> For the complete documentation index, see [llms.txt](https://docs.keeper.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.keeper.io/keeperpam/jp/privileged-access-manager/tunnels.md). # トンネル

## 概要 **KeeperPAMトンネル**は、対象システムへの直接的なネットワーク経路を必要とせずにインフラへアクセスするための、安全で一時的な接続を実現します。RDP、SSH、LDAPS、データベースなどのプロトコル向けに暗号化されたトンネルを確立することで、ジャストインタイムアクセスが可能になります。ユーザーはKeeperPAMプラットフォームで認証し、そこから接続が仲介され、厳格なポリシーが適用されます。トンネルが有効化されると、任意のネイティブアプリを使って対象インフラと通信できます。

{% hint style="info" %} Keeperトンネルを使用するには、ネイティブの[Keeperデスクトップ](https://www.keepersecurity.com/download.html?t=d) アプリまたは[KeeperコマンダーCLI](/keeperpam/jp/commander-cli/overview.md)が必要です。 {% endhint %} ### Keeperトンネルはどのように機能しますか？トンネルを開始すると、Keeperデスクトップクライアントが動作しているローカルデバイスでローカルポートが開きます。ネイティブアプリは、このローカルポート経由でターゲットと通信します。セキュリティモデルの詳細は、[接続とトンネルのセキュリティ](/keeperpam/jp/privileged-access-manager/getting-started/architecture/connection-and-tunnel-security.md)のページをご参照ください。 ### Keeperトンネルを使用する理由 IT管理者、DevOps、開発チームにとって、リモートの社員や契約社員に社内リソースへのアクセスを許可しつつ、それらのリソースを外部ネットワークに晒さないことは、よくある課題です。さらに、リモートの社員は、自分が選んだネイティブアプリでこれらのリソースにアクセスしたい場合があります。 Keeperトンネルは、以下の点でこの課題に対応します。 * クライアントからターゲットリソースへの安全で暗号化された接続 * ユーザーが選んだネイティブアプリケーションによる、ターゲットリソースへの安全な接続 * 構成の簡素化 — PAMレコードタイプからのセキュア接続のセットアップと管理の効率化 * アクセス制御とコンプライアンス — アクセス制御の集中管理により、すべての接続が組織のセキュリティポリシーおよびコンプライアンス要件を満たすことの担保 ### トンネル強制ポリシー Keeper管理コンソールでは、以下の強制ポリシーがユーザーによるKeeperトンネルの利用権限に影響するため、有効にする必要があります。 KeeperPAMの強制ポリシーは、Keeper管理コンソールで、**\[管理者]** > **\[ロール]** > **\[強制ポリシー]** > **\[特権アクセス管理]** の順に開いて管理します。

ポリシー	コマンダーでのポリシー	定義
トンネル構成を設定	`ALLOW_CONFIGURE_PAM_TUNNELING_SETTINGS`	ユーザーがPAMマシン、PAMディレクトリ、PAMデータベース、PAM構成レコードタイプにおけるトンネル設定を構成できるようにします。
トンネルを開始	`ALLOW_LAUNCH_PAM_TUNNELS`	ユーザーがPAMマシン、PAMディレクトリ、PAMデータベースレコードタイプでトンネルを開始できるようにします。

