KEPMポリシーコマンド

KEPMポリシー関連操作のコマンド情報

概要

ここでは、KEPMの特権昇格ポリシーを管理するKeeperコマンダーのコマンドを扱います。ポリシーはフィルターとコントロールにより特権昇格のルールを定義し、ユーザーがいつ・どのように特権を昇格できるかを決めます。これらのコマンドで、ユーザー・マシン・アプリケーション・日付・時刻・曜日などの各種フィルターを用いたポリシーの作成・表示・編集・割り当て・削除が行えます。

このセクションで扱うコマンドは以下のとおりです。

使い方

pedm policy command [--options] または pedm p command [--options]

エイリアス: p

ポリシー一覧コマンド

すべてのKEPMポリシーを、ポリシータイプ、状態、コントロール、フィルター設定を含む構成とともに表示します。システムに設定された特権昇格ポリシー全体の概要を把握できます。

DotNet CLI

コマンド: epm-policy list

例:

My Vault > epm-policy list

DotNet SDK

関数:

// Get all policies
IEnumerable<EpmPolicy> allPolicies = plugin.Policies.GetAll();

Power Commander

コマンド: Get-KeeperEpmPolicyList

エイリアス: kepm-policy-list

例:

PS > Get-KeeperEpmPolicyList

PolicyUid              PolicyName                               PolicyType         Status             Controls
---------              ----------                               ----------         ------             --------          
1JBnIqMnJOCRNn1DYtyjeA Elevation requires MFA                   PrivilegeElevation off                MFA
40wYBMWDNPUNbkiZwYIhQQ Terraform example — elevation enforce    LeastPrivilege     enforce
4BiVZXCLBucxUQmTeQbZ6w                                                             enforce
4cMI6ZksSre0FHidfhd-bQ Process Management CommandLine Policy    CommandLine        off                APPROV

Python CLI

コマンド: pedm policy list

エイリアス: pedm p l, pedm p list

フラグ:

フラグ

説明

--format

出力形式 - json、csv、tableのいずれか

--output

指定ファイルに保存する

例:

My Vault> pedm policy list

Policy UID: policy_xyz789
Policy Name: Elevation Policy
Policy Type: PrivilegeElevation
Status: enforce
Controls: ['AUDIT', 'MFA']

Python SDK

関数:

from keepersdk.plugins.pedm import admin_plugin

plugin = admin_plugin.PedmPlugin(enterprise_loader)
policies = plugin.policies.get_all_entities()

ポリシー追加コマンド

指定したフィルターとコントロールで新しい特権昇格ポリシーを作成します。ポリシーにはユーザー・マシン・アプリケーションのフィルターに加え、日付・時刻・曜日の制限を含められます。コントロールは特権昇格時に必須または許可されるアクションを決定します。

DotNet CLI

コマンド: epm-policy add

パラメータ:

パラメータ

説明

--uid

新規ポリシーUID。省略時はSDKが生成

--plain

プレーンのポリシーJSON文字列 (テンプレート / 管理データ)

--plain-file

プレーンのポリシーJSONを含むファイルのパス

--data

暗号化するポリシーJSONデータ

--data-file

暗号化するポリシーJSONデータを含むファイルのパス

例:

My Vault > epm-policy add --plain '{"name":"MyPolicy","type":"elevation"}' --data '{"Status":"on","Rules":[]}'

DotNet SDK

関数:

public async Task<ModifyStatus> ModifyPolicies(
    IEnumerable<PolicyInput> addPolicies = null,
    IEnumerable<PolicyInput> updatePolicies = null,
    IEnumerable<string> removePolicies = null)

Power Commander

コマンド: Add-KeeperEpmPolicy

エイリアス: kepm-policy-add

パラメータ:

