# CLIによるローテーション管理 {% hint style="warning" %} 従来の`rotate` (プラグインベース) および`pam rotation set`コマンドは非推奨となりました。\ `pam rotation edit`を使用してローテーションスケジュールを設定し、`pam action rotate`を使用してKeeperゲートウェイ経由のオンデマンドローテーションを実行してください。 {% endhint %} *** ## 要件 * **対象レコードが準備されていること**。ローテーション対象のP**AMマシン**、**PAMユーザー**、その他の特権レコードがすべてKeeperボルト内の共有フォルダに存在している必要があります。 * **Keeperゲートウェイがインストールされ、オンラインであること** (以下の手順1を参照) * **少なくとも1つのPAM構成が存在し**、ゲートウェイが参照されていること (手順2を参照) * administrator (管理者) またはrotation-manager (ローテーションマネージャー) のロールで**Keeperコマンダーにサインイン**していること *** ### 手順1 – ゲートウェイの作成または指定コマンダーの `pam gateway` サブコマンドでゲートウェイサービスを管理します。 | タスク | コマンド (省略形) | | -------------------------------------- | ------------------------------------------------------------------------------- | | 既存のゲートウェイを一覧表示 | `pam gateway list` | | 新しいゲートウェイの作成とワンタイムトークンの生成 | `pam gateway new --name "" --application ""` | | Dockerインストール用に `GATEWAY_CONFIG` ブロブを生成 | `pam gateway new -n "" -a "" --config-init b64` | {% hint style="info" %} 既存ゲートウェイのUIDは `pam gateway list --verbose` でいつでも確認できます。 {% endhint %} *** ### 手順2 – ゲートウェイを利用するPAM構成の作成 `pam config new` (または `pam config edit` ) 使用して、ゲートウェイとローテーション、検出、トンネル、接続を関連付けるルールを構築します。 ```bash pam config new --title "Prod Rotation" \ --gateway "" \ --shared-folder "" \ --rotation on \ --schedule "0 2 * * *" ``` * `--gateway` で、手順1で作成したKeeperゲートウェイに構成を紐付けます。 * `--rotation on` で、この構成に紐づくレコードのローテーション機能を有効にします。 * `--schedule` で、CRON形式のデフォルトスケジュールを設定します (`pam rotation edit` でレコード単位に上書き可能)。構成のUIDは `pam config list` で確認できます。 *** ### ローテーションコマンドの理解 (簡単なおさらい) | コマンド | 実際の動作 | | ------------------- | -------------------------------------------------------------- | | `rotate` | **非推奨**: コマンダーから直接実行される従来のプラグインベースローテーション | | `pam action rotate` | Keeperゲートウェイ経由で即時ローテーションジョブを実行 | | `pam rotation edit` | ローテーション設定 (スケジュール、リソース、複雑さなど) を個別または複数レコードに適用 (即時ローテーションは行わない) | *** ### コマンド: `pam rotation edit` `pam rotation edit`で、レコードに保存されているKeeperPAMのローテーションメタデータを編集します。 #### 主なオプション

オプション	説明
`--record` / `-r`	UID、名前、またはパターンで個別のレコードを対象にします。
`--folder` / `-fd`	フォルダ内のすべてのレコードを対象にします (一括更新)。
`--force` / `-f`	確認プロンプトをスキップします。
`--config` / `-c`	リンクするPAM構成のUIDまたはパスを指定します。
`--iam-aad-config` / `-iac`	IAM / Azure AD ユーザー向けの `--resource` の代替オプションです。
`--resource` / `-rs`	操作対象となるリソースレコードのUIDまたはパスを指定します。
`--schedulejson` / `-sj`	スケジューラーオブジェクトをJSON形式で指定します。
`--schedulecron` / `-sc`	CRON形式のスケジュール文字列を指定します。
`--on-demand` / `-od`	ローテーションをオンデマンド (スケジュールなし) に設定します。
`--schedule-config` / `-sf`	リンクされたPAM構成からスケジュールを継承します。
`--complexity` / `-x`	パスワードの複雑さを指定します(length,upper,lower,digits,symbols[,symbol_set])。
`--admin-user` / `-a`	ローテーションを管理するPAMユーザーのUIDまたはパスを指定します。
`--enable` / `-e`	対象のレコードでローテーションを有効にします。
`--disable` / `-d`	対象のレコードでローテーションを無効にします。
`--schedule-only` / `-so`	対象のレコードのスケジュールのみを更新します (構成、リソース、複雑さは変更しません)。

詳細ヘルプ: `pam rotation edit --help` *** ### 実用例 < >で示されたプレースホルダは、実際のUIDやパスに置き替えて使用してください。 **例1. 単一マシンで毎日ローテーション** ```bash pam rotation edit --record "" \ --config "" \ --resource "" \ --schedule daily \ --enable ``` **例2. JSONを使用した毎週ローテーション** ```bash pam rotation edit --record "" \ --config "" \ --resource "" \ -sj '{"type":"WEEKLY","weekday":"SATURDAY","time":"22:00","tz":"America/New_York"}' \ --enable ``` **例3. フォルダ内すべてのレコードのローテーションを一括有効化** ```bash pam rotation edit --folder "/Shared/Prod" \ --config "" \ --resource "" \ --schedule monthly \ --enable --force ``` **例4. ローテーション設定の削除** ```bash pam rotation edit --record "" --reset ``` {% hint style="info" %} `-so` は `--enable` または `--disable` と組み合わせて使用することで、他のパラメーターに影響を与えることなく、既存のスケジュールをすばやく有効化または一時停止できます。 {% endhint %} **例5. オンデマンドローテーション (スケジュールなし)** ``` pam rotation edit --record "" --on-demand --enable ``` **例6. パスワードの複雑さを設定** ``` pam rotation edit --record "" \ --complexity 20,1,4,2,2,.=+- \ --enable ``` *** ### オンデマンドローテーションの実行スケジュールを無視して今すぐローテーションを実行したい場合 ```bash pam action rotate --record "" ``` コマンダーがジョブをKeeperゲートウェイに送信し、ゲートウェイが対象リソースに対して適切なプラグインまたはネイティブドライバを実行します。 *** ### 参考 * `pam action gateway-info --gateway ` – ゲートウェイのヘルス状態とバージョン確認 * `pam rotation list` – ローテーションが有効なリソースを確認 * `pam action job-info --gateway ` – 過去のローテーションジョブログを確認 * `pam rotation script` – ポストローテーションスクリプトの管理 *** ### バッチモード多数のコマンドを一括で実行するには、Keeperの[Batch Mode](/keeperpam/jp/commander-cli/command-reference/misc-commands.md#run-batch-command)コマンドをご参照ください。 --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.keeper.io/keeperpam/jp/privileged-access-manager/references/managing-rotation-via-cli.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.