# Cloud SQL for SQL Server

<figure><img src="https://859776093-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FPL6k1aGsLiFiiJ3Y7zCl%2Fuploads%2FHWxbzYMlOk5RanqyKx4D%2Fimage.png?alt=media&#x26;token=ee493e65-7400-44d5-9ac5-5bf391450730" alt=""><figcaption></figcaption></figure>

## 概要

本ページでは、Keeperローテーションを使用して、Google Cloud環境におけるGoogle Cloud SQL Serverのデータベースユーザーおよび管理者アカウントのパスワードをローテーションする方法を取り扱います。Cloud SQL for SQL ServerはGoogle Cloudのマネージドリソースであり、SQL Server管理者の認証情報はPAMデータベースレコードタイプで定義され、SQL Serverユーザーの設定はPAMユーザーレコードタイプで定義されます。

一般のデータベースユーザーのパスワードをローテーションする際には、指定された管理者の認証情報を使用してデータベースインスタンスに接続し、パスワード変更に必要なSQL文を実行します。

## 要件

以下の作業がすでに完了していることを前提としています。

* [ロール](/keeperpam/jp/privileged-access-manager/password-rotation/rotation-overview.md)に対してKeeperシークレットマネージャーが有効になっていること
* [ロール](/keeperpam/jp/privileged-access-manager/password-rotation/rotation-overview.md)に対してKeeperローテーションが有効になっていること
* Keeperシークレットマネージャーの[アプリケーション](/keeperpam/jp/privileged-access-manager/getting-started/applications.md)が作成されていること
* Keeperローテーション[ゲートウェイ](/keeperpam/jp/privileged-access-manager/getting-started/gateways.md)がインストールされ、稼働しており、Google Cloud SQL Serverデータベースと通信できる状態であること
* ゲートウェイをLinuxまたはmacOSサーバーにインストールしている場合、Microsoft ODBCドライバーがインストールされていること
* Google Cloud環境が、当社ドキュメントに従って[構成](/keeperpam/jp/privileged-access-manager/getting-started/pam-configuration/google-cloud-environment-setup.md)されていること

## 1. PAMデータベースレコードのセットアップ

PAMデータベースレコードには、Google Cloud上のSQL Server Cloud SQLインスタンスに接続するために必要な管理者の認証情報および各種設定を定義します。Keeperローテーションは、これらの設定情報を使用して、SQL Server Cloud SQLインスタンスに存在する一般データベースユーザーアカウントのパスワードをローテーションします。また、ここで指定する管理者の認証情報には、データベースユーザーアカウントの認証情報を正常に変更できる十分な権限が付与されている必要があります。

以下は、PAMデータベースレコードの必須フィールドとなります。

<table><thead><tr><th width="222.06640625">フィールド</th><th>説明</th></tr></thead><tbody><tr><td><strong>タイトル</strong></td><td><p>Keeperのレコードタイトル</p><p>例: <code>GCP SQL Server Admin</code></p></td></tr><tr><td><strong>ホスト名またはIPアドレス</strong></td><td>SQL Serverのエンドポイント</td></tr><tr><td><strong>ポート</strong></td><td><p>SQL Serverのポート番号デフォルトのポート番号については、ポートマッピングをご参照ください。</p><p>例: <code>1433</code></p></td></tr><tr><td><strong>SSLを使用</strong></td><td>データベースでSSLが構成されている場合は有効にします。接続前にSSL検証を実行します。</td></tr><tr><td><strong>ログイン</strong></td><td>ローテーションを実行する管理者アカウントのユーザー名</td></tr><tr><td><strong>パスワード</strong></td><td>管理者アカウントのパスワード</td></tr><tr><td><strong>接続データベース</strong></td><td>接続時に使用する任意のデータベースです。例: SQL Serverではデータベースの指定が必要なため、既定では「master」が使用されます。</td></tr><tr><td><strong>データベースID</strong></td><td>Cloud SQLのデータベースインスタンスID</td></tr><tr><td><strong>データベースタイプ</strong></td><td><code>mssql</code></td></tr><tr><td><strong>プロバイダリージョン</strong></td><td><p>Cloud SQLインスタンスで使用しているリージョン</p><p>例: <code>us-central1</code></p></td></tr></tbody></table>

