> For the complete documentation index, see [llms.txt](https://docs.keeper.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.keeper.io/keeperpam/jp/privileged-access-manager/universal-secrets-sync.md).
# ユニバーサルシークレット同期
### ユニバーサルシークレット同期とは
ユニバーサルシークレット同期 (USS) では、Keeperボルトのシークレットをクラウドプロバイダのシークレットストア (AWS Secrets Manager、Azure Key Vault、Google Cloud Secret Manager) へ自動的にプッシュします。USSを利用すると、Keeperボルトがすべてのクラウドシークレットにおける信頼できる情報源となります。Keeperでレコードが変更されると、更新されたシークレットが手動操作なしで、構成済みのすべてのクラウドプロバイダに届きます。
{% hint style="success" %}
* **対応プロバイダ:** AWS Secrets Manager、Azure Key Vault、Google Cloud Secret Manager
* **自動同期:** ボルト内のレコード内容が変更されるたびに同期を自動実行
* **ドライランモード:** 操作を確定する前に、作成または更新されるシークレットをプレビュー
* **マルチフォルダ同期:** 複数のKeeperフォルダからシークレットを同期
* **マルチリージョン:** 1回の操作で設定済みのすべてのAWSリージョンへ同期
* **資格情報を経路に載せない:** Keeperゲートウェイがクラウドプロバイダへ認証するため、シークレットがKeeperのクラウドインフラを経由しない
* **管理方法:** KeeperボルトUIまたはKeeperコマンダーCLI
{% endhint %}
### ユニバーサルシークレット同期を使用する理由
シークレットの散在は、クラウド環境におけるセキュリティインシデントの最も一般的な原因の1つです。チームは1つのワークロード向けにAWS Secrets Managerでシークレットを作成し、別のワークロード向けにAzure Key Vaultに複製し、3つ目のGCPへ手動でコピーします。Keeperでパスワードがローテーションされても、クラウド側のコピーは古いままです。パイプラインが失敗します。エンジニアは回避策として長期間有効な静的認証情報を持つサービスアカウントを作成します。ドリフトが蓄積します。
USSによりこのパターンを解消できます。Keeperがシークレットを1回だけ作成・ローテーションする場所となり、更新が自動的にすべてのクラウドプロバイダに反映されます。スクリプト、パイプライン、手動のコピー&ペーストは不要です。
### **開発者向けアクセスパターン**
ユニバーサルシークレット同期では、用途に応じて開発者が適切なアクセス経路を選択できます。高スループットと低レイテンシが求められるクラウドネイティブアプリケーションは、おなじみのネイティブSDKとIAM制御を用いて、AWS Secrets Manager、Azure Key Vault、Google Cloud Secret Managerから直接読み取れます。1日あたり数十万から数百万件の取得を行うサービスに適しています。CI/CDパイプライン、スクリプト、社内ツール、クラウド外で動作するサービスでは、KSM SDKまたはCLIを介してKeeperシークレットマネージャーから直接シークレットを取得でき、エンドツーエンドでゼロ知識保護が適用されます。信頼できる唯一の情報源を維持したまま、スループット重視の用途ではクラウドネイティブSDKによる高速取得を、クラウド外やゼロ知識制御が重要な用途ではKSM SDK/CLIによる直接アクセスを使い分けられます。
### 仕組み
お客様のネットワーク内に展開されたKeeperゲートウェイが、Keeperから同期ジョブを受信し、構成済みの同期IDを使用してクラウドプロバイダへ直接認証します。シークレット値はゲートウェイ内で復号され、クラウドプロバイダへ書き込まれます。シークレットがKeeperのインフラを経由することはありません。同期が完了すると、結果はKeeperの監査ログに記録されます。
### 対応クラウドプロバイダ
| | AWS Secrets Manager | Azure Key Vault | GCP Secret Manager |
| --------------------- | ------------------- | --------------------- | ------------------ |
| シークレットストアの自動作成 | いいえ | はい | いいえ |
| マルチリージョン対応 | はい | いいえ | いいえ |
| 同期IDの種類 | IAM Role ARN | Managed Identity UUID | Service Account |
| ゲートウェイはクラウドインフラ上で実行必須 | いいえ | マネージドIDの場合のみ | いいえ |
| メタデータ/タグ | はい | はい | はい |
### 主な機能
**自動同期**
ドライランが無効の場合、USSはリンクされた共有フォルダ内のKeeperレコードが作成または更新されるたびに自動的に実行されます。手動操作は不要です。変更はゲートウェイで処理され、バックグラウンドでクラウドプロバイダへプッシュされます。