パラメータ

説明

-PolicyName

ポリシーの表示名

-PolicyType

ポリシータイプ: PrivilegeElevation、FileAccess、CommandLine、LeastPrivilege

-Status

ポリシー状態: enforce、monitor、monitor_and_notify、off

-Control

コントロール (複数指定可): APPROVAL、JUSTIFY、MFA

-UserFilter

ユーザースコープ。コレクションUID、全ユーザーの場合は *

-MachineFilter

マシンスコープ。コレクションUID

-AppFilter

アプリケーションスコープ。コレクションUID

-RiskLevel

リスクレベル (0–100)

-NotificationMessage

エンドユーザーに表示する通知メッセージ

-NotificationRequiresAcknowledge

ユーザーが通知の確認を必須とするか

-DayFilter

許可する曜日: Sunday、Monday、Tuesday、Wednesday、Thursday、Friday、Saturday

-DateFilter

日付範囲。YYYY-MM-DD:YYYY-MM-DD 形式

-TimeFilter

時刻範囲。24時間制の HH-HH 形式 (例: 09-17)

例:

PS > Add-KeeperEpmPolicy `    -PolicyName "Prod Elevation" `    -PolicyType PrivilegeElevation `    -Status enforce `    -Control APPROVAL, MFA `    -UserFilter "*" `    -RiskLevel 75 `    -NotificationMessage "This action requires manager approval." `    -NotificationRequiresAcknowledge $true `    -DayFilter Monday, Tuesday, Wednesday, Thursday, Friday `    -DateFilter "2026-07-01:2026-09-30" `    -TimeFilter "09-17"
Policy added. UID: QtgZ_1sZhLsC4ERAo7QJkQ
  Added: QtgZ_1sZhLsC4ERAo7QJkQ

Python CLI

コマンド: pedm policy add

エイリアス: pedm p a, pedm p add

フラグ:

フラグ

説明

--policy-type

ポリシータイプ (選択肢: elevation、file_access、command、least_privilege)

--policy-name

ポリシー名

--control

ポリシーコントロール (選択肢: allow、deny、audit、notify、mfa、justify、approval)。複数回指定可

--status

ポリシー状態 (選択肢: enforce、monitor、monitor_and_notify)

--enable

ポリシーの有効 / 無効 (選択肢: on、off)

--user-filter

ユーザーコレクションUID、または全ユーザーに対して *。複数回指定可

--machine-filter

マシンコレクションUID。複数回指定可

--app-filter

アプリケーションコレクションUID。複数回指定可

--date-filter

ISO形式の日付範囲 (YYYY-MM-DD:YYYY-MM-DD)。複数回指定可

--time-filter

24時間形式の時刻範囲 (HH:MM-HH:MM)。複数回指定可

--day-filter

曜日フィルター。複数回指定可

--risk-level

ポリシーリスクレベル (0-100)

例:

My Vault> pedm policy add --policy-type elevation --policy-name "Admin Elevation" --control audit --control mfa --user-filter "*" --status enforce

Policy created successfully
Policy UID: policy_new123

Python SDK

関数:

from keepersdk.plugins.pedm import admin_plugin, admin_types
from keepersdk import utils

plugin = admin_plugin.PedmPlugin(enterprise_loader)

