# ボルトの構造
## 概要 お客様の環境では、Keeperボルトは組織内のすべてのユーザーとデバイスに展開されています。ウェブブラウザーを通じてアクセスでき、Windows、macOS、Linux用のネイティブデスクトップアプリも提供されています。KeeperボルトはKeeperPAMプラットフォームの基盤であり、全ユーザーに展開され、MFA、SSOが強制され、ゼロ知識暗号化モデルを実装しています。 Keeper管理コンソールからロール別強制適用ポリシーを有効にすると、指定されたユーザーはボルトを介して直接KeeperPAMの機能を操作できるようになります。 * [KeeperPAMコンソールとボルトへのアクセス方法](/keeperpam/jp/privileged-access-manager/setup-steps.md) * [強制適用ポリシーの有効化](/keeperpam/jp/privileged-access-manager/getting-started/enforcement-policies.md) *** ## レコード、レコードタイプ、リソース Keeperのレコードには、パスワード、ファイル、パスキーなど、用途に応じてさまざまなタイプがあります。各レコードは、ユーザーのデバイスでレコードレベルの暗号化キーを用いてローカルで暗号化されます。ボルト内ではレコードに含まれるすべての情報が暗号化されます。 シークレット管理および特権アクセス管理 (PAM) の機能を使用する際、レコードはアプリケーション、マシン、ディレクトリ、データベース、ドメインコントローラー、ユーザーなど、管理しているインフラを表すこともできます。 これらのレコードタイプは、パスワードレコードと同様に、プライベートまたは共有フォルダに配置され、ボルト内で直接管理され、ポリシーによって制御されます。 *** ## フォルダと共有フォルダ  ボルト内では、レコードはフォルダや共有フォルダに格納します。推奨されるフォルダ構成は以下のようになります。 * フォルダ * リソースを格納した共有フォルダ * ユーザーアカウントを格納した共有フォルダ

KeeperPAMでの通常のフォルダセットアップ

最小権限の原則に基づき、リソースとユーザーアカウントを分けることを推奨します。この構成では、認証情報へのアクセス権を共有することなくユーザーにリソースを提供できます。ユーザーアカウントは別のフォルダに配置され、ボルト内で保つか、必要に応じて他の特権ユーザーと共有することができます。 例えば、以下ではLinuxマシンのようなリソースはリソースフォルダ内にあります。そのリソースに接続するために使用される管理者認証情報はリンクされていますが、リソース内に直接埋め込まれているわけではありません。この方法により、認証情報を共有せずにリソースへのアクセスを付与できるわけです。
この例では、リンクされている管理者認証情報は、個別のアクセス権限とフォルダ権限が付与されたユーザーフォルダに存在します。

ユーザーフォルダ内のリンクされた認証情報

共有フォルダレベルでは、ユーザーとアプリケーションの両方にアクセス権を付与することができます。これにより、従業員とマシンに対して最小権限の原則を適用することができます。

共有フォルダへのアクセスが付与された人間のユーザー

共有フォルダへのアクセスが付与されたアプリとマシン

レコード、フォルダ、アプリケーション、設定の関係を理解するには、[クイックスタートウィザード](/keeperpam/jp/privileged-access-manager/quick-start-sandbox.md)をご使用ください。このウィザードでは、さまざまなリソースやボルトレコードを操作できるサンドボックス環境を簡単に作成できます。 *** ## アプリケーション シークレットマネージャーアプリケーションは、特定の共有フォルダに割り当てられます。これらのアプリケーションは、デバイスやゲートウェイと関連付けられ、割り当てられたレコードにアクセスします。 アプリケーションと関連するデバイスおよびゲートウェイは、そのフォルダに割り当てられたレコードしか復号化できません。Keeperでは最小権限の原則を実践することを推奨しており、アプリケーションがボルト内のレコードにアクセスする範囲を制限しています。 アプリケーションの管理は、ボルト内のKeeperシークレットマネージャーの画面で行います。下の画像の「Azure DevOps Pipeline」や「Azure AD Rotations」はアプリケーションの例となります。

