# アクセス制御

## 概要 KeeperPAMにおけるリソースおよび機能へのアクセスは、複数のポリシーと構成設定による多層的な制御に基づいた、堅牢なクラウドベースのアクセス制御プレーンによって管理されます。デバイスやゲートウェイには特定の権限が割り当てられ、それによってボールトから割り当てられたデータへのアクセスおよび復号が可能になります。KeeperPAMの管理権限を持つユーザーは、管理対象リソースに対して柔軟にアクセス権を割り当てることができ、組織のニーズに応じて永続的・時間制限付き・ジャストインタイム（JIT）アクセスが設定可能です。 * [導入の計画](#no) * [ロール単位の強制適用ポリシー](#rrunoporish) * [PAM構成設定](#pam-gou-cheng-she-ding) * [アプリケーションおよびデバイスのアクセス制御](#apurikshonoyobidebaisunoakusesu) * [デバイスおよびゲートウェイのIPロック](#debaisuoyobigtoweinoiprokku) * [PAMリソースの共有と権限管理](#pamrissunoto) * [レコードのリンク](#rekdonorinku) * [時間制限付きアクセス](#kiakusesu) * [アクセスの取り消し](#akusesunorishi) ### 導入の計画 KeeperPAMを活用するためには、Keeper管理コンソール内に専用のサービスアカウントユーザーを作成することを推奨します。このアカウントは、アプリケーション、共有フォルダ、ゲートウェイ、リソースおよびそれらに関連する権限とアクセス権の作成・管理を担当します。 ## ボルトKSMアプリケーションの共有 {% hint style="info" %} Keeperコマンダーおよびボルトバージョン17.3以降では、**アプリケーション共有**がサポートされています。これにより、複数の管理者がアプリケーションおよびゲートウェイを共有・管理できるようになります。 {% endhint %} **\[シークレットマネージャー] > \[アプリケーション] > \[編集]** に移動し、アプリケーション、デバイス、ゲートウェイの管理を必要とする管理者を選択します。 * **アプリケーション管理者**: アプリケーションフォルダ、ユーザー、すべてのデバイスおよびゲートウェイの管理が可能 * **アプリケーション閲覧者**: アプリケーションおよびゲートウェイの閲覧と使用が可能

#### Keeperコマンダー Keeperコマンダー CLIおよびSDKでアプリケーションの共有および共有解除に対応しています。詳細については、[`secrets-manager app share`](/keeperpam/jp/commander-cli/command-reference/secrets-manager-commands.md#secrets-manager-app-share-command)コマンドをご参照ください。 ### ロール単位の強制適用ポリシー強制適用ポリシーは、ユーザーのロールに関連付けられる全体的な権限を決定します。ロールには管理者権限を持たせることも、割り当てられたリソースの利用のみに制限することもできます。 1. 管理コンソールで **\[管理者]** > **\[ロール]** に移動します。 2. 新しいロールを作成するか、既存のロールを編集します。 3. **\[強制適用ポリシー]** をクリックして、**\[特権アクセス管理]** タブに進みます。

管理コンソールのノード、ロール、権限について、詳しくはエンタープライズガイドをご参照ください。 * [ノードと組織構造](/enterprise-guide/jp/nodes-and-organizational-structure.md) * [ロール単位のアクセス権限設定](/enterprise-guide/jp/roles.md) ### PAM構成設定 PAM構成は、PAMレコードに対する「ペアレンタルコントロール」のような役割を果たします。この構成を使用するすべてのリソースに対して、特定のPAM機能を有効または無効にすることができます。

* PAM構成については[こちらのページ](/keeperpam/jp/privileged-access-manager/getting-started/pam-configuration.md)をご参照ください。 ### アプリケーションおよびデバイスのアクセス制御管理者がアプリケーションを作成する際、そのアプリケーションに関連付けられたデバイスやゲートウェイに対して、特定の共有フォルダへのアクセス権とレコード権限を割り当てます。これにより、Keeperボルトと連携するゲートウェイやデバイスに対して、アクセスを適切に制御できます。アプリケーションとゲートウェイの両方で権限を管理することで、セキュリティがさらに強化されます。

複数のアプリケーションを、異なる権限レベルで1つの共有フォルダに関連付けることができます。

### デバイスおよびゲートウェイのIPロック WindowsまたはLinuxベースのインストール方法で新しいデバイスやゲートウェイを作成する際、Keeperは初回アクセス時にIPロックを適用するオプションを選択できます。この追加のセキュリティ対策は、既存のデバイス認可モデルにさらに一層の保護を加えるものです。