管理者の認証情報を含むこのPAMデータベースレコードは、要件で作成したKSMアプリケーションと共有されている共有フォルダに配置する必要があります。この特権アカウントへのアクセスはKSMアプリケーションのみに付与すれば十分であり、ユーザーと共有する必要はありません。

## 2. PAM構成の作成

(すでにこの環境用のPAM構成が設定されている場合は、この手順を省略できます。)

ボルトの左側メニューから **\[シークレットマネージャー]** を選択し、**\[PAM構成]** タブを開いて、**\[新しい構成]** をクリックします。

以下は、**PAM構成**レコードの必須フィールドとなります。

<table><thead><tr><th width="212.90234375">フィールド</th><th>説明</th></tr></thead><tbody><tr><td><strong>タイトル</strong></td><td><p>構成の名前</p><p>例: <code>GCP Workspace Configuration</code></p></td></tr><tr><td><strong>環境</strong></td><td><code>Google Cloud</code> を選択します。</td></tr><tr><td><strong>ゲートウェイ</strong></td><td>Keeperシークレットマネージャーのアプリケーションで構成済みのゲートウェイを選択します。</td></tr><tr><td><strong>アプリケーションフォルダ</strong></td><td>PAM構成を保存する共有フォルダを選択します。PAMユーザーレコードと同じ共有フォルダに配置することを推奨します。</td></tr><tr><td><strong>GCP ID</strong></td><td><p>このGoogle Cloudインスタンスを識別するための一意のIDです。任意の値を指定できますが、短い名称を推奨します。</p><p>例: <code>GCP-DepartmentName</code></p></td></tr><tr><td><strong>サービスアカウントキー</strong></td><td>ゲートウェイのサービスアカウントキーに含まれるJSONテキストをコピーして貼り付けます。</td></tr><tr><td><strong>Google Workspace管理者のメールアドレス</strong></td><td>GCPプリンシパルのパスワード管理に使用できる、Google Workspace管理者アカウントのメールアドレスを指定します。</td></tr></tbody></table>

## 3. PAMユーザーレコードの設定

Keeperローテーションは、**PAMデータベース**レコードに含まれる認証情報を使用して、Google Cloud環境における**PAMユーザー**レコードのパスワードをローテーションします。**PAMユーザー**の認証情報は、要件で作成したKSMアプリケーションと共有されている共有フォルダに配置する必要があります。

以下は、**PAMユーザー**レコードの必須フィールドとなります。

<table><thead><tr><th width="221.875">フィールド</th><th>説明</th></tr></thead><tbody><tr><td>タイトル</td><td>Keeperのレコードタイトル<br>例: <code>GCP DB User 1</code></td></tr><tr><td>ログイン</td><td>ローテーション対象となるアカウントのユーザー名です。<br>データベースのユーザーテーブルでホストが「%」以外に設定されている場合は、「ユーザー名@ホスト」の形式で指定します。</td></tr><tr><td>パスワード</td><td>アカウントのパスワードです。<br>空欄の場合、ローテーション時に自動的に設定されます。</td></tr><tr><td>接続データベース</td><td>接続時に使用する任意のデータベースです。<br>例: MS SQLではデータベースの指定が必要なため、既定では <code>master</code> が使用されます。</td></tr></tbody></table>

## 4. PAMユーザーレコードでのローテーション設定

手順3で作成した**PAMユーザー**レコードを選択し、レコードを編集して **\[パスワードローテーション設定]** を開きます。

* 希望するスケジュールとパスワードの複雑さを選択します。
* **\[ローテーション設定]** では、前の手順で設定した**PAM構成**を使用します。
* **\[リソース認証情報]** フィールドでは、手順1で設定した**PAMデータベース**の認証情報を選択します。
* 保存すると、ローテーションボタンが有効になり、手動実行または選択したスケジュールに基づいてローテーションを実行できるようになります。


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.keeper.io/keeperpam/jp/privileged-access-manager/password-rotation/rotation-use-cases/google-cloud/cloud-sql-database-user/cloud-sql-for-sql-server.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.