はじめに

KCM Cloud Connectorと一緒にEC2インスタンスに接続するためのSSH鍵とWindowsのパスワードをKeeperボルトに保存できます。

KCMをAWS EC2インスタンスに接続する詳細は、AWS EC2ディスカバリのドキュメントをご参照ください。

設定

有効化

Docker環境変数またはguacamoleプロパティを使用して、まずこの機能を有効にする必要があります。

Docker環境変数

Docker自動インストールメソッドおよびDocker Composeインストールメソッドの場合、keeper/guacamole-db-mysqlイメージで、以下の新しい環境変数を定義する必要があります。

AWS_DISCOVERY_KSM_CONFIG

これには、Keeper Secrets Managerの設定が含まれている必要があります。これは、KSM_CONFIG変数で使用されるものと同じ設定にすることができます。

以下はその例です。

    guacamole:
        image: keeper/guacamole:2
        restart: unless-stopped
        ......
        AWS_DISCOVERY_KSM_CONFIG: "eyJob3N0bmFtZSI6ICJrZWVwZX.....=="

Linuxの高度なインストールメソッドの場合は、guacamole.propertiesファイルを更新します。

PEMキーファイルのボリュームマウントを削除

Keeperを使用してPEMキーファイルを保存している場合は、Docker Composeファイル内の/var/lib/guac_keys/の場所を参照するボリュームマウントは、不要なため削除できます。

Cloud Connectで使用する記録を設定

EC2 Cloud Connectorは、特定のフィールドを含むKeeperの記録を自動的に認識します。

EC2 Cloud Connectorで使用する記録を作成するには、ご利用の鍵を含むpemファイル添付を格納する記録を作成するか、または鍵をテキストとして格納する記録を作成します。

PEMファイル記録

pemファイルを含む新しい記録を作成します。 「ファイル添付」の記録タイプはうまく一致しますが、「一般」以外のどのタイプでも問題ありません。

記録のタイトルは自由です。この例では、「AWS key:my-machine」を使用しています。

記録作成後、pemファイルを添付します。

最後に、新しい記録がSecrets Managerのボルト接続を使用してKCMからアクセスできる共有フォルダ内にあることを確かにします。

秘密鍵の記録

マシンの秘密鍵を格納する新しい記録を作成します。記録には、「秘密鍵」フィールドが必要です。 これには、SSH標準記録タイプを使用できます。

記録のタイトルは自由です。

新しい記録には、「インスタンスID」という名前のカスタムテキストフィールドが必要になります。 カスタムフィールドメニューから「テキスト」タイプのカスタムフィールドを追加し、[ラベルの編集]をクリックして「インスタンスID」と入力します。

記録の準備ができたら、「秘密鍵」フィールドにマシンの秘密鍵を入力し、新しいカスタムフィールドにAWSインスタンスIDを入力します。

最後に、記録がSecrets Manager連携を使用してKCMからアクセスできる共有フォルダ内にあることを確かにします。