KeeperPAMコマンド

概要

検出、パスワードローテーション、PAM構成、Keeperゲートウェイ構成など、KeeperPAMの各機能は、pam コマンドおよびそのサブコマンドを使用してコマンダー上で制御・操作できます。

pamコマンド

コマンド: pam

詳細: KeeperPAMの制御を行います。

My Vault> pam
pam command [--options]

Command     Description
----------  -----------------------------------------
gateway     Manage Gateways
config      Manage PAM Configurations
rotation    Manage Rotations
action      Execute action on the Gateway
tunnel      Manage Tunnels
split       Split credentials from legacy PAM Machine
legacy      Switch to legacy PAM commands
connection  Manage Connections
rbi         Manage Remote Browser Isolation
project     PAM Project Import/Export
launch      Launch a connection to a PAM resource
workflow    Manage PAM Workflows

サブコマンド

• gateway

• config

• rotation

• action

• tunnel

• split

• connection

• rbi

• project

• launch

• workflow

サブコマンド: gateway

詳細: Keeperゲートウェイサービスを表示、作成、編集、削除します。Keeperゲートウェイの詳細については、こちらのページをご参照ください。

list

コマンダーを使用しているユーザーがアクセス可能なKeeperゲートウェイを一覧表示します。

• 自身のボルトから直接操作できるゲートウェイ

• ユーザーのロールに含まれる管理ノードのいずれかに登録されているゲートウェイ

new

edit

ゲートウェイ名や登録ノードを変更できます。Keeper管理コンソールの [シークレットマネージャー] → [ゲートウェイ] からも同じ操作ができます。

remove

ゲートウェイを削除します。この操作を実行するユーザーは、ゲートウェイの親アプリケーションに対する管理者権限を持っている必要があります。

set-max-instances

ゲートウェイプールの最大インスタンス数を設定します。高可用性の構成で利用します。

サブコマンド: config

詳細: Keeper PAM構成の表示、作成、編集、削除を行います。PAM構成の詳細については、こちらをご参照ください。

new

edit

list

remove

サブコマンド: connection

このコマンドは、PAMマシンおよびPAMデータベースのレコードに紐づく接続パラメータおよびユーザーアカウントを編集します。一括での処理には、run-batch コマンドを使用できます。接続を開始するにはKeeperボルトかデスクトップアプリを使用します。

要件: PAMユーザー認証情報、PAMマシンまたはPAMデータベースのレコードが共有フォルダに登録されており、ゲートウェイが構成済みで、すべてがPAM構成で連携されていることを確認してください。

edit

使用例

例1: RDP接続を作成し、管理用の認証情報およびPAM構成を割り当てます。接続を有効化し、画面録画を有効にします。

例2: SSH接続を作成し、管理用の認証情報およびPAM構成を割り当てます。接続を有効化し、画面録画を有効にしたうえで、出力を表示しないサイレントモードで実行します。

例3: MSSQL接続を作成し、管理用の認証情報およびPAM構成を割り当てます。接続を有効化し、typescript形式の録画を有効にします。

サブコマンド: rbi

このコマンドを使用すると、レコードのリモートブラウザ分離設定を編集できます。

edit

サブコマンド: rotation

詳細: レコードのKeeperローテーションの設定を表示および作成します。

edit

JSONでローテーションスケジュールを設定する例

--schedulejson または -sj パラメータで、JSON によりスケジュールを設定します。

PAMユーザーレコードを、毎月1日の午前4時 (シカゴ時間) にローテーションする例です。

PAMユーザーレコードを、毎週土曜日の午後10時 (ニューヨーク時間) にローテーションする例です。

有効なスケジュールの種類は次のとおりです。

ON DEMAND

手動のオンデマンドでジョブが起動します。

DAILY

ジョブが毎日起動します。

• type - DAILY

• time - ジョブを実行する時刻 (24時間表記)

• tz - 現地の IANAタイムゾーン (例: America/Chicago)

• intervalCount - 任意。起動の間隔となる日数。日をスキップするために指定します。

WEEKLY

ジョブが毎週起動します。

• type - WEEKLY

• weekday - 曜日名。必ずフル名で、すべて大文字にします。

  • SUNDAY

  • MONDAY

  • TUESDAY

  • WEDNESDAY

  • THURSDAY

  • FRIDAY

  • SATURDAY

• time - ジョブを実行する時刻 (24時間表記)

