用語
このドキュメント全体で参照される一般的な用語
シークレットマネージャーの構成
シークレットへのアクセスを管理および維持するために、Keeperシークレットマネージャーではアプリケーションとクライアントと呼ばれる構成を採用しています。
シークレット
シークレットは、Keeperボルトにレコードとして保存され、通常はレコードの添付ファイルとして保存されるかフィールドに保存されます。
ボルトのレコードや共有フォルダはアプリケーションと共有できます。
アプリケーション
Keeperシークレットマネージャーアプリケーションは、特定のシークレットまたは共有フォルダに割り当てられます。 アプリケーションは、アクセス権限、クライアントデバイス、監査証跡、履歴を格納する容器です。アプリケーションが復号化できるのは、割り当てられたレコードのみです。
最小権限の原則に則り、クライアントデバイスからは必要なレコードへのみアクセスできるようにしましょう。ボルトのユーザーは無制限数のシークレットを保持できますが、最適なパフォーマンスを確保するために、1つのアプリケーションあたり最大500件のレコードを共有することを推奨しています。
アプリケーションの例としては、Github Actionsによる運用パイプラインやJenkinsサーバーなどが考えられます。
クライアントデバイス
クライアントデバイスは、アプリケーションに関連付けられたシークレットにアクセスする必要のあるエンドポイントのことで、物理デバイス、仮想デバイス、クラウドベースのデバイスである可能性があります。クライアントデバイスは、クラウド上で実行されている任意のソフトウェアアプリケーションやCI/CDツールによっても識別できます。
各クライアントデバイスには、シークレットを読み取ってアクセスするための固有のキーが設定されています。
クライアントは以下の要件に従います。
初期化に使用され、24時間後に期限切れとなるワンタイムアクセストークン
IPアドレスの固定 (オプション)
アクセスの有効期限 (オプション)
クライアントデバイスの例としては、開発マシン、Terraformスクリプト、Github Actionsインスタンスなどが挙げられます。アプリケーションに関連付けられたシークレットにアクセスするには、少なくとも1台のクライアントデバイスが必要です。 複数のクライアントデバイスを同じアプリケーションに関連付けることもできます。
設定
シークレットマネージャーの「設定」は一連のトークンで、暗号化キー、クライアント識別子、KeeperシークレットマネージャーAPIで取得したデータの認証と復号化に使用される宛先サーバー情報が含まれます。
シークレットマネージャーの設定はワンタイムアクセストークンから作成され、クライアントデバイスと1対1の関係を確立します。
設定は、JSON形式のテキストファイルとして格納することも、1行の文字列にエンコードすることもできます。
最終更新