> For the complete documentation index, see [llms.txt](https://docs.keeper.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.keeper.io/keeperpam/jp/privileged-access-manager/just-in-time-access-jit/keeper-privileged-cloud.md).

# Keeper Privileged Cloud

<figure><img src="/files/5Vzcx1tTRif5FH56VP7v" alt=""><figcaption></figcaption></figure>

{% hint style="info" %}
Keeper Privileged Cloudの詳細については、Keeperのアカウントマネージャーにお問い合わせください。
{% endhint %}

## 概要 <a href="#overview" id="overview"></a>

Keeper Privileged Cloudは、クラウドおよびディレクトリプラットフォーム全体でIDベースのジャストインタイムアクセスを実現します。

承認されたユーザーには、IDレイヤーでのメンバーシップまたはロール割り当ての変更により、一時的な昇格アクセスが付与されます。

IDプロバイダ、SSOフロー、フェデレーションアプリケーション、グループメンバーシップ、またはロールベースのアクセス制御によってアクセスが管理される場合に、このモデルを使用します。

#### **JITとZSPの理解** <a href="#understanding-jit-and-zsp" id="understanding-jit-and-zsp"></a>

**ジャストインタイム (JIT) アクセス**: 必要なタイミングに限り、限られた期間だけ、多くの場合は承認ワークフローを経て特権アクセスを付与します。

**ゼロスタンディング特権 (ZSP)**: ユーザーがシステムに対する恒久的な特権アクセスを持たないセキュリティアプローチであり、侵害された特権アカウントに伴うリスクを排除します。

Privileged Cloudでは、JITアクセスは一般に、IDプロバイダにおける一時的なグループメンバーシップ、ロール割り当て、またはエンタイトルメント付与によって実現されます。

### 対応IDプラットフォーム <a href="#supported-identity-platforms" id="supported-identity-platforms"></a>

Keeper Privileged CloudでJIT特権昇格が利用できるIDプラットフォームは以下のとおりです。

* AWS IAM
* Azure Entra ID
* GCP (Google ID経由)
* Okta
* Active Directory

{% hint style="info" %}
上記のIDプラットフォームのいずれかを認証または認可に使用するクラウドプラットフォームまたはSaaSアプリケーションは、Privileged Cloudを利用できます。
{% endhint %}

### 対応レコードタイプ <a href="#supported-record-types" id="supported-record-types"></a>

Privileged CloudでJIT特権昇格に対応するレコードタイプは以下のとおりです。

* PAMクラウドリソース
* PAMマシン
* PAMデータベース

### このモデルが変更する内容 <a href="#what-this-model-changes" id="what-this-model-changes"></a>

Privileged CloudはIDレイヤーでのアクセスを変更します。

エンドユーザーと共有する常設管理者認証情報には依存しません。

対象プラットフォームに応じて、KeeperPAMは以下を実行できます。

* ユーザーをマッピングされたグループに追加
* 一時的なロールまたはエンタイトルメントを割り当て
* アクセス期限切れ時にメンバーシップまたは割り当てを自動削除

その後、対象のクラウドコンソール、アプリケーション、CLI、またはSDKでは、通常のSSOまたは認可フローを通じてID変更が反映されます。

### Privileged Cloudの利用が適切な場合 <a href="#when-to-use-privileged-cloud" id="when-to-use-privileged-cloud"></a>

以下の場合にPrivileged Cloudを使用します。

* IDプロバイダ、ディレクトリグループ、またはクラウドロール経由でアクセスが付与される場合
* ユーザーがSSOまたはフェデレーションログインフローでサインインする場合
* 共有特権アカウントの代わりに一時的なエンタイトルメントを求める場合
* アクセスが承認、時間制限、完全な監査の対象である必要がある場合

### 要件 <a href="#prerequisites" id="prerequisites"></a>

Privileged Cloudは、KeeperPAMの[ジャストインタイム (JIT) アクセス](/keeperpam/jp/privileged-access-manager/just-in-time-access-jit.md)フレームワークを拡張します。

