AWS

AWS環境でのパスワードローテーション

概要

本ページでは、対象となる様々なシステムとサービス間で、AWSクラウド環境内のユーザークレデンシャルをローテーションする方法について取り扱います。

AWSクレデンシャルと対応PAMレコードタイプ

AWS環境の設定は、KeeperシークレットマネージャーのPAM設定セクションで定義します。Keeperは、ゲートウェイがインストールされたEC2インスタンスの継承されたロールを使用して、AWSシステムで認証し、ローテーションを実行します。インスタンスのロールが定義されていない場合は、AWSアクセスキーIDと秘密鍵をPAM設定レコードに格納して、認証およびローテーションを実行できます。

PAM設定レコードは、他のKeeperのレコードと同様にボルトで暗号化されます

EC2、RDS、ディレクトリサービスなどのマネージドリソースの設定は、PAMマシン、PAMデータベースPAMディレクトリレコードタイプで定義されます。以下の表は、KeeperローテーションでサポートされているAWSマネージドリソースと、それらに対応するPAMレコードタイプを示しています。

AWSマネージドリソース
対応レコードタイプ

EC2

PAMマシン

RDS

PAMデータベース

ディレクトリサービス

PAMディレクトリ

ディレクトリユーザーまたはIAMユーザーの設定は、PAMユーザーレコードタイプで定義されます。

前提条件 - AWS環境でのローテーション

AWS環境内でユーザークレデンシャルをローテーションする前に、以下の情報と設定を用意しておきます。

  1. IAMユーザーアカウントを正常にローテーションするには、IAM管理者アカウントを作成する必要があります。IAM管理者アカウントは、ターゲットリソースにアクセスするための適切なポリシー設定が指定されたIAMユーザーアカウントです。ポリシー設定の詳細については、こちらのページをご参照ください。

  2. EC2インスタンスにアタッチされたAWSマネージドリソースのクレデンシャルを正常にローテーションするには、ポリシーが適切に指定されたロールを設定し、EC2インスタンスにアタッチする必要があります。ポリシー設定の詳細は、こちらのページをご参照ください。

  3. AWS環境内でローテーションを構成および設定するには、PAM設定で以下の値が必要です。

フィールド
説明

アクセスキーID

IAMユーザーアカウントで検出された目的のアクセスキーのアクセスキーID ゲートウェイがインスタンスロールをサポートするEC2インスタンスにデプロイされている場合は、このフィールドをUSE_INSTANCE_ROLEに設定します

シークレットアクセスキー

IAMユーザーアカウントで検出された目的のアクセスキーのシークレットアクセスキー ゲートウェイがインスタンスロールをサポートするEC2インスタンスにデプロイされている場合は、このフィールドをUSE_INSTANCE_ROLEに設定します

Keeperゲートウェイは、常にまずEC2インスタンスロールを使用して認証およびローテーションを実行しようとします。これが失敗するか、マシンで使用できない場合、KeeperはPAM設定に保存されたアクセスキーIDとシークレットアクセスキーを使用します。

AWS環境の設定

AWSでの環境設定の詳細については、以下のページをご参照ください。

AWS環境の設定

概要 - AWS環境でのローテーション

AWSネットワークでパスワードを正常にローテーションするには、以下の手順が必要となります。

  1. ローテーションに関連するPAMレコードを格納する共有フォルダの作成

  2. ユーザーのクレデンシャルをローテーションおよび更新するために必要な権限を持つ、クレデンシャルを格納するPAMマシン、PAMデータベース、PAMディレクトリレコードの作成

  3. ユーザーの情報を含むPAMユーザーレコードの作成

  4. シークレットマネージャーアプリケーションの作成およびPAMレコードを格納する共有フォルダへの割り当て

  5. Keeperゲートウェイのインストールおよびシークレットマネージャーアプリケーションへの追加

  6. AWS環境設定を使用したPAM設定の作成

  7. PAMユーザーレコードやPAMマシン、PAMデータベース、PAMディレクトリレコードのローテーション設定の指定

以下のページでは、Azureネットワーク上の様々な状況でパスワードを正常にローテーションする方法について解説しています。

AWSディレクトリユーザーのローテーション

Managed Microsoft ADユーザー

EC2仮想マシンアカウントのローテーション

EC2仮想マシンユーザー

IAMユーザーアカウントのローテーション

IAMユーザーのパスワード

AWSマネージドデータベースアカウントのローテーション

マネージドデータベース

最終更新