Azure
Azure環境でのパスワードローテーション
概要
このセクションでは、Azureネットワーク環境内のユーザークレデンシャルを対象となる様々なシステム間でローテーションする方法について説明します。ローテーションは、デフォルトのディレクトリでもあるAzure Active Directory (Azure AD) に設定されてアタッチされたデバイスで機能します。
Keeperは、Azure ADユーザー、サービスアカウント、ローカル管理者ユーザー、ローカルユーザー、マネージドサービス、データベースなどのパスワードをローテーションできます。
Azureクレデンシャルとそれに対応するPAM記録タイプ
Azure Active Directoryの設定は、Keeper Secrets ManagerのPAM設定セクションで定義します。
Azure AD参加済みデバイスの設定は、PAMディレクトリ、PAMマシン、PAMデータベースの記録タイプで定義されます。以下の表は、Keeper RotationでサポートされているAzure AD参加済みデバイスと、それらに対応するPAM記録タイプを示しています。
Azure AD参加済みデバイス | 対応するPAM記録タイプ |
---|---|
Azure AD Domain Services | PAMディレクトリ |
仮想マシン | PAMマシン |
マネージドデータベース | PAMデータベース |
Azure Directoryユーザーのクレデンシャルの設定は、PAMユーザー記録で定義されます。
前提条件 - Azure環境でのローテーション
Azure環境内でユーザークレデンシャルをローテーションする前に、次の情報と設定を必ず用意する必要があります。
ローテーションで使用するAzure AD参加済みデバイスはすべて、Azure Active Directory内で作成および設定する必要があります
Azureネットワーク内でローテーションを正常に構成および設定するには、PAM設定で以下の値が必要です。
フィールド | 説明 |
---|---|
クライアントID | Azureアプリケーションのアプリケーション/クライアントID(UUID) |
クライアントシークレット | Azureアプリケーションのクライアントのクレデンシャルシークレット |
サブスクリプションID | Azureサービス(従量課金制)を使用するためのサブスクリプションのUUID |
テナントID | Azure Active DirectoryのUUID |
ローテーションに使用する予定のすべてのAzureサービスまたはAzure AD参加済みデバイスが、Azure Active Directoryにアクセスできることを確認します。詳細は、こちらのページをご参照ください
アプリケーションが様々なAzureリソースにアクセスしてアクションを実行できるようにするカスタムロールを作成します。カスタムロールの設定について詳しくは、こちらのページをご参照ください
概要 - Azure環境でのローテーション
大まかに言えば、Azureネットワークでパスワードを正常にローテーションするには、以下の手順が必要です。
ローテーションに関連するPAM記録を格納する共有フォルダの作成
ユーザーのクレデンシャルをローテーションおよび更新するために必要な権限を持つ、クレデンシャルを格納するPAMマシン、PAMデータベース、およびPAMディレクトリ記録の作成
ユーザーの情報を含むPAMユーザー記録の作成
Secrets Managerアプリケーションの作成およびPAM記録を格納する共有フォルダへの割り当て
Keeper GatewayのインストールおよびSecrets Managerアプリケーションへの追加
Azure環境設定を使用したPAM設定の作成
PAMユーザー記録やPAMマシン、PAMデータベース、PAMディレクトリ記録のローテーション設定の指定
ドキュメントの次のセクションでは、Azure環境の設定について説明します。
Azure環境の設定以下のページでは、Azureネットワーク上の様々なシナリオでパスワードを正常にローテーションする方法について、これらの手順を詳しく説明します。
Azure Active Directory Domain ServicesでのAD管理ユーザーとADユーザーのローテーション:
Azure ADユーザーAzure仮想マシンのローカルユーザーのローテーション:
Azure VMユーザーアカウントAzureマネージドデータベースのユーザーローテーション:
マネージドデータベース最終更新