Azure

Azure環境でのパスワードローテーション

概要

このセクションでは、Azureネットワーク環境内のユーザークレデンシャルを対象となる様々なシステム間でローテーションする方法について説明します。ローテーションは、デフォルトのディレクトリでもあるAzure Active Directory (Azure AD) に設定されてアタッチされたデバイスで機能します。

Keeperは、Azure ADユーザー、サービスアカウント、ローカル管理者ユーザー、ローカルユーザー、マネージドサービス、データベースなどのパスワードをローテーションできます。

Azureクレデンシャルとそれに対応するPAMレコードタイプ

Azure Active Directoryの設定は、KeeperシークレットマネージャーのPAM設定セクションで定義します。

Azure AD参加済みデバイスの設定は、PAMディレクトリ、PAMマシンPAMデータベースのレコードタイプで定義されます。以下の表は、KeeperローテーションでサポートされているAzure AD参加済みデバイスと、それらに対応するPAMレコードタイプを示しています。

Azure AD参加済みデバイス
対応するPAMレコードタイプ

Azure AD Domain Services

PAMディレクトリ

仮想マシン

PAMマシン

マネージドデータベース

PAMデータベース

Azure Directoryユーザーのクレデンシャルの設定は、PAMユーザーレコードで定義されます。

前提条件 - Azure環境でのローテーション

Azure環境内でユーザークレデンシャルをローテーションする前に、次の情報と設定を必ず用意する必要があります。

  1. ローテーションで使用するAzure AD参加済みデバイスはすべて、Azure Active Directory内で作成および設定する必要があります

  2. Azureネットワーク内でローテーションを正常に構成および設定するには、PAM設定で以下の値が必要です。

フィールド
説明

クライアントID

Azureアプリケーションのアプリケーション/クライアントID (UUID)

クライアントシークレット

Azureアプリケーションのクライアントのクレデンシャルシークレット

サブスクリプションID

Azureサービス (従量課金制) を使用するためのサブスクリプションのUUID

テナントID

Azure Active DirectoryのUUID

  1. ローテーションに使用する予定のすべてのAzureサービスまたはAzure AD参加済みデバイスが、Azure Active Directoryにアクセスできることを確認します。詳細は、こちらのページをご参照ください

  2. アプリケーションが様々なAzureリソースにアクセスしてアクションを実行できるようにするカスタムロールを作成します。カスタムロールの設定について詳しくは、こちらのページをご参照ください

概要 - Azure環境でのローテーション

Azureネットワークでパスワードを正常にローテーションするには、以下の手順が必要です。

  1. ローテーションに関連するPAMレコードを格納する共有フォルダの作成

  2. ユーザーのクレデンシャルをローテーションおよび更新するために必要な権限を持つ、クレデンシャルを格納するPAMマシン、PAMデータベース、およびPAMディレクトリレコードの作成

  3. ユーザーの情報を含むPAMユーザーレコードの作成

  4. シークレットマネージャーアプリケーションの作成およびPAMレコードを格納する共有フォルダへの割り当て

  5. Keeperゲートウェイのインストールおよびシークレットマネージャーアプリケーションへの追加

  6. Azure環境設定を使用したPAM設定の作成

  7. PAMユーザーレコードやPAMマシン、PAMデータベース、PAMディレクトリレコードのローテーション設定の指定

以降のページでは、Azure環境の設定について説明します。

Azure環境の設定

以下のページでは、Azureネットワーク上の様々なシナリオでパスワードを正常にローテーションする方法について詳しく説明します。

Azure Active Directory Domain ServicesでのAD管理ユーザーとADユーザーのローテーション

Azure ADユーザー

Azure仮想マシンのローカルユーザーのローテーション

Azure VMユーザーアカウント

Azureマネージドデータベースのユーザーローテーション

マネージドデータベース

最終更新