ローテーションのロールバック
ローテーション失敗時のロールバック動作の構成
一般ローテーションまたはIAMローテーションでは、ゲートウェイは対象アカウントのパスワードを更新し、必要に応じてポストローテーションスクリプトを実行します。ポストローテーションスクリプトが失敗しても、パスワードはローテーション前の値へ自動では戻りません。
失敗時のロールバックは、以下のカスタムフィールドで制御できます。
重要な注意事項
状況によっては、ロールバックできない場合があります。たとえば、対象マシンでパスワードの再利用が禁止されているときは、直前の値へ戻す処理は失敗します。
カスタムフィールドを設定できるレコードの種類は以下のとおりです。
pamUser
pamMachine、pamDirectory、pamDatabase
pamConfiguration
ゲートウェイは、ユーザー → リソース (pamMachine など) → pamConfiguration の順にロールバック関連フィールドを参照します。このとき、各レコードに保存されているフィールド値を書き換えることはありません。そのため、pamUser でロールバックを有効にし、pamConfiguration で無効にしている場合、当該 pamUser のローテーションではロールバックが有効のままですが、同じ pamConfiguration に属する他のリソースでは無効のままです。
Rollback On Private Key Fail
テキスト
TRUE
秘密鍵のローテーション失敗時に処理全体をロールバックするか
Rollback On Password Fail
テキスト
TRUE
パスワードのローテーション失敗時に処理全体をロールバックするか
Rollback On Post Rotation Fail
テキスト
FALSE
ポストローテーション失敗時に処理全体をロールバックするか
Rollback On SaaS Fail
テキスト
TRUE
SaaSローテーション失敗時に処理全体をロールバックするか
Re-run On Post Rotation Fail
テキスト
FALSE
ポストローテーション失敗時にロールバック処理でポストローテーションスクリプトを再実行するか
Reverse Params On Re-run
テキスト
TRUE
ポストローテーションスクリプト再実行時に新旧パスワードを入れ替えるか
Rollback On Service Fail
テキスト
TRUE
サービスのパスワードローテーション失敗時に処理全体をロールバックするか
Rollback On Service Restart Fail
テキスト
TRUE
サービス起停に失敗した場合に処理全体をロールバックするか
Rollback On Service Machine Down
テキスト
FALSE
サービス稼働マシンが応答しない場合に処理全体をロールバックするか (マシンの停止、ゲートウェイからの到達不可、ユーザー名またはパスワードの無効など)
Rollback On Task Fail
テキスト
TRUE
タスクのパスワードローテーション失敗時に処理全体をロールバックするか
Rollback On Task Machine Down
テキスト
FALSE
タスク実行マシンが応答しない場合に処理全体をロールバックするか (マシンの停止、ゲートウェイからの到達不可、ユーザー名またはパスワードの無効など)
Rollback On IIS Pool Fail
テキスト
TRUE
IISアプリケーションプールのパスワードローテーション失敗時に処理全体をロールバックするか
Rollback On IIS Pool Machine Down
テキスト
FALSE
IISアプリケーションプール稼働マシンが応答しない場合に処理全体をロールバックするか (マシンの停止、ゲートウェイからの到達不可、ユーザー名またはパスワードの無効など)
最終更新