# Kubernetes

## 概要

KeeperPAMは、KubernetesのREST APIを利用して、Kubernetesコンテナに対するゼロトラスト特権セッション管理を実現します。本ページでは、Keeperボルト内のPAMマシンレコードに対してKubernetes接続を設定する方法をご紹介します。ボルトからKeeperゲートウェイを経由して、Kubernetesへのセキュアなセッションが対象のコンテナに直接確立されます。

## 要件 <a href="#prerequisites" id="prerequisites"></a>

まず、接続の「[はじめに](/keeperpam/jp/privileged-access-manager/connections/getting-started.md)」のページに記載されている要件をご確認ください。

本プロトコルを設定するには、以下のPAMレコードが必要となります。

<table><thead><tr><th width="198.12109375">PAMレコード</th><th>説明</th></tr></thead><tbody><tr><td><a href="/pages/uVvgPynMCsQ2XV3pYhck">PAM構成</a></td><td>対象のインフラに関する情報が含まれています。</td></tr><tr><td><a href="/pages/IkpYwLTr6ggaDtjZb0Zs">PAMマシン</a>レコード</td><td>SSHプロトコル接続を確立したいエンドポイントに関する情報が含まれています。</td></tr><tr><td><a href="/pages/LvRDbzYKSe4VPUbMoFOB">PAMユーザー</a>レコード</td><td>エンドポイントに接続するために使用されるユーザー認証情報が含まれています。</td></tr></tbody></table>

## PAM設定 - Kubernetesプロトコルの構成

### 接続設定へのアクセス

対象のエンドポイントを使用してPAMレコードタイプ (PAMマシン、PAMデータベース、PAMディレクトリ) を作成した後、以下の手順でPAM設定画面の **\[接続]** セクションに移動します。

1. PAMレコードを編集します。
2. PAM設定セクション内の **\[セットアップ]** をクリックします。
3. 表示されたウィンドウで **\[接続]** セクションに移動します。

### 接続設定の構成 <a href="#configuring-connection-settings" id="configuring-connection-settings"></a>

PAM設定画面でKubernetesプロトコル設定を構成する前に、以下のフィールドを構成する必要があります (**必須**)。

<table><thead><tr><th width="255.5078125">フィールド</th><th>説明</th></tr></thead><tbody><tr><td>PAM構成</td><td>対象インフラの詳細を含み、PAMレコードで構成されている対象へのアクセスを提供します。</td></tr><tr><td>管理者認証情報レコード</td><td>リンクされた<a href="/pages/LvRDbzYKSe4VPUbMoFOB">PAMユーザー</a>で、対象への認証と管理操作を実行するために使用されます。</td></tr></tbody></table>