**ドライランモード**
ドライランが有効の場合、アプリケーションおよびフォルダビューに最終同期タイムスタンプと、同期全体が成功したか失敗したかが表示されます。**\[更新をプッシュ]** を選択すると、クラウドプロバイダで作成または更新されるシークレットをプレビューできます。一覧を確認し、**\[同期]** をクリックして確定するか、ダイアログを閉じて変更なしでキャンセルします。
**マルチフォルダ同期**
1つのPAM構成で複数のKeeper共有フォルダから取得できます。リンクされたすべてのフォルダ内のすべてのレコードが同期対象です。チームは環境 (本番、ステージング、開発) ごとに別フォルダでシークレットを整理しながら、それらすべてを同じクラウド同期先へ同期できます。
**同期ID**
同期IDフィールドでは、管理者がゲートウェイが同期操作中に引き受ける専用のIAMロール、マネージドID、またはサービスアカウントを指定できます。シークレットストアへの最小権限アクセスを持つ同期IDを、より広範なPAM構成の認証情報とは別に使用するのが推奨されるセキュリティ体制です。
**エラー回復**
同期でシークレットの欠落、権限エラー、一時的なクラウドAPI障害が発生した場合、USSは影響を受けたレコードに対してエラーを記録します。失敗したレコードは以降の同期サイクルで再試行されます。管理者はKeeperボルトおよびレポート・アラートのイベントレポートで同期エラーを確認できます。
### セキュリティモデル
USSはKeeperのゼロ知識アーキテクチャを継承します。シークレット値はお客様のゲートウェイ内で復号され、クラウドプロバイダへ直接書き込まれます。Keeperのサーバー上で復号されることはなく、転送中にKeeperのクラウドインフラに保存されることもありません。
| 脅威 | USSによる対策 |
| ----------------------- | -------------------------------------------------- |
| Keeperのクラウドでシークレットが見える | ゲートウェイ上でローカルに復号・書き込みが行われるため、Keeperのクラウド上では平文は扱われない |
| ローテーション後のクラウドシークレットの陳腐化 | 自動同期により、ボルトの変更から数秒以内にクラウドストアが更新される |
| 過剰な権限を持つ同期認証情報 | 同期IDは、シークレットマネージャーのみにスコープされた最小権限のIAMロール/マネージドIDに対応 |
| 監査のギャップ | すべての同期操作が記録され、レポート・アラートでシークレットごとの作成/更新イベントを確認可能 |
### はじめに
#### **要件**
* KeeperPAMの有効なライセンス
* インストールおよび登録済みのKeeperゲートウェイ([ゲートウェイのセットアップガイド](/keeperpam/jp/privileged-access-manager/getting-started/gateways.md)をご参照ください)
* ゲートウェイに関連付けられたKSMアプリケーション
* 対象クラウド環境 (AWS、Azure、GCP) 向けのPAM構成
* 管理コンソールで「ユニバーサルシークレット同期設定を構成できる」強制適用ポリシーが有効であること
#### **セットアップチェックリスト**
1. ボルトにフォルダを作成し、同期対象のレコードを追加
2. 対象クラウド環境のPAM構成を開き、ユニバーサルシークレット同期を有効化
3. リンクするフォルダを選択し、同期IDを構成
4. 自動同期またはドライランモードを選択
5. 同期を確認
#### 詳細なセットアップガイド
* [ユニバーサルシークレット同期の基本](/keeperpam/jp/privileged-access-manager/universal-secrets-sync/discovery-basics.md): 要件とPAM構成のセットアップ
* [ユニバーサルシークレット同期の移行ガイド](/keeperpam/jp/privileged-access-manager/universal-secrets-sync/universal-secrets-sync-migration-guide.md): 既存のクラウドシークレットのインポートと、1つのワークフローでのUSS構成
* [コマンダーを使用したユニバーサルシークレット同期](/keeperpam/jp/privileged-access-manager/universal-secrets-sync/discovery-using-commander.md): CLIリファレンスとドライランのワークフロー
* [ボルトを使用したユニバーサルシークレット同期](/keeperpam/jp/privileged-access-manager/universal-secrets-sync/discovery-using-the-vault.md): ボルトUIによる段階的な操作手順
---
# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.
## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.keeper.io/keeperpam/jp/privileged-access-manager/universal-secrets-sync.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.