# Managed Microsoft ADユーザー

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FcSnRGtE4r6JxNuy0gaHy%2Fimage.png?alt=media&#x26;token=d5b09245-8123-4d14-bd29-0ea92a18dc5b" alt=""><figcaption></figcaption></figure>

## 概要

本ページでは、Keeperローテーションを使用して、AWS Managed Microsoft ADサービスの管理者アカウントとユーザーアカウントをローテーションする方法について取り扱います。Active DirectoryサービスはAWSのマネージドリソースで、ディレクトリサービスの管理者認証情報が**PAMディレクトリ**レコードタイプで定義され、ADユーザーの設定が**PAMユーザー**レコードタイプで定義されます。

Amazon Managed Active Directoryサービスでは、AWS SDKを使用してディレクトリ管理者のパスワードをローテーションします。ユーザーアカウントのパスワードはLDAPを使用してローテーションされます。ローテーションを成功させるには、サーバー側のLDAPSが設定され、Directory管理者が**PAMディレクトリ**レコードタイプで定義されて、SSL接続を使用している必要があります。

## 要件

以下がすでに実行されていることを前提としています。

* [ロール](/keeperpam/jp/privileged-access-manager/password-rotation/rotation-overview.md)に対してKeeperシークレットマネージャー有効になっていること。
* Keeperローテーションがご利用の[ロール](/keeperpam/jp/privileged-access-manager/password-rotation/rotation-overview.md)に対して有効になっていること。
* Keeperシークレットマネージャー[アプリケーション](/keeperpam/jp/privileged-access-manager/references/creating-ksm-app-for-rotation.md)が作成済みであること。
* Keeperローテーション[ゲートウェイ](/keeperpam/jp/privileged-access-manager/getting-started/gateways.md)がすでにインストールされて動作しており、AWSディレクトリサービスと通信できること。
* AWS環境がKeeperのドキュメントに従って[設定](/keeperpam/jp/privileged-access-manager/getting-started/pam-configuration/aws-environment-setup.md)されていること。

## 1. PAMディレクトリレコードを設定

Keeperローテーションでは、リンクされているAWS Managed Directory Serviceのディレクトリ管理者のクレデンシャルを使用して、ドメインサービスのディレクトリアカウントのパスワードをローテーションします。これらの管理者クレデンシャルは、ディレクトリ管理者のパスワードのローテーションにも使用できます。

以下は、**PAMディレクトリ**レコードの**必須**フィールドとなります。

<table><thead><tr><th width="268.02092053983836">フィールド</th><th>説明</th></tr></thead><tbody><tr><td><strong>タイトル</strong></td><td>レコードの名前 (<code>AD Domain Service</code>など)</td></tr><tr><td><strong>ホスト名またはIPアドレス</strong></td><td>ディレクトリDNS名 (<code>ad.pam.test</code>など)</td></tr><tr><td><strong>ポート</strong></td><td>LDAPSの<code>636</code></td></tr><tr><td><strong>SSLを使用 (チェックボックス)</strong></td><td>チェック要</td></tr><tr><td><strong>管理者認証情報</strong></td><td>PAMユーザーのディレクトリサービス管理者アカウントとパスワード (<code>Admin</code>など)<br><br><strong>注</strong>: ログイン名とドメイン名または識別名のいずれかが必要です。識別名が推奨されます。、</td></tr><tr><td><strong>識別名</strong></td><td>ディレクトリサービス管理者アカウントの識別名 (DN) 。<br><br><strong>注:</strong> DNが指定されていない場合は、次の形式が使用されます。ドメイン名が<code>example.com</code>の場合、<code>CN=&#x3C;user>,CN=Users,DC=example,DC=com</code></td></tr><tr><td><strong>ドメイン名</strong></td><td>ディレクトリのDNS名<br><br>注: 識別名の代わりにログインを使用する場合に必要となります。</td></tr><tr><td><strong>ディレクトリID</strong></td><td>ディレクトリサービスの識別子 (<code>d-##########</code>)</td></tr><tr><td><strong>ディレクトリタイプ</strong></td><td>ディレクトリサービスのディレクトリタイプ。空白の場合、デフォルトは<code>Active Directory</code>です。</td></tr><tr><td><strong>プロバイダリージョン</strong></td><td>AWSリージョン名 (<code>us-east-1</code>など)</td></tr></tbody></table>

備考: プロバイダのリージョンとディレクトリIDを追加すると、AWS SDKを使用して**PAMディレクトリ**レコードを管理できるようになります (推奨) 。

管理者認証情報を含むこのPAMディレクトリレコードは、要件で作成したKSMアプリケーションに共有されている共有フォルダに格納されている必要があります。この特権アカウントへのアクセスが必要なのはKSMアプリケーションのみであり、どのユーザーとも共有する必要はありません。