### PAMリソースの共有と権限管理 Keeperはゼロ知識プラットフォームとして、強力な暗号化に基づいた安全な共有技術を通じて、リソース単位のアクセス制御を実現しています。リソースへのアクセスは、ポリシー (RBACやABAC) による制御に加えて、暗号化によっても保護されています。ユーザーがリソースへアクセスするには、そのリソースに対応するレコードをボルト内で復号できる必要があります。復号プロセスが完了すると、ユーザーは対象システムへのゼロトラスト接続を確立するか、あるいは単にシークレットにアクセスすることが可能になります。 Keeperボルト内では、共有フォルダでKeeperPAMで管理されるリソースへのアクセスを制御します。リソースは、他のKeeperレコードと同様に共有フォルダ内に配置することができます。 {% hint style="info" %} KeeperPAMプラットフォームの大きな利点の一つは、認証情報を共有相手に公開することなく、リソースへのアクセスを共有できる点です。 {% endhint %} 共有フォルダには、以下のようなPAMリソースが含まれます。 * **PAMマシン** * **PAMデータベース** * **PAMディレクトリ** * **PAMリモートブラウザ** * **PAMユーザー** 最小権限の原則を確保するために、PAMユーザーを別の共有フォルダに分けて配置するようにしましょう。これにより、ユーザーやデバイスが機密情報にアクセスできる範囲を制限できます。 [クイックスタートサンドボックス](/keeperpam/jp/privileged-access-manager/quick-start-sandbox.md)を起動する場合や[ゲートウェイウィザード](/keeperpam/jp/privileged-access-manager/getting-started/gateways.md)を使用する場合、リソースとユーザーは自動的に別々の共有フォルダに分けて配置します。以下のデモ環境では、DevOpsチーム (Team DevOps) にはフルアクセスを付与し、開発チーム (Team Developers) にはリソースの閲覧と使用のみに制限しています。

この事例では、「Users」フォルダへのアクセス権があるのはDevOpsチーム (Team DevOps) のみです。開発チーム (Team Developers) はこれらの認証情報にアクセスできないよう制限されています。

#### レコードレベルの権限共有フォルダ内のリソースレベルの権限によって、メンバーはレコードの編集や共有を制限されます。ただし、閲覧のみのアクセス権しか持たないユーザーでも、そのロールで許可されている場合なら、セッションの起動などのPAM機能は使用できます。

最小権限アクセスを確保するためには、共有フォルダ内のレコードレベルの権限を「閲覧のみ」に制限することを推奨します。アプリケーションやゲートウェイの構築を担当するKeeperのサービスアカウントユーザーのみが、完全な管理権限を持つべきです。 #### リソースの直接共有レコードは、個別のユーザーに対して永続的または時間制限付きで共有することができます。個別のレコードを共有するには、**\[共有]** をクリックし、対象のユーザーを選択します。リソースへの「閲覧のみ」アクセスを付与すると、共有相手は認証情報にアクセスすることなく、対象の接続やトンネルを起動することが可能になります。

ユーザーには、リソースに対して永続アクセス (スタンディングアクセス) または時間制限付きアクセスを割り当てることができます。

#### チームレベルの権限管理コンソールでは、特定のチームに割り当てられた共有フォルダを通じて提供されたレコードに対して、そのチームが編集や再共有できないよう制限をかけることができます。この設定は、あくまで特定のチームに割り当てられた共有フォルダに対してのみ適用され、環境全体にわたって一貫したアクセス制御を実現します。

#### 共有管理者権限 Keeperボルト内のリソースやレコードの所有権や権限の管理は、「共有管理者」権限を使って他のKeeper管理者に委任することができます。 * 「共有管理者」機能について、詳しくは[こちらのページ](/enterprise-guide/jp/sharing/share-admin.md)をご参照ください。

### レコードのリンク認証情報を含むPAMユーザーレコードは、PAMリソースに「リンク」することができます。ただし、PAMリソースのレコードを他のユーザーと共有しても、リンクされた認証情報が自動的に共有されることはありません。これにより、「閲覧のみ」のアクセス権を持つ共有相手は、実際の認証情報にアクセスすることなく、ゼロトラスト接続を起動することが可能になります。 * リソースを「閲覧のみ」で共有されたユーザーは、そのリソースへの接続やトンネルの起動はできますが、認証情報そのものを見ることはできません。 * Keeperの[ゼロトラストアーキテクチャ](/keeperpam/jp/privileged-access-manager/getting-started/architecture.md)は、認証情報を共有することなくターゲットシステムへのアクセスを可能にし、最小権限アクセスを実現します。以下の例では、PAMデータベースが特定のユーザー`sqluser`にリンクされています。このアカウントを使ったデータベース接続は、実際の認証情報にアクセスできないユーザーでも利用可能です。

こちらは、秘密鍵を共有せずにLinuxマシンへのSSHアクセスを付与する例です。

### 時間制限付きアクセスフォルダおよびレコードへのアクセスは、永続的にも時間制限付きにも設定できます。

リソースへのアクセスは、特定の日時に取り消すことができます。

### アクセスの取り消しユーザーを共有フォルダから削除するか、リソースの直接共有から削除すると、そのユーザーによるアクティブなセッションやトンネルは即座に切断されます。 #### 共有フォルダからユーザーを削除する手順 1. 対象の共有フォルダを選択します。 2. 編集ボタンをクリックし、**\[ユーザー]** タブから該当のユーザーまたはチームを削除します。 3. **\[保存]** をクリックします。 #### 個別のリソースからユーザーを削除する手順 1. 対象のレコードを選択します。 2. **\[共有]** をクリックします。 3. 共有設定から該当のユーザーを削除します。この操作により、不要なアクセスを即時に遮断し、セキュリティを保つことができます。

**\[すべての共有レコードからXXXを削除]** を選択すると、そのユーザーのすべてのリソースへのアクセスが取り消され、アクティブなセッションやトンネルもすべて即座に終了します。 ### 共有の失効後の自動ローテーション PAMユーザーの認証情報を他のユーザーと共有する必要がある事例では、共有の有効期限が切れた後に認証情報を自動的にローテーションするオプションを利用できます。これにより、セキュリティを維持しながら一時的な共有が可能になります。

--- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.keeper.io/keeperpam/jp/privileged-access-manager/getting-started/sharing-and-access-control.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.