以下の表は、PAM設定でのKubernetesプロトコルに関する接続設定の一覧です。

<table><thead><tr><th width="256.2734375">フィールド</th><th>説明</th></tr></thead><tbody><tr><td>プロトコル</td><td><strong>必須</strong><br>レコードに設定するプロトコルです。選択したプロトコルに基づいて、プロトコル設定が自動的に反映されます。本ページでは、Kubernetesプロトコルを選択してください。</td></tr><tr><td>接続を有効にする</td><td><strong>必須</strong><br>このレコードで接続を有効にするには、このトグルをオンにします。</td></tr><tr><td>セッション録画</td><td>有効にすると、このレコードに対してグラフィカルセッションの録画が有効になります。</td></tr><tr><td>テキストセッションレコーディング (Typescript)</td><td>有効にすると、このレコードに対してテキストセッションの記録 (Typescript) が有効になります。</td></tr><tr><td>キー入力イベントを含める</td><td>有効にすると、セッション再生時に個別のキー入力データが含まれるようになります。注: ユーザーが入力した機密情報も記録される可能性がありますのでごご留意ください。</td></tr><tr><td>接続ポート</td><td><p>選択したプロトコル接続を確立するために使用されるポートです。デフォルトでは、PAMマシンレコードで定義されたポート値が使用されます。ここでポートを指定すると、デフォルトのポートが上書きされます。</p><p>Kubernetesの場合、ポートは8080です。</p></td></tr><tr><td>接続用認証情報</td><td>構成すると、接続の認証にこれらの認証情報が使用されます。詳しくは<a href="#connection-authentication-methods">こちら</a>を参照。</td></tr><tr><td>ボルトから認証情報を選択できるようにする</td><td>有効にすると、ユーザー自身の個人用認証情報を使用して接続を認証できるようになります。詳しくは<a href="#connection-authentication-methods">こちら</a>を参照。</td></tr><tr><td>セッション終了時に接続用認証情報をローテーションする</td><td>有効にすると、セッション終了時に、構成された接続用認証情報が自動的にローテーションされます。</td></tr><tr><td>ネームスペース</td><td>接続対象のコンテナが含まれるPodのKubernetesネームスペース名を指定します。省略した場合は「default」ネームスペースが使用されます。</td></tr><tr><td>Pod名</td><td>接続対象のコンテナが含まれているKubernetesのPod名を指定します。</td></tr><tr><td>コンテナ名</td><td>接続対象となるコンテナの名前を指定します。省略した場合は、Pod内の最初のコンテナが使用されます。</td></tr><tr><td>サーバー証明書を無視する</td><td>このオプションを有効にすると、Kubernetesサーバーで使用されているSSL/TLS証明書の有効性が検証できない場合でも、その証明書を無視して接続を続行します。<br>通常は、SSL/TLS証明書は検証される設定になっています。</td></tr><tr><td>認証局 (CA) 証明書</td><td>Kubernetesサーバーの証明書に署名した認証局 (CA) の証明書をPEM形式で指定します。省略した場合は、<a href="https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-shared-system-certificates">システム全体にインストールされている認証局</a>のみを使用してサーバー証明書の検証が行われます。</td></tr><tr><td>クライアント証明書</td><td>Kubernetesサーバーに対してSSL/TLSクライアント認証を行う場合に使用するクライアント証明書をPEM形式で指定します。省略した場合、SSLクライアント認証は行われません。</td></tr><tr><td>クライアントキー</td><td>Kubernetesサーバーに対してSSL/TLSクライアント認証を行う場合に使用するクライアントキーをPEM形式で指定します。省略した場合、SSLクライアント認証は行われません。</td></tr><tr><td>カラースキーマ</td><td>Kubernetes接続で使用されるターミナルエミュレーターの配色テーマを指定します。各カラースキームは、ターミナルのデフォルトの前景色および背景色を定義します。ただし、テキスト出力時にプログラム側で色が指定されている場合は、その指定が優先されます。</td></tr><tr><td>フォントサイズ</td><td>使用するフォントサイズ (ポイント単位) を指定します。デフォルトでは、表示される文字のサイズは12ポイントです。</td></tr><tr><td>最大スクロールバックサイズ</td><td>ターミナルのスクロールバックバッファに保持できる最大行数を指定します。デフォルトでは、スクロールバックバッファは最大1000行に制限されています。</td></tr><tr><td>読み取り専用</td><td>この接続を読み取り専用にするかどうかを指定します。<code>true</code> に設定すると、接続では一切の入力を受け付けなくなります。ユーザーはターミナル (またはターミナル内で実行されているアプリケーション) を表示できますが、操作することはできません。</td></tr></tbody></table>

## 接続認証方式 <a href="#connection-authentication-methods" id="connection-authentication-methods"></a>

Keeperの接続は、以下のいずれかの方法で認証できます。

[**接続用認証情報**](/keeperpam/jp/privileged-access-manager/connections/authentication-methods.md#launch-credential)\
PAMマシン、PAMデータベース、またはPAMディレクトリのレコードタイプに直接設定された「接続用認証情報」を使用して、ターゲットへのセッションが認証されます。ユーザーは接続のためにこの認証情報にアクセスする必要はありません。

[**個人用認証情報**](/keeperpam/jp/privileged-access-manager/connections/authentication-methods.md#personal-private-credentials)\
「ユーザーがボルトから認証情報を選択できるようにする」が有効な場合、ユーザーは自分のKeeperボルトに安全に保存されている個人あるいはプライベート認証情報を使って、ターゲットへのセッションを認証できます。

[**一時的アカウント**](/keeperpam/jp/privileged-access-manager/connections/authentication-methods.md#ephemeral-account)\
PAMマシンまたはPAMデータベースのリソースで一時的アカウント機能が有効になっている場合、セッション専用の、システムが生成する時間制限付きの特権アカウントが作成されます。このアカウントはセッション終了後に自動的に削除され、常設の特権が排除されます。この方式は、対象のシステムに永続的なアカウントを残さず、ジャストインタイムアクセスを実現するために使用されます。

## セッションレコーディング - Kubernetesプロトコル

このプロトコルでは、ターミナルセッションのグラフィカルな内容と、タイミング情報を含む完全な生のテキスト内容の両方が録画されます。詳しくは以下のページをご覧ください。

* [セッションのレコーディングと再生](/keeperpam/jp/privileged-access-manager/session-recording-and-playback.md)

## 接続テンプレート

対象のシステムに対応するPAMレコードタイプを接続テンプレートとして構成することもできます。これらのテンプレートは、特定のホスト名や認証情報を事前に定義することなく、対象のシステムへのセッションを開始するための再利用可能なレコードタイプとして機能します。詳細については[こちらのページ](/keeperpam/jp/privileged-access-manager/connections/connection-templates.md)をご覧ください。


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.keeper.io/keeperpam/jp/privileged-access-manager/connections/session-protocols/kubernetes.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.