• tz - 現地の IANAタイムゾーン (例: America/Chicago)

• intervalCount - 任意。1 より大きい値にすると weekday は無視されます。日曜を起点に、その週に複数回、間隔の日数に応じてジョブが起動します。

MONTHLY_BY_DAY

ジョブが毎月、特定の「日」に起動します。

• type - MONTHLY_BY_DAY

• monthDay - 月の日 (1 からその月の最終日まで)。29 日はうるう年のみ有効な場合があります。

• time - ジョブを実行する時刻 (24時間表記)

• tz - 現地の IANAタイムゾーン (例: America/Chicago)

• intervalCount - 任意。1 より大きい値の場合、monthDay で一度起動したあと、指定した日数ごとに再トリガーされます。

MONTHLY_BY_WEEKDAY

ジョブが毎月、特定の曜日と時刻に起動します。

• type - MONTHLY_BY_WEEKDAY

• weekday - 曜日名。必ずフル名で、すべて大文字にします。

  • SUNDAY

  • MONDAY

  • TUESDAY

  • WEDNESDAY

  • THURSDAY

  • FRIDAY

  • SATURDAY

• occurrence - その月の第何週で起動するか。第5週の場合は LAST。

  • FIRST

  • SECOND

  • THIRD

  • FOURTH

  • LAST

• time - ジョブを実行する時刻 (24時間表記)

• tz - 現地の IANAタイムゾーン (例: America/Chicago)

• intervalCount - 任意。1 以外に設定すると、最初の weekday から始まり、その後は intervalCount 週ごとに起動します。

YEARLY

ジョブが毎年、指定した月・日・時刻に起動します。

• type - YEARLY

• month - 月名。必ずフル名で、すべて大文字にします。

  • JANUARY

  • FEBRUARY

  • MARCH

  • APRIL

  • MAY

  • JUNE

  • JULY

  • AUGUST

  • SEPTEMBER

  • OCTOBER

  • NOVEMBER

  • DECEMBER

• monthDay - 月の日 (1からその月の最終日まで)。29日はうるう年に該当する場合があります。

• time - ジョブを実行する時刻 (24時間表記)

• tz - 現地の IANAタイムゾーン (例: America/Chicago)

• intervalCount - 任意。1以外に設定すると、毎年ではなく intervalCount 年ごとに起動します。

パスワード複雑性の設定例 (PAMユーザー用)

--complexity または -x パラメータで、パスワードの複雑さを設定します。

以下のとおり20文字のパスワードを生成します (大文字1つ以上、小文字4つ以上、数字2つ、記号セット .=+- から記号2つ)。

値はカンマ区切り (CSV 形式)で、次の要素をこの順で指定します。

1. パスワード全体の長さ

2. 大文字の最小数

3. 小文字の最小数

4. 数字の最小数

5. 記号の最小数

6. 記号セット。最後のカンマの後に使いたい記号を並べます。次の集合に含まれる記号のみ使用できます。空にすると、次のデフォルトの記号セットが使われます。

list

ローテーションが設定されているすべてのリソースの一覧を表示します。

info

特定のリソースに対するローテーション設定の情報を表示します。

script

ポストローテーションPAMスクリプトを管理します。

サブコマンド: action

詳細: PAMリソースの検出、認証情報のローテーション、サービスアカウントの管理に使います。

gateway-info

特定のKeeperゲートウェイの情報を表示します。

discover

検出ジョブを管理します。

discover start

検出ジョブを開始します。

discover status

検出ジョブのステータスを表示します。

discover remove

実行中の検出ジョブを停止します。

discover process

検出ジョブの結果を処理します。

discover rule

検出ルールを管理します。

discover rule add

検出ルールを追加します。

rotate

特定のリソース、リソースのフォルダ、リソースタイトル内のパターンに対して、認証情報のローテーションを実行します。構成済みのメールプロバイダを使って、ワンタイム共有リンクをメールで送信することもできます。

job-info

実行中のジョブの情報を表示します。

job-cancel

実行中のジョブをキャンセルします。

service list

特定のKeeperゲートウェイに関連するサービスとスケジュールタスクを表示します。

service add

サービスを特定のKeeperゲートウェイおよびPAMマシンに関連付けます。関連付けられると、Keeperはそのサービスの認証情報を指定されたPAMマシン上で更新し、サービスが実行中であれば再起動します。