シークレットマネージャーアプリケーション

アプリケーションについて詳しくは[こちらのページ](/keeperpam/jp/privileged-access-manager/getting-started/applications.md)をご参照ください。 *** ## デバイス デバイスは、アプリケーションに関連するシークレットにアクセスするためのエンドポイントです。物理デバイス、仮想デバイス、クラウドベースのデバイスが含まれ、各クライアントデバイスには関連シークレットを読み取り、アクセスするための固有のキーが割り当てられます。 デバイスは、ボルトのユーザーインターフェース内の「アプリケーション」画面から初期化できます。
デバイスについて詳しくは[こちらのページ](/keeperpam/jp/privileged-access-manager/getting-started/devices.md)をご参照ください。 *** ## ゲートウェイ Keeperゲートウェイは、Docker、Linux、Windowsマシンにインストールして、パスワードのローテーション、検出、接続、トンネリングなどの特権自動化タスクを実行するためのサービスです。このゲートウェイサービスは、リモートまたはオンプレミス環境に展開され、ゼロトラスト接続を実現します。 通常、Keeperゲートウェイは管理している各環境に展開します。たとえば、500件のクライアント環境を管理するMSPの場合は500件のKeeperゲートウェイを展開します。
Keeperゲートウェイ展開のアーキテクチャは用途によって異なります。弊社の担当チームまでお問い合わせください。 * [ゲートウェイ](/keeperpam/jp/privileged-access-manager/getting-started/gateways.md) *** ## 構成 PAM構成では、Keeperゲートウェイがインストールされているターゲット環境を定義します。この構成で、AzureクライアントシークレットやテナントIDなど、対象のインフラの管理に必要な重要なシークレットをゲートウェイに提供します。 PAM構成データは、指定された「アプリケーションフォルダ」内のレコードとして保存され、これによりゲートウェイが必要な情報を取得するための権限が付与されるようになります。 各ゲートウェイに対して1つの設定を定義することをお勧めします。

PAM構成

PAM構成レコードについて詳しくは[こちらのページ](/keeperpam/jp/privileged-access-manager/getting-started/pam-configuration.md)をご参照ください。 *** ## PAMリソース ボルトでは、レコードで管理するリソースのタイプが定義されます。これらはPAMリソースと呼ばれており、いくつかの新しいレコードタイプがリソースに関連付けられています。 リソースを作成する際には、マシン、データベース、ディレクトリなど様々な対象から選択できます。

PAMリソースの作成

各PAMリソースについては以下のリンクをご参照ください。
PAMレコードタイプ対応アセット
PAMマシンWindows、Linux、macOSの各デバイス、VM、EC2インスタンス、Azure VM、Networkデバイス、その他OS。
PAMデータベースMySQL、PostgreSQL、SQL Server、MongoDB、MariaDB、Oracle
PAMディレクトリActive Directory、Azure AD、OpenLDAP
PAMリモートブラウザウェブベースのアプリケーション、セルフホスト型アプリケーション、クラウドアプリケーション、httpまたはhttpsのターゲット。
*** ## PAMユーザー 「PAMユーザー」と呼ばれる特別なレコードタイプは任意のPAMリソースに直接関連付けることができます。PAMユーザーはKeeperゲートウェイによって使用され、接続の確立、パスワードのローテーション、アカウントの検出、対象のリソースでその他の特権自動化を実行します。 PAMユーザーは、レコード内の「認証情報」画面でPAMリソースと関連付けられます。この関連付けにより、リソースへのアクセスで直接認証情報へアクセスを許可されないようになります。

PAMリソースにリンクされたPAMユーザー

PAMユーザーレコードはオンデマンドおよび自動ローテーション用に設定できます。

PAMユーザーの設定

PAMユーザーについて詳しくは[こちらのページ](/keeperpam/jp/privileged-access-manager/getting-started/pam-resources/pam-user.md)をご参照ください。 *** ## PAM機能を有効にする PAM機能の有効化と利用方法については以下のリンクをご参照ください。 * [パスワードローテーション](/keeperpam/jp/secrets-manager/password-rotation.md) * [接続](/keeperpam/jp/privileged-access-manager/connections.md) * [トンネル](/keeperpam/jp/privileged-access-manager/tunnels.md) * [リモートブラウザ分離](/keeperpam/jp/privileged-access-manager/remote-browser-isolation.md) * [検出](/keeperpam/jp/privileged-access-manager/discovery.md) --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.keeper.io/keeperpam/jp/privileged-access-manager/getting-started/vault-structure.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.