用語

このドキュメント全体で参照される一般的な用語

シークレットマネージャーの構成

シークレットへのアクセスを管理および維持するために、Keeperシークレットマネージャーではアプリケーションクライアントと呼ばれる構成を採用しています。

Keeperシークレットマネージャーの構成

シークレット

シークレットは、Keeperボルトにレコードとして保存され、通常はレコードの添付ファイルとして保存されるかフィールドに保存されます。

ボルトのレコードや共有フォルダはアプリケーションと共有できます。

アプリケーション

Keeperシークレットマネージャーアプリケーションは、特定のシークレットまたは共有フォルダに割り当てられます。 アプリケーションは、アクセス権限、クライアントデバイス、監査証跡、履歴を格納する容器です。アプリケーションが復号化できるのは、割り当てられたレコードのみです。

最小権限の原則に則り、クライアントデバイスからは必要なレコードへのみアクセスできるようにしましょう。ボルトのユーザーは無制限数のシークレットを保持できますが、最適なパフォーマンスを確保するために、1つのアプリケーションあたり最大500件のレコードを共有することを推奨しています。

アプリケーションの例としては、Github Actionsによる運用パイプラインやJenkinsサーバーなどが考えられます。

クライアントデバイス

クライアントデバイスは、アプリケーションに関連付けられたシークレットにアクセスする必要のあるエンドポイントのことで、物理デバイス、仮想デバイス、クラウドベースのデバイスである可能性があります。クライアントデバイスは、クラウド上で実行されている任意のソフトウェアアプリケーションやCI/CDツールによっても識別できます。

各クライアントデバイスには、シークレットを読み取ってアクセスするための固有のキーが設定されています。

クライアントは以下の要件に従います。

  • 初期化に使用され、24時間後に期限切れとなるワンタイムアクセストークン

  • IPアドレスの固定 (オプション)

  • アクセスの有効期限 (オプション)

クライアントデバイスの例としては、開発マシン、Terraformスクリプト、Github Actionsインスタンスなどが挙げられます。アプリケーションに関連付けられたシークレットにアクセスするには、少なくとも1台のクライアントデバイスが必要です。 複数のクライアントデバイスを同じアプリケーションに関連付けることもできます。

設定

シークレットマネージャーの「設定」は一連のトークンで、暗号化キー、クライアント識別子、KeeperシークレットマネージャーAPIで取得したデータの認証と復号化に使用される宛先サーバー情報が含まれます。

シークレットマネージャーの設定はワンタイムアクセストークンから作成され、クライアントデバイスと1対1の関係を確立します。

設定は、JSON形式のテキストファイルとして格納することも、1行の文字列にエンコードすることもできます。

最終更新