AWS
AWS環境でのパスワードローテーション
概要
本ページでは、対象となる様々なシステムとサービス間で、AWSクラウド環境内のユーザークレデンシャルをローテーションする方法について取り扱います。
AWSクレデンシャルと対応PAMレコードタイプ
AWS環境の設定は、KeeperシークレットマネージャーのPAM設定セクションで定義します。Keeperは、ゲートウェイがインストールされたEC2インスタンスの継承されたロールを使用して、AWSシステムで認証し、ローテーションを実行します。インスタンスのロールが定義されていない場合は、AWSアクセスキーIDと秘密鍵をPAM設定レコードに格納して、認証およびローテーションを実行できます。
PAM設定レコードは、他のKeeperのレコードと同様にボルトで暗号化されます
EC2、RDS、ディレクトリサービスなどのマネージドリソースの設定は、PAMマシン、PAMデータベース、PAMディレクトリレコードタイプで定義されます。以下の表は、KeeperローテーションでサポートされているAWSマネージドリソースと、それらに対応するPAMレコードタイプを示しています。
EC2
PAMマシン
RDS
PAMデータベース
ディレクトリサービス
PAMディレクトリ
ディレクトリユーザーまたはIAMユーザーの設定は、PAMユーザーレコードタイプで定義されます。
前提条件 - AWS環境でのローテーション
AWS環境内でユーザークレデンシャルをローテーションする前に、以下の情報と設定を用意しておきます。
IAMユーザーアカウントを正常にローテーションするには、IAM管理者アカウントを作成する必要があります。IAM管理者アカウントは、ターゲットリソースにアクセスするための適切なポリシー設定が指定されたIAMユーザーアカウントです。ポリシー設定の詳細については、こちらのページをご参照ください。
EC2インスタンスにアタッチされたAWSマネージドリソースのクレデンシャルを正常にローテーションするには、ポリシーが適切に指定されたロールを設定し、EC2インスタンスにアタッチする必要があります。ポリシー設定の詳細は、こちらのページをご参照ください。
AWS環境内でローテーションを構成および設定するには、PAM設定で以下の値が必要です。
アクセスキーID
IAMユーザーアカウントで検出された目的のアクセスキーのアクセスキーID
ゲートウェイがインスタンスロールをサポートするEC2インスタンスにデプロイされている場合は、このフィールドをUSE_INSTANCE_ROLE
に設定します
シークレットアクセスキー
IAMユーザーアカウントで検出された目的のアクセスキーのシークレットアクセスキー
ゲートウェイがインスタンスロールをサポートするEC2インスタンスにデプロイされている場合は、このフィールドをUSE_INSTANCE_ROLE
に設定します
Keeperゲートウェイは、常にまずEC2インスタンスロールを使用して認証およびローテーションを実行しようとします。これが失敗するか、マシンで使用できない場合、KeeperはPAM設定に保存されたアクセスキーIDとシークレットアクセスキーを使用します。
AWS環境の設定
AWSでの環境設定の詳細については、以下のページをご参照ください。
AWS環境の設定概要 - AWS環境でのローテーション
AWSネットワークでパスワードを正常にローテーションするには、以下の手順が必要となります。
ローテーションに関連するPAMレコードを格納する共有フォルダの作成
ユーザーのクレデンシャルをローテーションおよび更新するために必要な権限を持つ、クレデンシャルを格納するPAMマシン、PAMデータベース、PAMディレクトリレコードの作成
ユーザーの情報を含むPAMユーザーレコードの作成
シークレットマネージャーアプリケーションの作成およびPAMレコードを格納する共有フォルダへの割り当て
Keeperゲートウェイのインストールおよびシークレットマネージャーアプリケーションへの追加
AWS環境設定を使用したPAM設定の作成
PAMユーザーレコードやPAMマシン、PAMデータベース、PAMディレクトリレコードのローテーション設定の指定
以下のページでは、Azureネットワーク上の様々な状況でパスワードを正常にローテーションする方法について解説しています。
AWSディレクトリユーザーのローテーション
Managed Microsoft ADユーザーEC2仮想マシンアカウントのローテーション
EC2仮想マシンユーザーIAMユーザーアカウントのローテーション
IAMユーザーのパスワードAWSマネージドデータベースアカウントのローテーション
マネージドデータベース最終更新