[KeeperコマンダーCLI](/keeperpam/jp/commander-cli/command-reference/secrets-manager-commands.md)上でも `enterprise-role` コマンドを使用してトンネルを有効化できます。 ``` enterprise-role "My Role" --enforcement "ALLOW_CONFIGURE_PAM_TUNNELING_SETTINGS":true enterprise-role "My Role" --enforcement "ALLOW_LAUNCH_PAM_TUNNELS":true ``` #### 強制ポリシーの活用事例あるユーザーに対しトンネルの開始のみを許可して、トンネル設定の変更はできないようにする場合は、「トンネルを開始」のポリシーのみを有効にします。トンネルの開始に加えて、トンネル設定の変更も行えるようにする場合は、「トンネル構成を設定」と「トンネルを開始」の2つのポリシーをいずれも有効にします。 ### Keeperゲートウェイのインストール [Keeperゲートウェイ](/keeperpam/jp/privileged-access-manager/getting-started/gateways.md)は、インフラへのゼロトラストアクセスを実現するためのホスト型エージェントレスサービスです。通常、アクセスが必要な各ネットワーク内のLinuxまたはDocker環境にインストールしておきます。 ### PAM構成 [**PAM構成**](/keeperpam/jp/privileged-access-manager/getting-started/pam-configuration.md)には、対象インフラの重要な情報、設定、[Keeperゲートウェイ](/keeperpam/jp/privileged-access-manager/getting-started/gateways.md)に関する情報が含まれます。インフラ向けのPAM構成の作成は**必須**です。 ### PAMマシン、PAMデータベース、PAMディレクトリ **Keeperトンネル**は、ボルトクライアントとターゲットエンドポイント間で確立される、安全で暗号化されたTCP/IP接続です。ターゲットエンドポイントは、以下のいずれかのPAMレコードタイプで定義する必要があります。

PAMレコードタイプ	対象のエンドポイントのタイプ
PAMマシン	Windows、MacOS、Linuxの各マシン、EC2インスタンス、Azure VM
PAMデータベース	MySQL、PostgreSQL、SQL Server、MongoDB、MariaDB、Oracle
PAMディレクトリ	Active Directory、OpenLDAP

対象のエンドポイントに該当するPAMレコードタイプのページをご参照の上、セットアップ手順をご確認ください。 ## PAM設定 - トンネル設定 PAMレコードタイプ (PAMマシン、PAMデータベース、PAMディレクトリ) を作成してターゲットエンドポイントを設定した後、以下の手順でPAM設定画面のトンネルセクションに移動します。 1. PAMレコードを編集します。 2. PAM設定セクションで **\[編集]** をクリックします。 3. モーダルの **\[トンネル]** タブに移動します。

上記の画像はPAMデータベースレコードの例で、以下の設定となっています。 * トンネルが有効 * トンネルは `localhost` 上でリモートサーバーのポート 1433 に接続 * 以降のトンネルでも同じローカルポートを使用 PAM設定画面のトンネルセクションに移動した後、トンネルで構成可能なフィールドは以下の表のとおりです。

フィールド	説明
PAM構成	必須対象インフラの詳細を含むPAM構成。PAMレコードで設定したターゲットへの接続に使用します。
トンネルを有効化	必須チェックすると、このレコードでトンネルを有効にします。
ローカルポートを生成	チェックすると、利用可能な空きポートに基づきKeeperが使用するローカルポートを決定します。
最後のポートを再利用	チェックすると、最後に使用したトンネルポートが再利用されます。これにより、接続のたびにポート番号が変わることを防げます。
リモートトンネルポート	必須 Keeperゲートウェイから対象インフラへ接続する際に使用するポートです。指定がない場合、ゲートウェイはKeeperレコードビューで指定された「ローテーションポート」を使用します。指定したポートが使用中の場合、トンネルは開始できません。

PAMレコードでトンネルを構成すると、PAMレコードに **\[トンネルを開始]** ボタンが表示されます。

## トンネルの開始 PAMレコードでトンネルを構成したら、**\[トンネルを開始]** ボタンをクリックしてトンネルを開始します。この例ではローカルポート番号として 51255 が選択されています。このリソースへの以降のトンネルでも、同じローカルポートとトンネルが使用されます。

## トンネルの利用上記のスクリーンショットでは、クラウドデータベースというターゲットエンドポイントがPAMデータベースレコードで定義・構成されています。トンネル設定を構成した後、ローカルホスト名 `127.0.0.1` およびローカルポート `51255` でトンネルが開始されています。データベースには、任意のネイティブアプリケーションでアクセスできます。たとえば、DBeaver、MySQL Workbench、Microsoft SQL Server Management Studio、[KeeperDB](/keeperpam/jp/privileged-access-manager/keeperdb.md)などのマルチプロトコル対応ネイティブデータベースアプリが利用できます。

