Azure環境の設定

Keeperシークレットマネージャーと連携するためのAzure環境の設定

Azure環境を設定するには、以下の手順を実行する必要があります。

  • デフォルトのAzure Active DirectoryにAzureアプリケーションを作成します。

  • この新しいアプリケーションからKeeper PAM設定の値を取得します。

  • Azure Active Directoryにアクセスするための権限をアプリケーションに付与します。

  • アプリケーションが様々なAzureリソースにアクセスしてアクションを実行できるようにするカスタムロールを作成します。

Azureアプリ登録を作成

Azureポータル > [Home] (ホーム) に移動し、左側のメニューで[Microsoft Entra ID]をクリックします。[App Registrations] (アプリの登録)、[New Registration] (新規登録) の順に選択します。新しいアプリケーションに名前を付け、[Single tenant] (シングルテナント) を選択します。次に、下部の[Register] (登録) ボタンをクリックします。

アプリケーションの[Overview] (概要) 、[Application (client) ID] (アプリケーション (クライアント) ID) UUIDが表示されます。これは、Keeper PAM構成レコードのClient (クライアント) Idフィールドです。Directory (tenant) (ディレクトリ (テナント)) IDも表示されます。これは、Keeper PAM構成レコードのTenant Id (テナントId) フィールドです。これらの値は後で使用するために保存します。

アプリケーションの作成

次に、[Home] (ホーム) > [General] (一般) > [Subscriptions] (サブスクリプション) に進み、サブスクリプションIDを取得します。サブスクリプションIDをKeeper PAM構成の「Subscription ID」フィールドにコピーします。サブスクリプションIDを取得する方法について、詳しくはこちらのページをご参照ください。

次に、[Client credentials] (クライアントクレデンシャル) の[Add a certification or secret (証明書またはシークレットの追加) をクリックします。次のページで、[New client secret] (新しいクライアントシークレット) をクリックし、クライアントシークレットの説明を入力して、適切な期限を選択し、[Add] (追加) をクリックします。

すると、ページが更新されてシークレットの[Value] (値) が表示されます。[Value] (値) (シークレットIDではない) をKeeper PAM構成の「Client Secret」 (クライアントシークレット) フィールドにコピーします。後で使用するために、この値を保存します。

Client Secret

この時点で、PAM設定の必須フィールドをすべて入力する必要があります。また、この時点では、Azureアプリケーションで何も実行できません。

ロールと管理者の割り当て

Azureテナントサービスプリンシパル/アプリケーションでAzure Active DirectoryユーザーまたはAzure Active Directory Domain Serviceユーザーをローテーションするには、アプリケーションを管理者ロールに割り当てる必要があります。

Azureポータルから、[Home] (ホーム) > [Azure Active Directory] > [Roles and administrators] (ロールと管理者) に移動し、使用する管理用ロール (Privileged Authentication Administratorなど) をクリックします。正しいロールは、必要な権限によって異なります。カスタムロールを使用できます。

  • Global Administrator (グローバル管理者) - サービスプリンシパルでグローバル管理者を使用することはお勧めしません。ただし、管理者パスワードとユーザーパスワードの両方をローテーションできます。

  • Privileged Authentification Administrator (特権認証管理者) - グローバル管理者ユーザーを含むすべてのユーザーのパスワードを変更できます。

  • Authentification Administrator (認証管理者) - グローバル管理者ユーザーを除くすべてのユーザーのパスワードを変更できます。

アプリケーションを追加するには、[Add assignments] (割り当ての追加) をクリックし、作成されたサービスプリンシパル/アプリケーションを[Search] (検索) してクリックし、[Add] (追加) をクリックします。

Keeperアプリケーションへの管理者ロールの割り当て

Azureロールの割り当て

ターゲットリソースのパスワードをローテーションするには、Azureアプリケーション (別名、サービスプリンシパル) にロールをアタッチする必要があります。これは、Azureポータルのサブスクリプションセクションで行います。

Azureポータル > [Home] (ホーム) > [Subscriptions] (サブスクリプション) に移動して、サブスクリプションを選択します。[Access control (IAM)] (アクセス制御 (IAM))、[Roles] (ロール) の順にクリックします。

上部メニューの[Add] (追加) をクリックしてから、[Add custom role] (カスタムロールの追加) をクリックします。[JSON]タブに移動します。[Edit] (編集) をクリックし、以下からJSONオブジェクトを貼り付け、ご利用の設定に従って変更します。

これは、Keeperゲートウェイが使用できるすべてのアクセス権限の完全なリストです (該当する場合)。設定に必要なものだけをご使用ください。

保存する前に以下を変更します。

  • <ROLE NAME>: ロール名。例: 「Keeper Secrets Manager」

  • <DESCRIPTION>: 説明。例: 「パスワードローテーションのロール」

  • <SUBSCRIPTION ID>: このAzureサブスクリプションのサブスクリプションID

{
    "properties": {
        "roleName": "<ROLE NAME>",
        "description": "<DESCRIPTION>",
        "assignableScopes": [
            "/subscriptions/<SUBSCRIPTION ID>"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Compute/virtualMachines/read",
                    "Microsoft.Network/networkInterfaces/read",
                    "Microsoft.Network/publicIPAddresses/read",
                    "Microsoft.Network/networkSecurityGroups/read",
                    "Microsoft.Compute/virtualMachines/instanceView/read",
                    "Microsoft.Resources/subscriptions/resourceGroups/read",
                    "Microsoft.AAD/domainServices/read",
                    "Microsoft.Network/virtualNetworks/subnets/read",
                    "Microsoft.Sql/servers/read",
                    "Microsoft.Sql/servers/databases/read",
                    "Microsoft.DBforPostgreSQL/servers/read",
                    "Microsoft.DBforMySQL/servers/read",
                    "Microsoft.DBforPostgreSQL/servers/databases/read",
                    "Microsoft.Sql/servers/write",
                    "Microsoft.DBforPostgreSQL/servers/write",
                    "Microsoft.DBforMySQL/servers/write",
                    "Microsoft.DBforMySQL/flexibleServers/read",
                    "Microsoft.DBforPostgreSQL/flexibleServers/read",
                    "Microsoft.DBforPostgreSQL/flexibleServers/write",
                    "Microsoft.DBforMySQL/flexibleServers/write",
                    "Microsoft.DBforMariaDB/servers/read",
                    "Microsoft.DBforMariaDB/servers/write"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

[Save] (保存) をクリックします。

完了したら、[Review + create] (レビューと作成) をクリックし、[Create] (作成) をクリックします。

ロールを作成したら、アプリケーション (サービスプリンシパル) に割り当てる必要があります。[Details] (詳細) 列の[View] (表示) をクリックします。

ロール

画面の右側にパネルが表示されます。[Assignments] (割り当て)、[Add assignment] (割り当ての追加) の順にクリックします。

[Role] (ロール) タブの検索バーに新しいロールの名前を入力し、それをダブルクリックして選択します。[Members] (メンバー ) タブに移動します。[Select members] (メンバーを選択) をクリックします。開いたパネルで、Azureアプリケーションの名前を入力し、現在のアプリケーションを選択して、[Select] (選択) をクリックします。

Azureカスタムロールの作成
Keeperシークレットマネージャーアプリケーションメンバーへのロールの割り当て

[Review + assign] (レビューと割り当て) タブに移動し、[Review + assign] (レビューと割り当て) をクリックします。

🎉これで、Azure環境内に必要なロールとアプリケーションが作成されました。

最終更新