IAMユーザー
Keeperを使用したAWS IAMアカウントのパスワードローテーション
概要
このガイドでは、AWS IAMユーザーのパスワードをローテーションする方法について説明します。KeeperのPAM設定には、パスワードのローテーションに必要な情報がすべて含まれています。ローテーションするAWS IAMユーザーアカウントを含む記録は、PAMユーザー記録に格納されます。
AWSクラウド環境でのローテーションプロセスの概要は、こちらのページをご参照ください。
前提条件
このガイドでは、以下の作業がすでに実行されていることを前提としています。
Keeper Rotationがご利用のロールに対して有効になっていること
Keeper Secrets Managerアプリケーションが作成済みであること
Keeper Rotationゲートウェイがすでにインストールされて動作していること
AWS環境がKeeperのドキュメントに従って設定されていること
Keeper GatewayはAWS APIを使用して、PAMユーザー記録で定義されたクレデンシャルをローテーションします。
1.共有フォルダの作成
このフォルダに、ローテーションするAWS IAMアカウントの記録を作成します。ローテーションするユーザーごとにPAMユーザー記録を作成します。
2. PAMユーザー記録を作成
Keeper Rotationは、AWS APIを使用してAWS環境のPAMユーザー記録をローテーションします。PAMユーザー記録は、前提条件で作成したKSMアプリケーションで共有される共有フォルダに格納されている必要があります。
以下は、PAMユーザー記録の必須フィールドとなります。
フィールド | 説明 |
---|---|
タイトル | Keeperの記録タイトル ( |
ログイン | ローテーションするアカウントの大文字と小文字の区別があるユーザー名。
これはARNの最後の部分 ( |
パスワード | パスワードの設定は任意です。このフィールドが空白のままの場合、ローテーションを実行するとパスワードが設定されます。 |
識別名 | これは、ユーザーIDの完全なARNです。例: |
3. PAMの設定を指定
注: PAM設定がすでに指定されている場合は、この手順を省略できます。
ボルトの左側のメニューから[Secrets Manager]、[PAM設定]タブの順に選択して、[新規設定]をクリックします。 以下は、PAM設定の必須フィールドとなります。
フィールド | 説明 |
---|---|
タイトル | 設定名、例: |
環境 | 選択: |
ゲートウェイ | Keeper Secrets Managerアプリケーションで設定されたゲートウェイを選択します。 |
アプリケーションフォルダ | ローテーションするPAMユーザー記録を含む、手順1の共有フォルダを選択します。 |
管理者クレデンシャル記録 | これはIAMユーザーのローテーションには必要ありません。他のユースケースで必要になる場合があります。 |
AWS ID | AWSのこのインスタンスの一意のID。これは参考用のため、何を指定してもよいですが、短くすることをお勧めします
例: |
アクセスキーID | EC2ロールポリシー (デフォルト) を使用している場合は、このフィールドを |
シークレットアクセスキー | EC2ロールポリシー (デフォルト) を使用している場合は、このフィールドを |
PAMネットワーク設定記録の設定可能なすべてのフィールドの詳細は、こちらのページをご参照ください。
4. PAMユーザー記録のローテーションを設定
手順2で設定したPAMユーザーの記録を選択し、その記録を編集して[パスワードローテーション設定]を開きます。
適切なスケジュールとパスワードの複雑さを選択します。
[ローテーション設定]では、以前に設定したPAM設定を使用する必要があります。
[リソースクレデンシャル]フィールドは必要ありません。
保存すると、ローテーションボタンが有効になり、必要に応じて、または選択したスケジュールでローテーションできるようになります。
PAMユーザーの記録に対するedit
権限を持つユーザーならだれでも、その記録のローテーションを設定できます。
注意:パスワードをローテーションするには、ユーザーがAWSコンソールにアクセスでき、少なくともAWSコンソールで一時的なパスワードが設定されている必要があります。
最終更新