# PAM構成

## 概要 **PAM構成**には対象のインフラ、設定、関連するKeeperゲートウェイの重要な情報が含まれます。各ゲートウェイおよび管理されているネットワークごとに1つのPAM構成を設定することをお勧めします。 ## PAM構成の作成以下は、新しいPAM構成を作成する手順となります。 1. Keeperボルトにログインします。 2. 「Secrets Manager」を選択し、「PAM構成」タブをクリックします。 3. 「新しい構成」をクリックします。 ## PAM構成フィールド PAM構成を設定する際、以下のいずれかの環境を選択します。 * [ローカルネットワーク](#rkarunettowku) * [AWS](#aws-huan-jing) * [Azure](#azure-huan-jing) * [Google Cloud](#google-cloud-environment) * [ドメインコントローラー](#domeinkontorr) 以下の表では、選択した環境にかかわらず、PAM構成レコードで設定できる各フィールドの詳細が記載されています。

フィールド	説明	備考
タイトル	PAM構成レコードの名前	例: `US-EAST-1 Config`
ゲートウェイ	構成済みのゲートウェイ	詳細はゲートウェイのページをご参照ください。
アプリケーションフォルダ	PAM構成データが保管される共有フォルダ	ベストプラクティスとして、管理者のみがアクセスできるフォルダを作成することを推奨します (以下のセキュリティノート (1) を参照)。
PAM設定	有効にするゼロトラストKeeperPAM機能の一覧	詳細は本セクションをご参照ください。
デフォルトのローテーションスケジュール	ローテーションの頻度を指定します。	例: `Daily`
ポートマッピング	デフォルトの代替ポートを定義します。	例: `3307=mysql` ポートマッピングのページをご参照ください。

{% hint style="danger" %} セキュリティノート (1) PAM構成情報は特定のアプリケーションフォルダ内のボルトにレコードに保管されており、シークレットが含まれる場合があります。そのため、アプリケーションフォルダは特権を持つ管理者のみがアクセスできるようにすることを推奨します。 {% endhint %} 以下の表では、選択した環境に基づき、PAMネットワーク構成レコードの各フィールドの詳細を記載しました。 ## ローカルネットワーク環境

フィールド	説明	備考
ネットワークID	ネットワーク固有のID	ユーザーの参照用 (例: `My Network`)
ネットワークCIDR	IPアドレスのサブネット	例: `192.168.0.15/24` 詳しくはこちらを参照。

## AWS環境

フィールド	説明	備考
AWS ID	AWSインスタンスの固有ID	必須。ユーザーの参照用 (例: `AWS-US-EAST-1`)
アクセスキーID	IAMユーザーアカウントから、希望するアクセスキーのアクセスキーIDを取得します。	EC2インスタンスロールが引き受けられている場合は空欄のままにしてください。
シークレットアクセスキー	アクセスキーのシークレットキー	EC2インスタンスロールが引き受けられている場合は空欄のままにしてください。
地域名	検出に使用されるAWSリージョン名。リージョンごとに改行してください。	例: us-east-2 us-west-1
ポートマッピング	参照される非標準ポート。エントリごとに改行してください。	例: 2222=ssh 3390=rdp

* 詳しくは[AWS環境のセットアップ](/keeperpam/jp/privileged-access-manager/getting-started/pam-configuration/aws-environment-setup.md)のページをご参照ください。 ## Azure環境

フィールド	説明	備考
Azure ID	Azureインスタンスの固有ID	必須。ユーザーの参照用 (例: `Azure-1`)
クライアントID	Azureアプリケーションのアプリケーション/クライアントID (UUID)	必須
クライアントシークレット	Azureアプリケーションのクライアント認証情報シークレット	必須
サブスクリプションID	サブスクリプションのUUID (例: 従量課金制)	必須
テナントID	Azure Active DirectoryのUUID	必須
リソースグループ	チェックするリソースグループの一覧。空欄のままにすると、すべてのリソースグループがチェックされます。各リソースグループは改行で区切ってください。

* 詳しくは、[Azure環境のセットアップ](/keeperpam/jp/privileged-access-manager/getting-started/pam-configuration/azure-environment-setup.md)のページをご参照ください。 ## Google Cloud環境

フィールド	説明	備考
GCP ID	Google Cloud環境を識別するための一意のID	必須。ユーザーの参照用。例: `GCP-US-CENTRAL1`
Google Workspace管理者メールアドレス	GCPプリンシパルのパスワード管理に使用できる、Google Workspace管理者アカウントのメールアドレス	該当するアカウントが存在しない場合、またはプリンシパルのローテーションが不要な環境では空欄のままにします。
サービスアカウントキー	JSON形式のサービスアカウントキー	必須。例: `{ "type": "service_account", "project_id": "<project-id>", "private_key_id": "<private-key-id>", "private_key": "<private-key>", "client_email": "<client-email>", "client_id": "<client-id>", "auth_uri": "https://accounts.google.com/o/oauth2/auth", "token_uri": "https://oauth2.googleapis.com/token", "auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs", "client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/<app-identifier>.iam.gserviceaccount.com" }`
リージョン名	検出に使用するGoogle Cloudリージョン名。リージョンごとに改行してください。	例: us-east4 us-south1
ポートマッピング	参照される非標準ポート。エントリごとに改行してください。	例: 2222=ssh 3390=rdp

* 詳しくは、[Google Cloud環境のセットアップ](/keeperpam/jp/privileged-access-manager/getting-started/pam-configuration/google-cloud-environment-setup.md)のページをご参照ください。 ## ドメインコントローラー環境 | フィールド | 説明 | 必須 | | ----------- | ----------------------------------------------------------------- | --- | | 管理者用認証情報 | ドメイン全体の検出とすべてのドメインリソースへのアクセスに必要な、ドメイン管理者または同等の権限を持つアカウントの認証情報 | はい | | ホスト名とポート | ドメインコントローラーのホスト名とポート | はい | | ドメインID | ドメインコントローラーが使用するFQDNドメイン。例として EXAMPLE.COM を指定し、EXAMPLE だけにはしません。 | はい | | SSLを使用 | LDAPS (既定は636) を使用する場合はチェックを入れます。LDAP (既定は389) を使用する場合はチェックを外します。 | はい | | ネットワークをスキャン | ドメインコントローラーからCIDRをスキャンします。既定は「False」です。 | いいえ | | ネットワークCIDR | フィールドで指定した追加のCIDRをスキャンします。 | いいえ | | ポートマッピング | デフォルトの代替ポートを定義します。 | いいえ | ## PAM構成のPAM機能 PAM構成の「**PAM機能許可**」および「**セッション録画タイプ許可**」セクションでは、リソースのPAM構成を通じて管理されるKeeperPAM機能を有効にしたり無効にしたりできます。

フィールド	説明
ローテーション	有効にすると、このPAM構成で管理されている特権ユーザーに対するローテーションを許可します。
接続	有効にすると、このPAM構成で管理されているリソースへの接続を許可します。
リモートブラウザ分離 (RBI)	有効にすると、このPAM構成で管理されているリソースへのRBIセッションを許可します。
トンネル接続	有効にすると、このPAM構成で管理されているリソースへのトンネル接続を許可します。
グラフィカルセッション録画	有効にすると、すべての接続およびRBIセッションについて、視覚的に再生できるセッションが録画されます。KeeperAIを利用する場合に必要です。
テキストセッション録画 (TypeScript)	有効にすると、すべての接続およびRBIセッションについて、テキストの入出力がログに記録されます。

--- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.keeper.io/keeperpam/jp/privileged-access-manager/getting-started/pam-configuration.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.