Privileged Cloudを構成する前に、以下の要件を満たしていることを確認してください。

* [Keeperシークレットマネージャーアプリケーション](/keeperpam/jp/privileged-access-manager/getting-started/applications.md)が構成され、稼働していること
* [KeeperPAMゲートウェイ](/keeperpam/jp/privileged-access-manager/getting-started/gateways.md)がデプロイされ、IDプロバイダAPIへ到達できること
* [ワークフロー](/keeperpam/jp/privileged-access-manager/just-in-time-access-jit/workflow.md)が承認および時間制限付きアクセスのために有効になっていること
* 対応IDプラットフォーム向けの[PAM構成](/keeperpam/jp/privileged-access-manager/getting-started/pam-configuration.md)が存在すること

### ロールアウト前に必要なもの <a href="#what-must-already-exist" id="what-must-already-exist"></a>

ロールアウト前に、環境内に以下のオブジェクトがすでに存在することを確認してください。

* 対象ユーザーがKeeperおよびIDソースの両方に存在すること
* 対象グループ、ロール、またはエンタイトルメントがIDプラットフォーム上にすでに存在すること
* 対象クラウドアカウント、テナント、またはアプリケーションがそのIDプラットフォームをすでに信頼していること
* ゲートウェイから必要なエンドポイントへの外向きネットワークアクセス、DNS解決、HTTPS接続が確立できること

フェデレーションアクセスを使用する場合、Privileged Cloudを有効にする前に、対象プラットフォームと外部IDプロバイダ間の信頼関係がすでに機能していることを確認してください。

### Keeperゲートウェイのインストール <a href="#installing-the-keeper-gateway" id="installing-the-keeper-gateway"></a>

[KeeperPAMゲートウェイ](/keeperpam/jp/privileged-access-manager/getting-started/gateways.md)は、管理対象ネットワーク内で稼働し、JIT昇格に必要なID側の変更を実行します。

対象IDプラットフォームまたは管理対象リソースに到達する必要がある各ネットワークセグメントに、Docker、Linux、またはWindows上でゲートウェイをデプロイします。

### IDモード <a href="#identity-modes" id="identity-modes"></a>

Privileged Cloudは2つのIDモードに対応しています。

要求が送信されると、KeeperPAMは以下のいずれかの経路を通じて昇格を適用します。

* **直接IDモード:** KeeperPAMがPAM構成で定義されたIDシステムと直接通信します。対象プラットフォームが独自のIDとロールを管理する場合に使用します。
* **フェデレーションIDモード:** KeeperPAMが要求を別のIDプロバイダ構成経由でルーティングします。対象プラットフォームが認証またはエンタイトルメントマッピングに外部IdPに依存する場合に使用します。

フェデレーションIDモードでは、PAM構成で **\[フェデレーションID]** を有効にし、外部IdPを指す別のPAM構成を選択します。

これにより、KeeperPAMはフェデレーションディレクトリ内で一時的なID変更を適用し、対象プラットフォームが通常のSSOまたはフェデレーション経路を通じてその変更を評価できるようになります。

[対応IDプラットフォーム](#supported-identity-platforms)をご参照ください。

以下の例では、AWS PAM構成がフェデレーションIDモードにMicrosoft Entra ID PAM構成を使用しています。**\[フェデレーションID]** が有効になっていない場合、AWS IAMが昇格に使用されるIDシステムのままとなります。<br>

<figure><img src="/files/nopiFYflAldUtm8HaMjN" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/OdNFrr0Xj6XTxfGcENIq" alt=""><figcaption></figcaption></figure>