service remove

特定のPAMマシン上のサービスに対する関連付けを削除します。

サブコマンド: tunnel

詳細: ローカルマシンから対象インフラへのKeeperトンネルの表示および作成を行います。

start

ローカルデバイスから対象のリソースへのトンネルを開始します。

list

すべての実行中のトンネルの一覧を表示します。

stop

現在実行中のトンネルを停止します。

tail

Keeperトンネル内の情報を表示します。

edit

既存のトンネルの構成を編集します。

サブコマンド: split

詳細: レガシーPAMレコードを新しいKeeperPAM形式に分割します。

サブコマンド: project

詳細: KeeperPAMプロジェクトを作成します (ボルトのUIにあるクイックスタートサンドボックスに類似)。

PAMインポートコマンドは、数千の管理対象企業を持つMSPなどの顧客が、フォルダ、ゲートウェイ、マシン、ユーザー、接続、トンネル、(オプションで) ローテーションの作成を自動化するのに役立ちます。

pam project import --name=project1 --filename=/path/to/import.json --dry-run

• --name, -n → プロジェクト名 (JSON内の "project":"" を上書きします)

• --filename, -f → インポートデータを読み込むJSONファイル

• --dry-run, -d → ボルトを変更せずにインポートをテストします。

コマンドのバリエーション: 「extend」

pam project extend コマンドは、初回インポートのあとに追加レコードを作成するとき、既存のPAMゲートウェイとPAM構成をそのまま使います。

JSONインポート/拡張に関するドキュメント

• サーバーホスト名の一覧からWindowsサーバーをPAMリソースとしてインポートする手順については、PAMリソースのインポートのページをご参照ください。

• pam project import 用テンプレートの詳細な仕様については、こちらのGitHubのREADMEをご確認ください。

• ご不明な点がございましたら、コマンダーチーム (commander@keepersecurity.com) までご連絡ください。

サブコマンド: Launch

詳細: CLI上でKeeperPAMの特権セッションを開始します。接続先へは、普段お使いの端末・ターミナルから接続できます。pam launch を使ったセッションは、リソースおよびポリシーに応じた設定に従い、アクティビティの記録・監視の対象となります。

コマンダーCLIから接続を開始するには、以下のコマンドを実行します。

ターミナルから、コマンダーCLIを介さずに直接セッションを開始することもできます。

構文:

サブコマンド: workflow

詳細: PAMリソース向けのジャストインタイム (JIT) 特権アクセスのワークフローを管理します。承認に基づくアクセス制御に加え、チェックイン/チェックアウト、MFA、時間で区切られたアクセス期間などをオプションで適用できます。

ワークフロー配下のコマンド分類

• 構成

  • create

  • read

  • update

  • delete

  • add-approver

  • remove-approver

• 承認者向け

  • pending

  • approve

  • deny

• 申請者向け

  • request

  • start

  • end

• 状態の確認

  • state

  • my-access

create

PAMレコードに対するワークフロー設定を新規作成します。承認が必要な場合は、承認者を1名以上追加する必要があります。

例

承認を1段階とし、アクセス期間を1日とする、基本的なワークフローを作成する例です。

チェックイン/チェックアウト、MFA、理由の入力を必須とするワークフローを作成する例です。

平日の営業時間内にのみアクセスを許可するワークフローを作成する例です。

read

レコードの現在のワークフロー構成 (パラメータ、承認者、時間帯フィルターなど) を表示します。

例

update

既存のワークフロー構成を更新します。指定したオプションだけが変更され、指定しなかった項目はこれまでどおり維持されます。

例

MFAを必須にし、アクセス可能時間を4時間に変更する例です。

delete

レコードからワークフロー構成を削除します。リソースに対するワークフロー要件がすべてなくなります。

add-approver

ユーザーまたはチームを承認者として追加します。エスカレーション用の承認者や、通知までの待ち時間の指定にも対応します。レコードに閲覧のみ以上の権限を持つユーザーは、承認者として追加できます。エンタープライズ管理者は、自身がメンバーでなくとも、企業内の任意のチームを承認者として追加できます。

