Ctrlk
HomepageSystem Status

PAMリソースのインポート

Keeper PAMリソースの一括インポート

概要

KeeperコマンダーのCLIを使うと、PAMリソースを一括でインポートできます。PAM構成、ゲートウェイ、プロジェクトフォルダとともに、大量のリソースをまとめて取り込めます。

本ページでは、ドメイン参加済みのWindowsサーバーとローカル管理者アカウントを多数インポートする手順を説明します。

ワークフローの概要

  1. プロジェクトとリソースの情報を含むJSONファイルを作成します。

    このJSONファイルの作成やマージにはCSVファイルも利用できます。手順はこちらをご参照ください。

  2. pam project import コマンドでJSONファイルをインポートします。

要件

要件
備考

Keeperコマンダーv17.1.8以上

keeper version で確認可能

KeeperPAMライセンス

Keeper管理コンソールで有効化されている必要があります

「PAMの管理」権限を持つ管理者ロール

Keeper管理コンソールで有効化されている必要があります

1 - JSONの構造

以下はJSONの例です。

JSON本文は、おおむね以下の要素で構成されます。

リソースおよびユーザーオブジェクトに指定できる属性の多くは、GitHub上のREADMEに記載されています。

Active Directoryアカウントのローテーションを扱う場合は pamDirectory リソースの users 配列に、マシンローカルアカウントのローテーションを扱う場合は pamMachine リソースの users 配列に、それぞれユーザー情報を定義します。本ドキュメントの例では後者(ローカル)のモデルを使います。

2 – JSONテンプレートの作成

前述のとおりJSONテンプレートを作成します。簡単な例として、以下の内容を pam_import.json というファイル名で保存します。

3 – Keeperへのリソースインポート

pam_import.json をKeeperコマンダーのCLIからインポートします。まずKeeperコマンダーのセッションを開始します。未設定の場合は、セットアップ手順をご参照ください。

以下のコマンドでインポートします(pam_import.json がコマンダーの作業ディレクトリにある想定です。絶対パスでも指定できます)。

完了すると、コマンダーの出力にアクセストークンが含まれます。

引用符内の値(XXXXX.....)を控えておき、以下のステップでゲートウェイを初期化するときに使います。

補足: インポート完了後、ボルト内のリソースが更新されます。Keeperボルトを開いたまま作業している場合は、[完全同期] を実行するか、ページを再読み込みすることを推奨します。

4 – ゲートウェイの起動

本ページでは、Keeperゲートウェイのインストール手順は扱いません。未作成の場合は、利用環境に合わせてゲートウェイのセットアップ手順をご参照ください。

  • ゲートウェイの設定で、インポート完了時に得たアクセストークンを GATEWAY_CONFIG に反映します。Dockerの場合は docker-compose.yaml、Windowsの場合は C:\ProgramData\KeeperGateway\config\gateway-config.json に記述します。

  • ゲートウェイを再起動します。

これでゲートウェイが起動し、インポートしたすべてのリソースと関連付けられます。デフォルトでは、インポートしたPAMプロジェクトはすべて [PAM Environments] フォルダに追加されます。

インポート結果

本例と同じ手順でインポートしたあとにできる主なリソースは以下のとおりです。画面の例は以下のスクリーンショットを参照してください。

  • シークレットマネージャーアプリケーション

  • Keeperゲートウェイ

  • PAM構成

  • PAMディレクトリ (Active Directoryサービス)

  • ドメイン管理者を表すPAMユーザー

  • PAMマシンリソース (Windowsサーバー)

  • 各PAMマシン用のPAMユーザー (ローカル管理者)

KSMアプリケーション
PAM構成
PAMゲートウェイ
PAMリソース
PAMユーザー
ドメインコントローラー
PAMマシン
PAMユーザー (ローカル管理者)

高度なインポート形式

本ページでは、接続・トンネル・パスワードの自動ローテーションを目的として、複数のWindowsサーバーをインポートする基本的な例を示しました。接続とリソースの構成はシンプルにしています。

JSONテンプレートの全機能を含む高度なインポート方法は、GitHubのREADMEに記載されています。インポート処理で変更可能な設定の一覧を確認できます。やり直す場合は、ボルトからフォルダ、PAM構成、ゲートウェイを削除してから、最初から手順を実行し直せば問題ありません。

インポート手順で不明点がある場合は、アカウント担当者までご連絡いただくか、[email protected]までお問い合わせください。

CSVからJSONファイルを生成する

CSVからインポート用のJSONを生成する手順は、CSVテンプレートの利用をご参照ください。

既存データがある状態でのインポート

新しいアプリケーションを作らず、既存のPAMモデルに内容を追加する場合は、既存モデルへのPAMリソースの追加をご参照ください。

関連トピック

PAMの自動化をさらに進めるためのKeeperコマンダーのオプションについてもご覧ください。

前へイベントレポート次へCSVテンプレートの使用

最終更新