{% hint style="info" %}
PAM構成は、IDプロバイダとして自身にリンクすることはできません。
{% endhint %}

### 実際の処理の流れ <a href="#what-actually-happens" id="what-actually-happens"></a>

1. 管理者がPAMリソース上でJITおよびワークフローを構成します。
2. レコードが対象ユーザーと共有されます。
3. ユーザーが **\[アクセス要求]** を選択します。
4. 承認者が要求をレビューします。
5. 承認後、KeeperPAMがIDプラットフォーム上に一時的なメンバーシップまたはロール割り当てを追加します。
6. ユーザーが承認された時間枠内で対象コンソール、アプリケーション、またはワークフローを起動します。
7. 時間枠が終了すると、KeeperPAMが一時的なアクセスを自動的に削除します。

### PAMクラウドレコード <a href="#pam-cloud-record" id="pam-cloud-record"></a>

PAMクラウドレコードは、クラウドアカウント、テナント、コンソール、またはフェデレーションアプリケーションへのアクセスが対応IDプラットフォームを通じて管理される場合に使用します。

管理者が要求可能なKeeperレコードを、そのプラットフォーム内の正しいグループ、ロール、またはエンタイトルメントにマッピングできます。

[PAMクラウドリソースの構成とアクセス昇格](/keeperpam/jp/privileged-access-manager/just-in-time-access-jit/keeper-privileged-cloud/configure-and-elevate-access-for-a-pam-cloud-resource.md)をご参照ください。

<figure><img src="/files/8qUjent5XYuVfRgv9IZO" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/LdWzotjFM2p7jhimRY4B" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/UImmYVuSLO0dZNLFX4ls" alt=""><figcaption></figcaption></figure>

### PAMリソースの構成と共有 <a href="#configure-and-share-the-pam-resource" id="configure-and-share-the-pam-resource"></a>

ユーザーが一時的なアクセスを受け取る前に、レコード所有者がレコード上でJITおよびワークフロー設定の両方を構成する必要があります。

これには、アクセス期間、承認経路、対象グループまたはロール、およびアクセスを要求できるユーザーの設定が含まれます。

所有者はその後、昇格を要求できる対象ユーザーとレコードを共有します。

<figure><img src="/files/sW6F1EleLmb1kPVQDRAt" alt=""><figcaption></figcaption></figure>

アクセスを要求するには、ユーザーがIDプラットフォームおよびKeeperテナントの両方にすでに存在している必要があります。

レコードが共有されると、ユーザーはそのレコードにマッピングされた一時的なエンタイトルメントを要求できます。

<figure><img src="/files/ya2F37LNsdPkIWZlgcSa" alt=""><figcaption></figcaption></figure>

レコードの構成と共有が完了すると、ユーザーはアクセスを要求できます。詳細は[ユーザーによるアクセス要求](#user-requests-access)をご参照ください。

### 昇格とアクセスの構成 <a href="#configure-elevation-and-access" id="configure-elevation-and-access"></a>

Privileged Cloudを使用する各PAMリソースでは、ユーザーがアクセスを要求できるようにする前に、JITおよびワークフローの両方を構成する必要があります。

#### **JIT設定の構成** <a href="#configuring-jit-settings" id="configuring-jit-settings"></a>

JIT設定では、要求が承認されたときに付与されるグループ、ロール、またはエンタイトルメントを定義します。

グループベースのアクセスでは、構成したグループ名がIDプラットフォーム上の対象グループと一致している必要があります。

ロールベースのアクセスでは、マッピングされたロールまたは割り当てが対象プラットフォーム上にすでに存在している必要があります。

#### **ワークフロー設定** <a href="#workflow-settings" id="workflow-settings"></a>

ワークフロー設定では、アクセスが付与される前に要求者が満たす必要がある承認およびガバナンス制御を定義します。

レコードでは、アクセス期間、必要な承認、正当な理由、チケット番号の収集を適用できます。

これにより、JIT昇格をIAMガバナンスおよびITSMプロセスに整合させられます。

### 昇格後のリソースへのアクセス <a href="#accessing-a-resource-after-elevation" id="accessing-a-resource-after-elevation"></a>

アクセスが承認されると、ユーザーはKeeperのリモートブラウザ分離 (RBI) 機能、または組織の標準的な認証ワークフローのいずれかを使って対象リソースにアクセスできます。

