はじめに
Keeperパスワードローテーションのクイックスタートガイド
ローテーションの有効化
ローテーションは、Keeperシークレットマネージャー (KSM) の機能です。ご利用のアカウントでKeeperシークレットマネージャーを有効化すると、特定のロールに対してローテーション機能を有効にできるようになります。
管理コンソールでローテーションを有効化
ご利用のテナントのKeeper管理コンソールにログインします。
[管理者]画面からロールを選択 (または新規ロールの作成) し、[強制適用ポリシー]から[シークレットマネージャー]に移動します。
以下の両方のポリシーを有効にします。
[Keeperシークレットマネージャーを有効化]: これにより、ローテーションに必要なボルトのシークレットマネージャー機能が有効になります。
[Keeperローテーションの管理]: これにより、ユーザーがゲートウェイをデプロイし、ボルト内の特権アクセスレコードのローテーションを設定できるようになります。
コマンダーを使用したローテーションの有効化
KeeperコマンダーCLIでもenterprise-role
コマンドを使用してローテーションを有効にできます。enterprise-role
コマンドを使用すると、強制適用ポリシーを管理できます。
ローテーションを有効にする前に、以下のコマンドを使用してロールのKSM機能を有効にする必要があります。
KSMを有効にした後、以下のコマンドを使用して同じロールのローテーション機能を有効にします。
ローテーション用レコードタイプ
ロールのKeeperローテーションを有効にすると、そのロールに属するユーザーにより以下の4つの新しいレコードタイプがボルトで利用できるようになります。
PAMユーザー ログイン/パスワードと秘密鍵のいずれか一方またはその両方を格納
PAMディレクトリ オンプレミスまたはクラウドベースのディレクトリに関する情報
PAMデータベース MySQLやSQL Serverなどのセルフホステッドまたはマネージドクラウドベースのデータベース
PAMマシン オンプレミスまたはクラウドのWindowsやLinux、Mac OSのマシン
これら4つのレコードタイプはKeeperの他のレコードと同様にすべてボルトに追加したり、フォルダに格納したり、共有したりできます。これらのレコードは、特権を持たないKeeperユーザーと共有できますが、ユーザーが「Keeperローテーションの管理」ロール適用強制ポリシーを有効にしていない限り、ローテーションすることはできません。
これらのレコードタイプとそのローテーションにおける機能については、以下のページをご参照ください。
レコードタイプの詳細PAM設定
ローテーションが有効になると、ボルトのシークレットマネージャー画面にPAM設定というセクションが表示されます。PAM設定はオブジェクトで、以下を含みます。
環境 ローカルネットワーク。AWSまたはAzure。
Keeperゲートウェイ オンプレミスまたはクラウドのインフラストラクチャにインストールするサービス。
アプリケーションフォルダ シークレットマネージャーアプリケーションと関連レコードを含む共有フォルダ。
管理用クレデンシャル ローテーションおよび検出を実行するための特権クレデンシャルを含むKeeperのレコード。
PAM設定、アプリケーション、ゲートウェイの数に制限はありません。
パスワードのローテーション方法
ターゲット環境でパスワードをローテーションするための基本的な手順は以下のとおりです。
ボルトに共有フォルダを作成します。
PAMディレクトリ、PAMデータベース、PAMマシンのレコードのどれかを共有フォルダに追加します。
PAMユーザーのレコードを共有フォルダに追加します。
シークレットマネージャーアプリケーションを作成します。
シークレットマネージャーアプリケーションを共有フォルダに割り当てます。
共有フォルダの権限を閲覧のみから編集に設定します。
シークレットマネージャーアプリケーションにKeeperゲートウェイを追加します。
すべてを連携するPAM設定を作成します。
レコードのインポート
JSON形式を使用して一括インポートをご利用になれます。詳しくは、PAMレコードのインポートのページをご参照ください。
最終更新