AWS
AWS環境でのパスワードローテーション
概要
このセクションでは、対象となる様々なシステムとサービス間で、AWSクラウド環境内のユーザークレデンシャルをローテーションする方法について説明します。
AWSクレデンシャルとそれに対応するPAM記録タイプ
AWS環境の設定は、Keeper Secrets ManagerのPAM設定セクションで定義します。Keeperは、ゲートウェイがインストールされたEC2インスタンスの継承されたロールを使用して、AWSシステムで認証し、ローテーションを実行します。インスタンスのロールが定義されていない場合は、AWSアクセスキーIDと秘密鍵をPAM設定記録に格納して、認証およびローテーションを実行できます。
PAM設定記録は、他のKeeperの記録と同様にボルトで暗号化されます
EC2、RDS、ディレクトリサービスなどのマネージドリソースの設定は、PAMマシン、PAMデータベース、およびPAMディレクトリ記録タイプで定義されます。以下の表は、Keeper RotationでサポートされているAWSマネージドリソースと、それらに対応するPAM記録タイプを示しています。
AWSマネージドリソース | 対応する記録タイプ |
---|---|
EC2 | PAMマシン |
RDS | PAMデータベース |
ディレクトリサービス | PAMディレクトリ |
ディレクトリユーザーまたはIAMユーザーの設定は、PAMユーザー記録タイプで定義されます。
前提条件 - AWS環境でのローテーション
AWS環境内でユーザークレデンシャルをローテーションする前に、次の情報と設定を必ず用意する必要があります。
IAMユーザーアカウントを正常にローテーションするには、IAM管理者アカウントを作成する必要があります。IAM管理者アカウントは、ターゲットリソースにアクセスするための適切なポリシー設定が指定されたIAMユーザーアカウントです。ポリシー設定の詳細は、こちらのページをご参照ください。
EC2インスタンスにアタッチされたAWSマネージドリソースのクレデンシャルを正常にローテーションするには、ポリシーが適切に指定されたロールを設定し、EC2インスタンスにアタッチする必要があります。ポリシー設定の詳細は、こちらのページをご参照ください。
AWS環境内でローテーションを構成および設定するには、PAM設定で以下の値が必要です。
フィールド | 説明 |
---|---|
アクセスキーID | これは、IAMユーザーアカウントで検出された目的のアクセスキーのアクセスキーIDです
ゲートウェイがインスタンスロールをサポートするEC2インスタンスにデプロイされている場合は、このフィールドを |
シークレットアクセスキー | これは、IAMユーザーアカウントで検出された目的のアクセスキーのシークレットアクセスキーです
ゲートウェイがインスタンスロールをサポートするEC2インスタンスにデプロイされている場合は、このフィールドを |
Keeper Gatewayは、常にまずEC2インスタンスロールを使用して認証およびローテーションを実行しようとします。これが失敗するか、またはマシンで使用できない場合、KeeperはPAM設定に保存されたアクセスキーIDとシークレットアクセスキーを使用します。
AWS環境の設定
AWSでの環境設定の詳細は、以下のセクションをご参照ください。
AWS環境の設定概要 - AWS環境でのローテーション
大まかに言えば、AWSネットワークでパスワードを正常にローテーションするには、以下の手順が必要です。
ローテーションに関連するPAM記録を格納する共有フォルダの作成
ユーザーのクレデンシャルをローテーションおよび更新するために必要な権限を持つ、クレデンシャルを格納するPAMマシン、PAMデータベース、およびPAMディレクトリ記録の作成
ユーザーの情報を含むPAMユーザー記録の作成
Secrets Managerアプリケーションの作成およびPAM記録を格納する共有フォルダへの割り当て
Keeper GatewayのインストールおよびSecrets Managerアプリケーションへの追加
AWS環境設定を使用したPAM設定の作成
PAMユーザー記録やPAMマシン、PAMデータベース、PAMディレクトリ記録のローテーション設定の指定
以下のページでは、Azureネットワーク上の様々なシナリオでパスワードを正常にローテーションする方法について、これらの手順を詳しく説明します。
AWSディレクトリユーザーのローテーション:
Managed Microsoft ADユーザーEC2仮想マシンアカウントのローテーション:
EC2仮想マシンユーザーIAMユーザーアカウントのローテーション:
IAMユーザーAWSマネージドデータベースアカウントのローテーション:
マネージドデータベース最終更新