IAMユーザーのパスワード

Keeperを使用したAWS IAMアカウントのパスワードローテーション

概要

本ページでは、AWS IAMユーザーのパスワードをローテーションする方法について解説します。KeeperのPAM構成には、パスワードのローテーションに必要な情報がすべて含まれています。ローテーションするAWS IAMユーザーアカウントを含むレコードは、PAMユーザーレコードに格納されます。

AWSクラウド環境でのローテーションプロセスの概要は、こちらのページをご参照ください。

要件

以下の作業がすでに実行されていることを前提としています。

  • Keeperシークレットマネージャーが企業およびロールに対して有効になっていること。

  • Keeperローテーションがご利用のロールに対して有効になっていること。

  • Keeperシークレットマネージャーアプリケーションが作成済みであること。

  • Keeperローテーションゲートウェイがすでにインストールされて動作していること。

  • AWS環境がKeeperのドキュメントに従って設定されていること。

KeeperゲートウェイはAWS APIを使用して、PAMユーザーレコードで定義されたクレデンシャルをローテーションします。

1. 共有フォルダの作成

このフォルダに、ローテーションするAWS IAMアカウントのレコードを作成します。ローテーションするユーザーごとにPAMユーザーレコードを作成します。

PAMユーザーレコードを含む共有フォルダ

2. PAMユーザーレコードを作成

Keeperローテーションは、AWS APIを使用してAWS環境のPAMユーザーレコードをローテーションします。PAMユーザーレコードは、要件を満たすために作成したKSMアプリケーションで共有される共有フォルダに格納されている必要があります。

以下は、PAMユーザーレコードの必須フィールドとなります。

フィールド
説明

タイトル

Keeperのレコードタイトル (AWS user: TestUser)

ログイン

ローテーションするアカウントの大文字と小文字の区別があるユーザー名。

パスワード

パスワードの設定は任意です。このフィールドが空白のままの場合、ローテーションを実行するとパスワードが設定されます。

識別名

これは、ユーザーIDの完全なARNです。例: arn:aws:iam::123456789:user/TestUser

IAMユーザーのPAMユーザーレコード

3. PAMの設定を指定

PAM設定がすでに指定されている場合は、この手順を省略できます。

ボルトの左側のメニューから[Secrets Manager][PAM設定]タブの順に選択して、[新規設定]をクリックします。

以下はPAM構成レコードの必須フィールドとなります。

フィールド
説明

タイトル

設定名、例:AWS IAM Configuration

環境

選択:AWS

ゲートウェイ

Keeperシークレットマネージャーアプリケーションで設定されたゲートウェイを選択します。

アプリケーションフォルダ

ローテーションするPAMユーザーレコードを含む、手順1の共有フォルダを選択します。

管理者クレデンシャルレコード

これはIAMユーザーのローテーションには必要ありません。他の事例で必要になる場合があります。

AWS ID

AWSのこのインスタンスの固有のID。これは参考用で、何を指定してもよいですが、短くすることをお勧めします。 例:AWS-DepartmentName

アクセスキーID

EC2ロールポリシー (デフォルト) を使用している場合は、このフィールドをUSE_INSTANCE_ROLEに設定します。使用していない場合は、特定のアクセスキーIDを使用します。

シークレットアクセスキー

EC2ロールポリシー (デフォルト) を使用している場合は、このフィールドをUSE_INSTANCE_ROLEに設定します。使用していない場合は、特定のシークレットアクセスキーを使用します。

PAMネットワーク構成レコードで構成可能なすべてのフィールドの詳細については、こちらのページをご参照ください。

AWS環境のPAM設定

4. PAMユーザーレコードのローテーションを設定

手順2で設定したPAMユーザーのレコードを選択し、そのレコードを編集して[パスワードローテーション設定]を開きます。

  • 適切なスケジュールとパスワードの複雑さを選択します。

  • [ローテーション設定]では、以前に設定したPAM構成を使用する必要があります。

  • [リソースクレデンシャル]フィールドは必要ありません。

  • 保存すると、ローテーションボタンが有効になり、必要に応じて、または選択したスケジュールでローテーションできるようになります。

AWS IAMユーザーのパスワードローテーション設定

PAMユーザーのレコードに対するedit権限が付与されたユーザーなら誰でもそのレコードのローテーションを設定できます。

パスワードをローテーションするには、ユーザーがAWSコンソールにアクセスでき、少なくともAWSコンソールで一時的なパスワードが設定されている必要があります。

最終更新