controls = ['policy controls']
policy_name = 'policy name'
policy_type = 'LeastPrivilege' ## or 'FileAccess', 'PrivilegeElevation'
policy_uid = utils.generate_uid()
policy_data: Dict[str, Any] = {
    'PolicyName': policy_name,
    'PolicyType': policy_type,
    'PolicyId': policy_uid,
    'Status': 'off',
    'Actions': {
        'OnSuccess': {'Controls': controls or []},
        'OnFailure': {'Command': ''}
    },
    "NotificationMessage": "A policy has been set to monitor mode.  When this policy is enabled, [mfa, justification, request] will be required to run this process as an administrator.",
    "NotificationRequiresAcknowledge": False,
    "RiskLevel": 50,
    'Operator': 'And',
    'Rules': [
        {
            'RuleName': 'UserCheck',
            'ErrorMessage': 'This user is not included in this policy',
            'RuleExpressionType': 'BuiltInAction',
            'Expression': 'CheckUser()'
        },
        {
            'RuleName': 'MachineCheck',
            'ErrorMessage': 'This Machine is not included in this policy',
            'RuleExpressionType': 'BuiltInAction',
            'Expression': 'CheckMachine()'
        },
        {
            'RuleName': 'ApplicationCheck',
            'ErrorMessage': 'This application is not included in this policy',
            'RuleExpressionType': 'BuiltInAction',
            'Expression': 'CheckFile(false)'
        },
        {
            "RuleName": "DateCheck",
            "ErrorMessage": "Current date is not covered by this policy",
            "RuleExpressionType": "BuiltInAction",
            "Expression": "CheckDate()"
        },
        {
            'RuleName': 'TimeCheck',
            'ErrorMessage': 'Current time is not covered by this policy',
            'RuleExpressionType': 'BuiltInAction',
            'Expression': 'CheckTime()'
        },
        {
            'RuleName': 'DayCheck',
            'ErrorMessage': 'Today is not included in this policy',
            'RuleExpressionType': 'BuiltInAction',
            'Expression': 'CheckDay()'
        }
    ]
}
disabled: bool = False
policy_key = utils.generate_aes_key()
add_policy = admin_types.PedmPolicy(
    policy_uid=policy_uid, policy_key=policy_key, data=policy_data, admin_data={}, disabled=disabled)
response = plugin.modify_policies(add_policies=[add_policy])

ポリシー編集コマンド

既存ポリシーの名前、コントロール、フィルター、状態などの構成を変更します。ポリシーを再作成せずに設定を更新できます。

DotNet CLI

コマンド: epm-policy update

パラメータ:

パラメータ

説明

(positional)

ポリシーUIDまたは名前 (大文字小文字を区別しない)

--plain

プレーンのポリシーJSON文字列 (テンプレート / 管理データ)

--plain-file

プレーンのポリシーJSONを含むファイルのパス

--data

暗号化するポリシーJSONデータ

--data-file

暗号化するポリシーJSONデータを含むファイルのパス

例:

My Vault > epm-policy update abc123uid --data '{"Status":"off"}'

DotNet SDK

関数:

public async Task<ModifyStatus> ModifyPolicies(
    IEnumerable<PolicyInput> addPolicies = null,
    IEnumerable<PolicyInput> updatePolicies = null,
    IEnumerable<string> removePolicies = null)

Power Commander

コマンド: Update-KeeperEpmPolicy

エイリアス: kepm-policy-edit

パラメータ:

パラメータ

説明

-PolicyUidOrName

ポリシーUIDまたはポリシー表示名 (名前は大文字小文字を区別しない一致)

-PolicyName

新しいポリシー名

-Status

ポリシー状態: enforce、monitor、monitor_and_notify、off

-Control

更新するコントロール: APPROVAL、JUSTIFY、MFA

-UserFilter

ユーザースコープ。コレクションUID、全ユーザーの場合は *

-MachineFilter

マシンスコープ。コレクションUID

-AppFilter

アプリケーションスコープ。コレクションUID

-RiskLevel

リスクレベル (0–100)

-NotificationMessage

エンドユーザーに表示する通知メッセージ

-NotificationRequiresAcknowledge

ユーザーが通知の確認を必須とするか

-DayFilter

許可する曜日

-DateFilter

日付範囲。YYYY-MM-DD:YYYY-MM-DD 形式

-TimeFilter

時刻範囲。24時間制の HH-HH 形式

例:

PS > Update-KeeperEpmPolicy "Prod Elevation" `
>>     -PolicyName "Prod Elevation (Restricted)" `
>>     -NotificationMessage "Elevation requests are logged." `
>>     -NotificationRequiresAcknowledge $true  
>> 
Policy 'QtgZ_1sZhLsC4ERAo7QJkQ' updated.
  Updated: QtgZ_1sZhLsC4ERAo7QJkQ