## 2. PAM構成を設定 <a href="#managed-directory-services" id="managed-directory-services"></a>

注: 環境に対して既にPAM構成を設定済みの場合は、この手順を省略できます。

新しい**PAM構成**を作成する場合は、Keeperボルトにログインし、左側のメニューから **\[シークレットマネージャー]**、**\[PAM構成]** タブの順に選択して、**\[新規構成]** をクリックします。\
\
以下は、**PAM構成**レコードの必須フィールドとなります。

<table><thead><tr><th width="255.23931438916878">フィールド</th><th>説明</th><th data-hidden></th></tr></thead><tbody><tr><td><strong>タイトル</strong></td><td>設定名 (<code>AWS AD Configuration</code>など)</td><td></td></tr><tr><td><strong>環境</strong></td><td><code>AWS</code>を選択</td><td></td></tr><tr><td><strong>ゲートウェイ</strong></td><td>Keeperシークレットマネージャーアプリケーションで構成され、要件のActive Directoryサーバーにネットワークでアクセスできるゲートウェイを選択します</td><td></td></tr><tr><td><strong>アプリケーションフォルダ</strong></td><td>PAM構成が格納されている共有フォルダを選択します。PAMユーザーが格納されている共有フォルダ内に配置することを推奨します。</td><td></td></tr><tr><td><strong>AWS ID</strong></td><td>AWSのこのインスタンスの固有のID。参考用のため任意のIDを指定できますが、短くすることをお勧めします。<br>例:<code>AWS-1</code></td><td></td></tr><tr><td><strong>アクセスキーID</strong></td><td>EC2ロールポリシー (デフォルト) を使用している場合は、このフィールドを<code>USE_INSTANCE_ROLE</code>に設定します。使用していない場合は、特定のアクセスキーIDを使用します。</td><td></td></tr><tr><td><strong>シークレットアクセスキー</strong></td><td>EC2ロールポリシー (デフォルト) を使用している場合は、このフィールドを<code>USE_INSTANCE_ROLE</code>に設定します。使用していない場合は、特定のアクセスキーIDを使用します。</td><td></td></tr><tr><td><strong>リージョン名</strong></td><td>AWSリージョン名のリスト (1行に1つ)<br>例:<br><code>us-east-1</code><br><code>us-east-2</code></td><td></td></tr></tbody></table>

PAM構成レコードで構成できるすべてのフィールドの詳細については、[こちらのページ](/keeperpam/jp/privileged-access-manager/getting-started/pam-configuration.md)をご参照ください。

## 3. 1つまたは複数のPAMユーザーレコードを設定

Keeperローテーションにより、**PAMデータベース**レコードの認証情報を使用して、AWS環境の**PAMユーザー**レコードをローテーションします。**PAMユーザー**の認証情報は、要件で作成したKSMアプリケーションに共有されている共有フォルダに格納されている必要があります。

以下は、**PAMユーザー**レコードの必須フィールドとなります。

<table><thead><tr><th width="162.74046740467406">フィールド</th><th>説明</th></tr></thead><tbody><tr><td><strong>タイトル</strong></td><td>Keeperのレコードタイトル (<code>AWS Directory User1</code>など)</td></tr><tr><td><strong>ログイン</strong></td><td>ディレクトリサービスのユーザーアカウントのユーザー名</td></tr><tr><td><strong>パスワード</strong></td><td>アカウントパスワードはオプションです。空白の場合はローテーションで設定されます</td></tr><tr><td><strong>識別名</strong></td><td>ディレクトリサービスユーザーアカウントの識別名 (DN)</td></tr></tbody></table>

## 4. PAMユーザーレコードでローテーションを構成

レコードのローテーションを設定 - ディレクトリユーザー

手順3の**PAMユーザー**レコードを選択し、編集して **\[パスワードローテーション設定]** を開きます。

* 適切なスケジュールとパスワードの複雑さを選択します。
* **\[ローテーション設定]** では、以前に設定した**PAM構成**を使用する必要があります。
* **\[リソースクレデンシャル]** フィールドで、手順1で設定された**PAMデータベース**認証情報を選択する必要があります。
* 保存すると、ローテーションボタンが有効になり、必要に応じて、または選択したスケジュールに基づいてローテーションできるようになります。

**PAMユーザー**のレコードに対する `edit` 権限を持つユーザーならだれでも、そのレコードのローテーションを設定できます。

## トラブルシューティング

#### AWS Managed Directory Serviceユーザーの識別名を取得

以下のWindowsコマンドを使用して、ディレクトリユーザーの識別名を取得します。

```powershell
Get-ADUser -Identity "username" | Select-Object -ExpandProperty DistinguishedName
```

コマンドが存在しない場合は、以下のコマンドを使用して関連モジュールをインポートする必要があります。

```powershell
Import-Module ActiveDirectory
```


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.keeper.io/keeperpam/jp/privileged-access-manager/password-rotation/rotation-use-cases/aws/directory-user.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.