PAM構成

Keeperボルト内でPAM構成を作成

概要

PAM構成には対象のインフラ、設定、関連するKeeperゲートウェイの重要な情報が含まれます。各ゲートウェイおよび管理されているネットワークごとに1つのPAM構成を設定することをお勧めします。

PAM構成の作成

以下は、新しいPAM構成を作成する手順となります。

Keeperボルトにログインします。
「Secrets Manager」を選択し、「PAM構成」タブをクリックします。
「新しい構成」をクリックします。

PAM構成フィールド

PAM構成を設定する際、以下のいずれかの環境を選択します。

以下の表では、選択した環境にかかわらず、PAM構成レコードで設定できる各フィールドの詳細が記載されています。

フィールド

説明

備考

タイトル

PAM構成レコードの名前

例: US-EAST-1 Config

ゲートウェイ

構成済みのゲートウェイ

詳細はゲートウェイのページをご参照ください。

アプリケーションフォルダ

PAM構成データが保管される共有フォルダ

ベストプラクティスとして、管理者のみがアクセスできるフォルダを作成することを推奨します (以下のセキュリティノート (1) を参照)。

PAM設定

有効にするゼロトラストKeeperPAM機能の一覧

詳細は本セクションをご参照ください。

デフォルトのローテーションスケジュール

ローテーションの頻度を指定します。

例: Daily

ポートマッピング

デフォルトの代替ポートを定義します。

例: 3307=mysql ポートマッピングのページをご参照ください。

セキュリティノート (1)

PAM構成情報は特定のアプリケーションフォルダ内のボルトにレコードに保管されており、シークレットが含まれる場合があります。そのため、アプリケーションフォルダは特権を持つ管理者のみがアクセスできるようにすることを推奨します。

以下の表では、選択した環境に基づき、PAMネットワーク構成レコードの各フィールドの詳細を記載しました。

ローカルネットワーク環境

フィールド

説明

備考

ネットワークID

ネットワーク固有のID

ユーザーの参照用 (例: My Network)

ネットワークCIDR

IPアドレスのサブネット

例: 192.168.0.15/24 詳しくはこちらを参照。

AWS環境

フィールド

説明

備考

AWS ID

AWSインスタンスの固有ID

必須。ユーザーの参照用 (例: AWS-US-EAST-1)

アクセスキーID

IAMユーザーアカウントから、希望するアクセスキーのアクセスキーIDを取得します。

EC2インスタンスロールが引き受けられている場合は空欄のままにしてください。

シークレットアクセスキー

アクセスキーのシークレットキー

EC2インスタンスロールが引き受けられている場合は空欄のままにしてください。

地域名

検出に使用されるAWSリージョン名。リージョンごとに改行してください。

例: us-east-2 us-west-1

ポートマッピング

参照される非標準ポート。エントリごとに改行してください。

例: 2222=ssh 3390=rdp

詳しくはAWS環境のセットアップのページをご参照ください。

Azure環境

フィールド

説明

備考

Azure ID

Azureインスタンスの固有ID

必須。ユーザーの参照用 (例: Azure-1)

クライアントID

Azureアプリケーションのアプリケーション/クライアントID (UUID)

必須

クライアントシークレット

Azureアプリケーションのクライアント認証情報シークレット

必須

サブスクリプションID

サブスクリプションのUUID (例: 従量課金制)

必須

テナントID

Azure Active DirectoryのUUID

必須

リソースグループ

チェックするリソースグループの一覧。空欄のままにすると、すべてのリソースグループがチェックされます。各リソースグループは改行で区切ってください。

詳しくは、Azure環境のセットアップのページをご参照ください。

Google Cloud環境

フィールド

説明

備考

GCP ID

Google Cloud環境を識別するための一意のID

必須。ユーザーの参照用。例: GCP-US-CENTRAL1

Google Workspace管理者メールアドレス

GCPプリンシパルのパスワード管理に使用できる、Google Workspace管理者アカウントのメールアドレス

該当するアカウントが存在しない場合、またはプリンシパルのローテーションが不要な環境では空欄のままにします。

サービスアカウントキー

JSON形式のサービスアカウントキー

必須。例:

{
  "type": "service_account",
  "project_id": "<project-id>",
  "private_key_id": "<private-key-id>",
  "private_key": "<private-key>",
  "client_email": "<client-email>",
  "client_id": "<client-id>",
  "auth_uri": "https://accounts.google.com/o/oauth2/auth",
  "token_uri": "https://oauth2.googleapis.com/token",
  "auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs",
  "client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/<app-identifier>.iam.gserviceaccount.com"
}

リージョン名

検出に使用するGoogle Cloudリージョン名。リージョンごとに改行してください。

例: us-east4 us-south1

ポートマッピング

参照される非標準ポート。エントリごとに改行してください。

例: 2222=ssh 3390=rdp

詳しくは、Google Cloud環境のセットアップのページをご参照ください。

ドメインコントローラー環境

フィールド

説明

必須

管理者用認証情報

ドメイン全体の検出とすべてのドメインリソースへのアクセスに必要な、ドメイン管理者または同等の権限を持つアカウントの認証情報

はい

ホスト名とポート

ドメインコントローラーのホスト名とポート

はい

ドメインID

ドメインコントローラーが使用するFQDNドメイン。例として EXAMPLE.COM を指定し、EXAMPLE だけにはしません。

はい

SSLを使用

LDAPS (既定は636) を使用する場合はチェックを入れます。LDAP (既定は389) を使用する場合はチェックを外します。

はい

ネットワークをスキャン

ドメインコントローラーからCIDRをスキャンします。既定は「False」です。

いいえ

ネットワークCIDR

フィールドで指定した追加のCIDRをスキャンします。

いいえ

ポートマッピング

デフォルトの代替ポートを定義します。

いいえ

PAM構成のPAM機能

PAM構成の「PAM機能許可」および「セッション録画タイプ許可」セクションでは、リソースのPAM構成を通じて管理されるKeeperPAM機能を有効にしたり無効にしたりできます。

フィールド

説明

ローテーション

有効にすると、このPAM構成で管理されている特権ユーザーに対するローテーションを許可します。

接続

有効にすると、このPAM構成で管理されているリソースへの接続を許可します。

リモートブラウザ分離 (RBI)

有効にすると、このPAM構成で管理されているリソースへのRBIセッションを許可します。

トンネル接続

有効にすると、このPAM構成で管理されているリソースへのトンネル接続を許可します。

グラフィカルセッション録画

有効にすると、すべての接続およびRBIセッションについて、視覚的に再生できるセッションが録画されます。KeeperAIを利用する場合に必要です。

テキストセッション録画 (TypeScript)

有効にすると、すべての接続およびRBIセッションについて、テキストの入出力がログに記録されます。

前へプロキシ構成次へAWS環境のセットアップ

最終更新 1 か月前