Python CLI

コマンド: pedm policy edit <policy>

エイリアス: pedm p e, pedm p edit

フラグ:

フラグ

説明

policy

ポリシーUID (必須)

--policy-name

新しいポリシー名

--control

ポリシーコントロール (選択肢: allow、deny、audit、notify、mfa、justify、approval)。複数回指定可

--status

ポリシー状態 (選択肢: enforce、monitor、monitor_and_notify)

--enable

ポリシーの有効 / 無効 (選択肢: on、off)

--user-filter

ユーザーコレクションUIDまたは *。複数回指定可

--machine-filter

マシンコレクションUID。複数回指定可

--app-filter

アプリケーションコレクションUID。複数回指定可

--date-filter

日付範囲 (YYYY-MM-DD:YYYY-MM-DD)。複数回指定可

--time-filter

時刻範囲 (HH:MM-HH:MM)。複数回指定可

--day-filter

曜日。複数回指定可

--risk-level

リスクレベル (0-100)

例:

My Vault> pedm policy edit policy_xyz789 --policy-name "Updated Admin Policy" --control justify --enable on

Policy updated successfully

Python SDK

関数:

from keepersdk.plugins.pedm import admin_plugin, admin_types

plugin = admin_plugin.PedmPlugin(enterprise_loader)
policy_id = 'policy name or uid'
policy = plugin.policies.get_entity(policy_id)
policy_data = copy.deepcopy(policy.data or {})
policy_type = policy_data.get('PolicyType') or 'Unknown'
controls = ['policy controls']
if isinstance(controls, list):
    actions = policy_data.get('Actions')
    if not isinstance(actions, dict):
        actions = {}
        policy_data['Actions'] = actions
    on_success = actions.get('OnSuccess')
    if not isinstance(on_success, dict):
        on_success = {}
    on_success['Controls'] = controls
    policy_data['OnSuccess'] = on_success

policy_name = 'policy name'
if policy_name:
    policy_data['PolicyName'] = policy_name

disabled = True #or False
pu = admin_types.PedmUpdatePolicy(policy_uid=policy.policy_uid, data=policy_data, disabled=disabled)

rs = plugin.modify_policies(update_policies=[pu])

ポリシー参照コマンド

ポリシーの完全なJSON構成を表示します。フィルター、コントロール、ルール、メタデータなど、ポリシーの詳細をJSON形式で確認できます。

DotNet CLI

コマンド: epm-policy view

パラメータ:

パラメータ

説明

(positional)

ポリシーUIDまたは名前 (大文字小文字を区別しない)

例:

My Vault > epm-policy view abc123uid

DotNet SDK

関数:

// Get a single policy by UID
EpmPolicy policy = plugin.Policies.GetEntity(policyUid);

Power Commander

コマンド: Get-KeeperEpmPolicy

エイリアス: kepm-policy-view

例:

PS > Get-KeeperEpmPolicy "Test-Json2  "
Policy: Test-Json2
  UID: ZdDNd7zqZJh7hLy52nbblQ
  Type: PrivilegeElevation
  Status: enforce
  On Success Controls: APPROVAL, JUSTIFY, MFA
  Controls: APPROVAL, JUSTIFY, MFA
  Created: 2026-05-05 05:33:42
  Updated: 2026-05-05 05:38:06

Python CLI

コマンド: pedm policy view <policy>

エイリアス: pedm p v, pedm p view

フラグ:

フラグ

説明

policy

ポリシーUIDまたは名前 (必須)

--format

出力形式 - json

--output

ファイルに保存

例:

My Vault> pedm policy view policy_xyz789

{
    "PolicyName": "Admin Elevation",
    "PolicyType": "PrivilegeElevation",
    "Status": "enforce",
    "Actions": {
        "OnSuccess": {
            "Controls": ["AUDIT", "MFA"]
        }
    }
}