RBIを使用する場合、ユーザーは分離されたブラウザセッション内でKeeperボルトから保護されたアプリケーションを直接起動します。

ユーザーは、通常使用するのと同じSSO、コンソール、CLI、Terraform、またはSDKワークフローを通じてプラットフォームにアクセスすることもできます。

例えば、AWS IAM Identity Centerのユーザーは標準のAWSアクセスポータルからサインインできます。CLIおよび自動化ユーザーは、そのワークフローが一時的なロールまたはグループ割り当てを評価する場合、通常のログインフローを継続して使用できます。

KeeperPAMがIDレイヤーで一時的な昇格を適用するため、ユーザーは承認された時間枠内に限り、承認されたロールを引き受ける、または承認されたエンタイトルメントを受け取ることができます。

アクセス期間が満了すると、KeeperPAMがその昇格アクセスを自動的に取り消します。

### アクセスワークフロー <a href="#access-workflow" id="access-workflow"></a>

以下のワークフローは、IDベースの昇格を使用するPAMクラウド、PAMマシン、PAMデータベースの各レコードに適用されます。

以下の例では、PAMクラウドレコードがアクセス用に構成され、エンドユーザーと共有され、ユーザーがアクセスを要求します。

### ユーザーによるアクセス要求 <a href="#user-requests-access" id="user-requests-access"></a>

PAMリソースが共有され、JITおよびワークフロー設定が構成されると、ユーザーはKeeperボルトまたはコマンダーからアクセス要求を送信できます。

以下の例では、ユーザーがボルト内のPAMクラウドレコードを見つけ、**\[アクセス要求]** をクリックします。

<figure><img src="/files/OG8FxmbqA4pdG6FtfAYO" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/IxPaYQQdvqZzA3AlRBPi" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/gui0wHqzN7ntk5KyGOXV" alt=""><figcaption></figcaption></figure>

要求は指定された承認者にルーティングされます。

Keeper通知センター経由で通知が送信されます。

要求者は、アクセスが承認または拒否されたときに更新を受け取ります。

要求ユーザーは、承認状況の確認、承認者へのリマインダー送信、要求のキャンセルも行えます。

<figure><img src="/files/NvL9dr36tSVzsNaYpLkV" alt=""><figcaption></figcaption></figure>

### **承認者による要求のレビュー** <a href="#approver-reviews-the-request" id="approver-reviews-the-request"></a>

承認者は、モバイルを含むすべてのKeeperクライアントでリアルタイム通知を受け取ります。

承認者はデバイスから直接要求を確認して対応できます。

* **承認:** KeeperPAMが対象IDプラットフォームまたはリソース上で構成されたJITアクションを実行します
* **拒否:** レコードのステータスが **\[アクセス要求]** にリセットされ、必要に応じてユーザーが再送信できます

保留中の要求は、承認者の通知パネル (Keeperボルト右上のベルアイコン) に表示されます。

<figure><img src="/files/V1UGfnwuzJGrAp4yHoer" alt=""><figcaption></figcaption></figure>

### **ユーザーへの特権アクセス付与** <a href="#user-is-granted-privileged-access" id="user-is-granted-privileged-access"></a>

要求が承認されると、KeeperPAMが構成された一時的なグループメンバーシップ、ロール割り当て、またはリソースレベルの特権を付与します。

ユーザーは **\[起動]** をクリックして、Keeperボルトから対象リソースを起動できます。

承認されたアクセス期間が満了すると、KeeperPAMが一時的な特権アクセスを自動的に削除します。

以下の例では、承認者がPAMクラウドレコードへのアクセスを付与し、ユーザーは昇格した権限でAWSコンソールへのリモートブラウザセッションを起動できます。

<figure><img src="/files/MbjIkOrnm8Q8tfLBAIxv" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/6eqkymSaH9BlkUd5jGd1" alt=""><figcaption></figcaption></figure>


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.keeper.io/keeperpam/jp/privileged-access-manager/just-in-time-access-jit/keeper-privileged-cloud.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.