同様に、ローカルデバイス上のCLIから、以下のコマンドでデータベースへの接続を開始できます。 ```sh mysql --host=127.0.0.1 --port=59644 --user=admin --password ``` ## コマンダーCLI [Keeperコマンダー](/keeperpam/jp/commander-cli/overview.md)では、KeeperデスクトップのUIに加えてトンネル機能を利用できます。関連コマンド * [`pam tunnel`](/keeperpam/jp/commander-cli/command-reference/keeperpam-commands.md) #### 例 ``` My Vault> pam tunnel start s0W1v6R4SUTJYMlu4jTZw Establishing tunnel between Commander and Gateway. Please wait... +------------------------------------------------------------------+ | Endpoint pbxV4snkAP9KGCUhSb6aQ==: Listening on: 127.0.0.1:49152 | +------------------------------------------------------------------+ View all open tunnels : pam tunnel list Tail logs on open tunnel: pam tunnel tail pbxV4snkAP9KGCUhSb6aQ== Stop a tunnel : pam tunnel stop pbxV4snkAP9KGCUhSb6aQ== ``` ### KeeperDBプロキシによるパスワードレスのデータベース管理データベーストンネル (MySQL、PostgreSQL、SQL Server、Oracleなど) では、KeeperDBプロキシを有効化することで、パスワードレスのアクセスを実現できます。ユーザーは、パスワードを表示したり入力したりすることなく、使い慣れたネイティブツールを使用してデータベースに接続できます。 * 認証情報はKeeperゲートウェイが注入し、ユーザーには一切公開されません。 * データベースクライアントへのパスワードのコピーや貼り付けが不要です。 * アイドルタイムアウトおよびセッション継続時間の制限によるセッション管理 * 固定の認証情報、または短時間のみ有効な認証情報を選択できます。設定の詳細は [KeeperDBプロキシ](/keeperpam/jp/privileged-access-manager/keeperdb-proxy.md) をご参照ください。 ## トンネルと接続の違いトンネルは、エンドツーエンドの暗号化により、ユーザーのローカルデバイスから対象インフラへの経路を確保します。データベース接続では、[KeeperDBプロキシ](/keeperpam/jp/privileged-access-manager/keeperdb-proxy.md) を有効化し、ゲートウェイから認証情報を透過的に注入することで、完全なパスワードレスのデータベースセッションを実現することを推奨します。ユーザーにトンネルと必要な認証情報の両方を渡す場合は、認証情報が一時的となり、スケジュールに基づいて無効化されるよう、自動ローテーションの設定を推奨します。ローテーションの詳細は [パスワードローテーション](/keeperpam/jp/secrets-manager/password-rotation.md) をご参照ください。 KeeperPAMでは、認証情報を共有せずに、セッション録画と監視を伴ってリモートインフラにアクセスする方法が複数あります。 * Keeper [コネクション](/keeperpam/jp/privileged-access-manager/connections.md) — 多くのプロトコルにわたる対話型の録画付きセッション * コマンダーCLIの [pam launch](/keeperpam/jp/commander-cli/command-reference/keeperpam-commands/pam-launch-jit.md#pam-launch-just-in-time-jit-access) — ターミナルベースのSSHおよびデータベースセッション * [リモートブラウザ分離](/keeperpam/jp/privileged-access-manager/remote-browser-isolation.md) と自動入力 — ウェブベースのアプリケーションへのアクセス制御 * [KeeperDB](/keeperpam/jp/privileged-access-manager/keeperdb.md) — 機能豊富なUIによる完全な対話型データベースセッション * [KeeperDBプロキシ](/keeperpam/jp/privileged-access-manager/keeperdb-proxy.md) — クエリログ付きのネイティブデータベースセッション --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.keeper.io/keeperpam/jp/privileged-access-manager/tunnels.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.