Python SDK

関数:

from keepersdk.plugins.pedm import admin_plugin, admin_types

plugin = admin_plugin.PedmPlugin(enterprise_loader)
policy_id = 'policy name or uid'
policy = plugin.policies.get_entity(policy_id)

ポリシー削除コマンド

システムから1件以上のポリシーを削除します。ポリシー構成を恒久的に削除し、すべてのコレクション割り当てからも外します。

DotNet CLI

コマンド: epm-policy remove

パラメータ:

パラメータ

説明

(positional)

ポリシーUIDまたは名前 (大文字小文字を区別しない)

例:

My Vault > epm-policy delete "My Policy"

DotNet SDK

関数:

public async Task<ModifyStatus> ModifyPolicies(
    IEnumerable<PolicyInput> addPolicies = null,
    IEnumerable<PolicyInput> updatePolicies = null,
    IEnumerable<string> removePolicies = null)

Power Commander

コマンド: Remove-KeeperEpmPolicy

エイリアス: kepm-policy-delete, kepm-policy-remove

パラメータ:

パラメータ

説明

-PolicyUidOrName

ポリシーUIDまたはポリシー表示名 (名前は大文字小文字を区別しない一致)

-Force

確認プロンプトをスキップ

例:

PS > Remove-KeeperEpmPolicy "Prod Elevation (Restricted)"

Confirm
Are you sure you want to perform this action?
Performing the operation "Remove" on target "policy 'Prod Elevation (Restricted)'".
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"): y
Policy 'QtgZ_1sZhLsC4ERAo7QJkQ' removed.
  Removed: QtgZ_1sZhLsC4ERAo7QJkQ

Python CLI

コマンド: pedm policy delete <policy> [policy...]

エイリアス: pedm p delete

フラグ:

フラグ

説明

policy

ポリシーUIDまたは名前 (必須、複数指定可)

例:

My Vault> pedm policy delete policy_old123

Policy deleted successfully

Python SDK

関数:

from keepersdk.plugins.pedm import admin_plugin, admin_types

plugin = admin_plugin.PedmPlugin(enterprise_loader)
policy_id = 'policy name or uid'
policy = plugin.policies.get_entity(policy_id)
to_delete = [policy.policy_uid]

response = plugin.modify_policies(remove_policies=to_delete)

ポリシー適用エージェント一覧コマンド

特定のポリシーの影響を受けるエージェントを表示します。コレクション割り当てを通じて指定ポリシーに割り当てられたエージェントをすべて確認できます。

DotNet CLI

コマンド: epm-policy agents

パラメータ:

パラメータ

説明

(positional)

ポリシーUIDまたは名前。スペースまたはカンマ区切りで複数指定可

例:

My Vault > epm-policy agents abc123uid

DotNet SDK

関数: 近日公開

Power Commander

コマンド: Get-KeeperEpmPolicyAgent

エイリアス: kepm-policy-agents

パラメータ:

パラメータ

説明

-PolicyUidOrNames

ポリシーUIDまたはポリシー名 (複数指定可)。パイプライン入力に対応

例:

PS > Get-KeeperEpmPolicyAgent "xZ3XK5MUJm5o6GNgd31Ung"

Key    UID                    Name                                        Status
---    ---                    ----                                        ------
Policy xZ3XK5MUJm5o6GNgd31Ung EPM Change Test                             enforce
Agent  680p8dW43xugzV_YSnGncg KENzZzzdr1PUB0ktHY9lZSU3zDyBqxw5EJ2yS1WrxYw enforce

Python CLI

コマンド: pedm policy agents <policy> [policy...]

