」のレコードタイプはうまく一致しますが、「一般」以外のどのタイプでも問題ありません。

レコードのタイトルは自由です。この例では、「AWS key:my-machine」を使用しています。

pemファイルを添付するレコードの新規作成

レコード作成後、pemファイルを添付します。

新しいレコードにpemファイルを添付

必要に応じて、レコードにホスト名/IPフィールドとポートフィールドを含めると、KCMが、ホスト名/IPが一致するEC2接続にpemファイルを自動的に関連付けます。

最後に、新しいレコードがシークレットマネージャーのボルト接続を使用してKCMからアクセスできる共有フォルダ内にあることを確かにします。

新しいレコードをシークレットマネージャーに接続された共有フォルダに移動

秘密鍵のレコード

マシンの秘密鍵を格納する新しいレコードを作成します。レコードには、「秘密鍵」フィールドが必要です。 これには、SSH標準レコードタイプを使用できます。

レコードのタイトルは自由です。

秘密鍵フィールドを含むレコードの新規作成 (標準のSSHタイプを使用)

新しいレコードには、「インスタンスID」という名前のカスタムテキストフィールドが必要になります。 カスタムフィールドメニューから「テキスト」タイプのカスタムフィールドを追加し、[ラベルの編集]をクリックして「インスタンスID」と入力します。

「インスタンスID」フィールドには、「AWS」や「EC2」で始まる自由なタイトルを付けることもできます。

「IDインスタンス」と表示されたカスタムテキストフィールドを追加

レコードの準備ができたら、「秘密鍵」フィールドにマシンの秘密鍵を入力し、新しいカスタムフィールドにAWSインスタンスIDを入力します。

最後に、レコードがシークレットマネージャー連携を使用してKCMからアクセスできる共有フォルダ内にあることを確かにします。

レコードの詳細を入力し、レコードをシークレットマネージャーがアクセス可能な共有フォルダに配置

必要に応じて、レコードにホスト名フィールドとポートフィールドを含めると、KCMがIPアドレスが一致するEC2接続に秘密鍵を自動的に関連付けます。

これでレコードの作成は完了しました。この機能を有効にすると、KCMがレコードを自動的に検出します。

Last updated