例

ユーザーとチームを承認者として追加します。

1時間経過後にエスカレーション先として通知される承認者を追加する例です。

remove-approver

ワークフローの承認者リストからユーザーまたはチームを削除します。

例

pending

現在のユーザー宛ての、承認待ちワークフロー申請を一覧表示します。複数の経路で承認者になっている場合に出る重複は、自動的にまとめられます。

例

approve

pending で確認したフロー UIDを指定し、承認待ちのワークフロー申請を承認します。

例

deny

承認待ちのワークフロー申請を却下します。理由は任意で、指定した場合は申請者の公開鍵で暗号化されます。

例

request

ワークフローで保護されているPAMリソースへのアクセスを申請します。承認待ちの申請のエスカレーションや、進行中の申請の取り消しにも対応します。

例

理由とチケット番号を付けてアクセスを申請します。

承認待ちの申請を、エスカレーション先の承認者へ回す例です。

承認待ちまたは進行中の申請を取り消す例です。

start

ワークフローのセッション (チェックアウト) を開始します。チェックイン/チェックアウトを有効にしているワークフローでは、リソースへ接続する前に実行が必要です。レコードのUIDまたは名前、あるいはフローUIDを指定できます。

例

end

ワークフローのセッションをチェックインして終了します。チェックインのあとに認証情報のローテーションが行われる場合があります。--force は、シングルユーザーのチェックアウトが有効なときに、承認者が別ユーザーの進行中セッションを強制的に終了 (チェックイン) させるために使います。

例

自身のワークフローセッションを終了します。

別ユーザーのセッションを強制的にチェックインさせる例です (承認者のみ)。

state

レコードの現在のワークフロー状態を表示します。出力には、現在のStage、満たされていない Conditions、リソースをチェックアウトしているユーザー、すでに承認したユーザーの一覧が含まれます。

例

フローUIDを指定して状態を確認する例です。

my-access

ログイン中のユーザーについて、すべてのリソースをまたいだアクティブなワークフローセッションを一覧表示します。

例

シングルユーザーのチェックイン (返却) /チェックアウトモード

--checkout (-co) を付けてワークフローを作成すると、リソースはシングルユーザーのチェックイン/チェックアウトモードで動作します。同時にチェックアウトできるのは1人だけです。

動作の概要

• 申請が承認されたあと、ユーザーは pam tunnel や pam launch で接続する前に、pam workflow start により明示的にチェックアウトする必要があります。

• リソースがチェックアウトされているあいだは、他のユーザーはチェックアウトできません。

• 作業が終わったら pam workflow end でチェックインし、リソースを解放します (認証情報のローテーションが行われる場合があります)。

• セッションを終了させる必要があるときは、承認者が pam workflow end <uid> --force で強制的にチェックインできます。

シングルユーザーのチェックアウトを使わない場合: 承認後も pam workflow start でアクセス用のセッションを開始する必要があります (--start-on-approval を付けた場合は、承認と同時にアクセス時間のカウントが始まります)。複数のユーザーが、同じリソースに対して同時に承認済みの状態でアクセスできます。

表示: リソースがチェックアウトされているとき、pam workflow state <record> の出力にChecked out byフィールドが出ます。チェックアウト中のユーザーのメールアドレスを確認できます。

代表的なワークフローのライフサイクル

JIT (ジャストインタイム) 特権アクセスの典型的な流れは以下のとおりです。

1. 管理者がPAMレコードにワークフローを作成します

   pam workflow create "Prod Server" -n 1 -co -rm -d 2h

2. 管理者が承認者を追加します

   pam workflow add-approver "Prod Server" -u approver@company.com

3. ユーザーがアクセスを申請します

   pam workflow request "Prod Server" -r "Deploy hotfix" -t "INC-789"

4. 承認者が保留中の要求を確認します

   pam workflow pending

5. 承認者が要求を承認します

   pam workflow approve xY9zA8bC7dE6

6. ユーザーがリソースをチェックアウトします

   pam workflow start "Prod Server"

7. ユーザーは (--require-mfa が有効なら) MFAのあと、pam tunnel または pam launch で接続します

   pam tunnel start "Prod Server" または pam launch "Prod Server"

8. ユーザーが作業完了後にチェックインします

   pam workflow end "Prod Server"

用語集