エイリアス: pedm p agents

フラグ:

フラグ

説明

policy

ポリシーUIDまたは名前 (必須、複数指定可)

例:

My Vault> pedm policy agents policy_xyz789

Policy: policy_xyz789
Name: Admin Elevation
Status: enforce

Agent: agent_abc123
Machine: SERVER-001
Status: on

Python SDK

関数:

from keepersdk.plugins.pedm import admin_plugin, admin_types

plugin = admin_plugin.PedmPlugin(enterprise_loader)
policy_id = 'policy name or uid'
policy = plugin.policies.get_entity(policy_id)
policy_uids = [policy.policy_uid]

rq = pedm_pb2.PolicyAgentRequest()
rq.policyUid.extend(policy_uids)
rq.summaryOnly = False
rs = KeeperAuth.execute_router("pedm/get_policy_agents", rq, response_type=pedm_pb2.PolicyAgentResponse)

ポリシー割り当てコマンド

ポリシーにコレクションを割り当て、ポリシーの適用対象リソースを決めます。コレクションにはエージェント、ユーザー、マシン、アプリケーションを含められます。すべてのエージェントに割り当てる場合は "*" を使用します。

DotNet CLI

コマンド: epm-policy assign

パラメータ:

パラメータ

説明

(positional)

ポリシーUIDまたは名前。スペースまたはカンマ区切りで複数指定可

--collection

割り当てるコレクションUID。全エージェントコレクションの場合は * または all

例:

My Vault > epm-policy assign abc123uid --collection coll-uid-1

DotNet SDK

関数:

// 1. Build collection links (collection → policy)
var setLinks = new List<CollectionLink>();
foreach (var collectionUid in collectionUids)
{
    setLinks.Add(new CollectionLink
    {
        CollectionUid = collectionUid,
        LinkUid = policyUid,
        LinkType = PEDM.CollectionLinkType.CltPolicy
    });
}
// Use "*" or "all" → plugin.AllAgentsCollectionUid for the all-agents collection
// string allAgentsUid = plugin.AllAgentsCollectionUid;
// 2. Call SetCollectionLinks
ModifyStatus status = await plugin.SetCollectionLinks(
    setLinks: setLinks,
    unsetLinks: null);
// 3. Sync to refresh local state
await plugin.SyncDown();

Power Commander

コマンド: Add-KeeperEpmPolicyCollection

エイリアス: kepm-policy-assign

パラメータ:

パラメータ

説明

-PolicyUidOrNames

ポリシーUIDまたはポリシー名 (複数指定可)。パイプライン入力に対応

-CollectionUid

コレクションUID (複数指定可)。全エージェントコレクションの場合は * または all

例:

PS > Add-KeeperEpmPolicyCollection `
    -PolicyUidOrNames "Dev Elevation", "Prod Elevation" `
    -CollectionUid "xYzAbCdEf", "aBcDeFgHi"

Python CLI

コマンド: pedm policy assign <policy> [policy...]

エイリアス: pedm p assign

フラグ:

フラグ

説明

-c, --collection

割り当てるコレクションUID (全エージェントの場合は *)。複数回指定可

policy

ポリシーUIDまたは名前 (必須、複数指定可)

例:

My Vault> pedm policy assign policy_xyz789 -c collection_abc -c collection_def

Collections assigned to policy successfully

Python SDK

関数:

from keepersdk.plugins.pedm import admin_plugin, admin_types

plugin = admin_plugin.PedmPlugin(enterprise_loader)
policy_id = 'policy name or uid'
policy = plugin.policies.get_entity(policy_id)
policy_uids = [policy.policy_uid]
collections = ['Collection UIDs']
collection_uids: List[bytes] = []
if isinstance(collections, list):
    for c in collections:
        if c in ['*', 'all']:
            collection_uids.append(plugin.all_agents)
        elif c:
            collection_uid = utils.base64_url_decode(c)
            if len(collection_uid) == 16:
                collection_uids.append(collection_uid)


statuses = plugin.assign_policy_collections(policy_uids, collection_uids)

前へKEPMエージェントコマンド次へKEPMコレクションコマンド

最終更新 12 日前