Azure VMユーザーアカウント
Keeperを使用したAzure仮想マシンのローカルユーザーアカウントとリモートユーザーアカウントのローテーション
概要
このガイドでは、Keeper Rotationを使用してAzure環境内でAzure仮想マシンのローカルユーザーアカウントとリモートユーザーアカウントをローテーションする方法について説明します。Azureネットワークでのローテーションプロセスの概要については、こちらのページをご参照ください。
前提条件
このガイドでは、以下の作業がすでに実行されていることを前提としています。
Keeper Rotationがご利用のロールに対して有効になっていること
Keeper Secrets Managerアプリケーションが作成済みであること
Azure環境が設定されていること
Keeper Rotationゲートウェイがすでにインストールされて動作しており、SSHかWinRMを使用してターゲットのAzure仮想マシンと通信できること
PowerShellがすべてのWindowsマシンとすべてのLinuxマシンのbashで利用できること
1. PAMマシン記録を設定
Keeperは、ゲートウェイマシンまたはネットワーク上の他のマシン上の任意のローカルユーザーアカウントをローテーションできます。PAMマシン記録は、すべてのマシンに対して作成する必要があります。このPAMマシン記録には、マシン上のユーザーのパスワードを変更する権限を持つ管理用クレデンシャルが含まれている必要があります。
すべてのマシンに対してPAMマシン記録が作成されたら、ローテーションされるユーザーアカウントごとにPAMユーザー記録を作成する必要があります。PAMマシン記録もローテーションできます。
以下の表に、PAMマシン記録で入力が必要な必須フィールドをすべて一覧で表示します。
フィールド | 説明 |
---|---|
タイトル | 記録の名前、例: |
ホスト名またはIPアドレス | ゲートウェイがアクセスするマシンのホスト名またはIP、例: 10.0.1.4 |
ポート | 通常、WinRMは5985または5986、SSHは22 |
ログイン | 管理者アカウントのユーザー名 |
パスワード | WinRMで必須
設定でパスワードが必要な場合、SSHではオプション。パスワードが不要の場合はPEM鍵を使用できます。
注意:次の文字は使用が制限されています。 |
PEM秘密鍵 | パスワードを使用しない場合、SSHでは必須 |
オペレーティングシステム | 仮想マシンのオペレーティングシステム: |
SSL検証 | WinRMの場合、選択すると、SSLモードポート5986が使用されます。SSHでは無視されます。 トラブルシューティングのヒントについては、このセクションをご参照ください |
2. PAMの設定を指定
Azure環境のPAM設定が作成済みの場合は、マシンユーザーのローテーションに必要なその他のリソースクレデンシャルを既存のPAM設定に追加すればよいだけです。
最初に以下の項目が完了していることを確認します。
Keeper Secrets Managerアプリケーションが作成済みであること
Keeper Rotationゲートウェイがすでにインストールされて動作しており、作成したKeeper Secrets Managerアプリケーションでプロビジョニングされていること
ターゲットマシンごとにPAMマシン記録が作成されていること
新しいPAM設定を作成する場合は、Keeperボルトにログインし、ボルトの左側のメニューから[Secrets Manager]、[PAM設定]タブの順に選択して、[新規設定]をクリックします。 以下は、PAM設定で入力が必要なフィールドとなります。
フィールド | 説明 |
---|---|
タイトル | 設定名、例: |
環境 | 選択: |
ゲートウェイ | Keeper Secrets Managerアプリケーションで設定され、前提条件のAzure仮想マシンにネットワークでアクセスできるゲートウェイを選択します |
アプリケーションフォルダ | PAMマシン記録を含む共有フォルダを選択します |
リソースクレデンシャル | ローカルユーザーのパスワードをローテーションするのに十分な権限を持つ管理者クレデンシャルを含むPAMマシン記録を選択します 重要:ローテーションするマシンが複数ある場合は、各PAMマシン記録をリソースクレデンシャルとして追加する必要があります |
Azure ID | このAzureインスタンスの一意のID。これは参考用のため、何を指定してもよいですが、短くすることをお勧めします
例: |
クライアントID | アプリケーションの登録時にAzure ADによってアプリに割り当てられた一意のアプリケーション(クライアント)ID |
クライアントシークレット | Azureアプリケーションのクライアントのクレデンシャルシークレット |
サブスクリプションID | Azureサービスを使用するためのサブスクリプション(従量課金制)を識別するUUID |
テナントID | Azure Active DirectoryのUUID |
PAMネットワーク設定記録の設定可能なすべてのフィールドの詳細は、こちらのページをご参照ください。
ゲートウェイが既存のPAM設定にすでにデプロイ済みの場合は、必要に応じてその他の管理用のリソースクレデンシャルを追加するように設定を調整すればよいだけです。
以下の例では、ローカル管理者のPAMマシン記録がAzureの各VMに1つずつ、全部で5つあります。各アカウントを使用して、それぞれのマシンのローカルユーザーのクレデンシャルをローテーションします。
3. PAMユーザー記録を設定
Keeper Rotationは、PAMマシン記録のクレデンシャルを使用して、PAMユーザー記録によって参照されるアカウントのクレデンシャルをローテーションします。
以下の表に、PAMユーザー記録で入力が必要な必須フィールドをすべて一覧で表示します。
フィールド | 説明 |
---|---|
タイトル | Keeperの記録タイトル( |
ログイン | ローテーションするアカウントの大文字と小文字の区別があるユーザー名。ユーザー名は、次のいずれかの形式にする必要があります。
|
パスワード | アカウントパスワードはオプションです。空白の場合はローテーションで設定されます |
4. 記録のローテーションを設定
手順3で設定したPAMユーザーの記録を選択し、その記録を編集して[パスワードローテーション設定]を開きます。を開きます。
適切なスケジュールとパスワードの複雑さを選択します。
[ローテーション設定]では、以前に設定したPAM設定を使用する必要があります。
[リソースクレデンシャル]フィールドで、このユーザーのマシン固有のPAMマシン管理者のクレデンシャルを選択する必要があります。
保存すると、ローテーションボタンが有効になり、必要に応じて、または選択したスケジュールでローテーションできるようになります。
PAMユーザーの記録に対するedit
権限を持つユーザーならだれでも、その記録のローテーションを設定できます。
5. PAMマシン記録のローテーションを設定
必要に応じて、PAMマシンのクレデンシャルをローテーションすることもできます。手順1で設定したPAMマシン記録を選択し、その記録を編集して、[パスワードローテーション設定]を開きます。
適切なスケジュールとパスワードの複雑さを選択します。
[ローテーション設定]では、以前に設定したPAM設定を使用する必要があります。
[リソースクレデンシャル]フィールドで、クレデンシャルをローテーションできるPAMマシンを選択する必要があります。
保存すると、ローテーションボタンが有効になり、必要に応じて、または選択したスケジュールでローテーションできるようになります。
参考資料
最終更新