IAMユーザーのパスワード
Keeperを使用したAWS IAMアカウントのパスワードローテーション
概要
本ページでは、AWS IAMユーザーのパスワードをローテーションする方法について解説します。KeeperのPAM構成には、パスワードのローテーションに必要な情報がすべて含まれています。ローテーションするAWS IAMユーザーアカウントを含むレコードは、PAMユーザーレコードに格納されます。
AWSクラウド環境でのローテーションプロセスの概要は、こちらのページをご参照ください。
要件
以下の作業がすでに実行されていることを前提としています。
Keeperローテーションがご利用のロールに対して有効になっていること。
Keeperシークレットマネージャーアプリケーションが作成済みであること。
Keeperローテーションゲートウェイがすでにインストールされて動作していること。
AWS環境がKeeperのドキュメントに従って設定されていること。
KeeperゲートウェイはAWS APIを使用して、PAMユーザーレコードで定義されたクレデンシャルをローテーションします。
1. 共有フォルダの作成
このフォルダに、ローテーションするAWS IAMアカウントのレコードを作成します。ローテーションするユーザーごとにPAMユーザーレコードを作成します。
2. PAMユーザーレコードを作成
Keeperローテーションは、AWS APIを使用してAWS環境のPAMユーザーレコードをローテーションします。PAMユーザーレコードは、要件を満たすために作成したKSMアプリケーションで共有される共有フォルダに格納されている必要があります。
以下は、PAMユーザーレコードの必須フィールドとなります。
タイトル
Keeperのレコードタイトル (AWS user: TestUser
)
ログイン
ローテーションするアカウントの大文字と小文字の区別があるユーザー名。
パスワード
パスワードの設定は任意です。このフィールドが空白のままの場合、ローテーションを実行するとパスワードが設定されます。
識別名
これは、ユーザーIDの完全なARNです。例: arn:aws:iam::123456789:user/TestUser
3. PAMの設定を指定
PAM設定がすでに指定されている場合は、この手順を省略できます。
ボルトの左側のメニューから[Secrets Manager]、[PAM設定]タブの順に選択して、[新規設定]をクリックします。
以下はPAM構成レコードの必須フィールドとなります。
タイトル
設定名、例:AWS IAM Configuration
環境
選択:AWS
ゲートウェイ
Keeperシークレットマネージャーアプリケーションで設定されたゲートウェイを選択します。
アプリケーションフォルダ
ローテーションするPAMユーザーレコードを含む、手順1の共有フォルダを選択します。
管理者クレデンシャルレコード
これはIAMユーザーのローテーションには必要ありません。他の事例で必要になる場合があります。
AWS ID
AWSのこのインスタンスの固有のID。これは参考用で、何を指定してもよいですが、短くすることをお勧めします。
例:AWS-DepartmentName
アクセスキーID
EC2ロールポリシー (デフォルト) を使用している場合は、このフィールドをUSE_INSTANCE_ROLE
に設定します。使用していない場合は、特定のアクセスキーIDを使用します。
シークレットアクセスキー
EC2ロールポリシー (デフォルト) を使用している場合は、このフィールドをUSE_INSTANCE_ROLE
に設定します。使用していない場合は、特定のシークレットアクセスキーを使用します。
PAMネットワーク構成レコードで構成可能なすべてのフィールドの詳細については、こちらのページをご参照ください。
4. PAMユーザーレコードのローテーションを設定
手順2で設定したPAMユーザーのレコードを選択し、そのレコードを編集して[パスワードローテーション設定]を開きます。
適切なスケジュールとパスワードの複雑さを選択します。
[ローテーション設定]では、以前に設定したPAM構成を使用する必要があります。
[リソースクレデンシャル]フィールドは必要ありません。
保存すると、ローテーションボタンが有効になり、必要に応じて、または選択したスケジュールでローテーションできるようになります。
PAMユーザーのレコードに対するedit
権限が付与されたユーザーなら誰でもそのレコードのローテーションを設定できます。
パスワードをローテーションするには、ユーザーがAWSコンソールにアクセスでき、少なくともAWSコンソールで一時的なパスワードが設定されている必要があります。
最終更新