はじめに

Keeperパスワードローテーションのクイックスタートガイド

ローテーションの有効化

ローテーションは、Keeperシークレットマネージャー (KSM) の機能です。ご利用のアカウントでKeeperシークレットマネージャーを有効化すると、特定のロールに対してローテーション機能を有効にできるようになります。

管理コンソールでローテーションを有効化

  1. ご利用のテナントのKeeper管理コンソールにログインします。

  2. [管理者]画面からロールを選択 (または新規ロールの作成) し、[強制適用ポリシー]から[シークレットマネージャー]に移動します。

  3. 以下の両方のポリシーを有効にします。

    • [Keeperシークレットマネージャーを有効化]: これにより、ローテーションに必要なボルトのシークレットマネージャー機能が有効になります。

    • [Keeperローテーションの管理]: これにより、ユーザーがゲートウェイをデプロイし、ボルト内の特権アクセスレコードのローテーションを設定できるようになります。

コマンダーを使用したローテーションの有効化

KeeperコマンダーCLIでもenterprise-roleコマンドを使用してローテーションを有効にできます。enterprise-roleコマンドを使用すると、強制適用ポリシーを管理できます。

ローテーションを有効にする前に、以下のコマンドを使用してロールのKSM機能を有効にする必要があります。

enterprise-role "Keeper Administrator" --enforcement "ALLOW_SECRETS_MANAGER":true

KSMを有効にした後、以下のコマンドを使用して同じロールのローテーション機能を有効にします。

enterprise-role "Keeper Administrator" --enforcement "ALLOW_PAM_ROTATION":true

ローテーション用レコードタイプ

ロールのKeeperローテーションを有効にすると、そのロールに属するユーザーにより以下の4つの新しいレコードタイプがボルトで利用できるようになります。

  • PAMユーザー ログイン/パスワードと秘密鍵のいずれか一方またはその両方を格納

  • PAMディレクトリ オンプレミスまたはクラウドベースのディレクトリに関する情報

  • PAMデータベース MySQLやSQL Serverなどのセルフホステッドまたはマネージドクラウドベースのデータベース

  • PAMマシン オンプレミスまたはクラウドのWindowsやLinux、Mac OSのマシン

これら4つのレコードタイプはKeeperの他のレコードと同様にすべてボルトに追加したり、フォルダに格納したり、共有したりできます。これらのレコードは、特権を持たないKeeperユーザーと共有できますが、ユーザーが「Keeperローテーションの管理」ロール適用強制ポリシーを有効にしていない限り、ローテーションすることはできません。

これらのレコードタイプとそのローテーションにおける機能については、以下のページをご参照ください。

レコードタイプの詳細

PAM設定

ローテーションが有効になると、ボルトのシークレットマネージャー画面にPAM設定というセクションが表示されます。PAM設定はオブジェクトで、以下を含みます。

  • 環境 ローカルネットワーク。AWSまたはAzure。

  • Keeperゲートウェイ オンプレミスまたはクラウドのインフラストラクチャにインストールするサービス。

  • アプリケーションフォルダ シークレットマネージャーアプリケーションと関連レコードを含む共有フォルダ。

  • 管理用クレデンシャル ローテーションおよび検出を実行するための特権クレデンシャルを含むKeeperのレコード。

PAM設定、アプリケーション、ゲートウェイの数に制限はありません。

パスワードのローテーション方法

ターゲット環境でパスワードをローテーションするための基本的な手順は以下のとおりです。

  • ボルトに共有フォルダを作成します。

  • PAMディレクトリ、PAMデータベース、PAMマシンのレコードのどれかを共有フォルダに追加します。

  • PAMユーザーのレコードを共有フォルダに追加します。

  • シークレットマネージャーアプリケーションを作成します。

  • シークレットマネージャーアプリケーションを共有フォルダに割り当てます。

  • 共有フォルダの権限を閲覧のみから編集に設定します。

  • シークレットマネージャーアプリケーションにKeeperゲートウェイを追加します。

  • すべてを連携するPAM設定を作成します。

レコードのインポート

JSON形式を使用して一括インポートをご利用になれます。詳しくは、PAMレコードのインポートのページをご参照ください。

最終更新