Ctrlk
HomepageSystem Status
For the complete documentation index, see llms.txt. This page is also available as Markdown.

ユニバーサルシークレット同期

共有シークレットをクラウドのシークレット管理サービスへ同期

ユニバーサルシークレット同期とは

ユニバーサルシークレット同期 (USS) では、Keeperボルトのシークレットをクラウドプロバイダのシークレットストア (AWS Secrets Manager、Azure Key Vault、Google Cloud Secret Manager) へ自動的にプッシュします。USSを利用すると、Keeperボルトがすべてのクラウドシークレットにおける信頼できる情報源となります。Keeperでレコードが変更されると、更新されたシークレットが手動操作なしで、構成済みのすべてのクラウドプロバイダに届きます。

  • 対応プロバイダ: AWS Secrets Manager、Azure Key Vault、Google Cloud Secret Manager

  • 自動同期: ボルト内のレコード内容が変更されるたびに同期を自動実行

  • ドライランモード: 操作を確定する前に、作成または更新されるシークレットをプレビュー

  • マルチフォルダ同期: 複数のKeeperフォルダからシークレットを同期

  • マルチリージョン: 1回の操作で設定済みのすべてのAWSリージョンへ同期

  • 資格情報を経路に載せない: Keeperゲートウェイがクラウドプロバイダへ認証するため、シークレットがKeeperのクラウドインフラを経由しない

  • 管理方法: KeeperボルトUIまたはKeeperコマンダーCLI

ユニバーサルシークレット同期を使用する理由

シークレットの散在は、クラウド環境におけるセキュリティインシデントの最も一般的な原因の1つです。チームは1つのワークロード向けにAWS Secrets Managerでシークレットを作成し、別のワークロード向けにAzure Key Vaultに複製し、3つ目のGCPへ手動でコピーします。Keeperでパスワードがローテーションされても、クラウド側のコピーは古いままです。パイプラインが失敗します。エンジニアは回避策として長期間有効な静的認証情報を持つサービスアカウントを作成します。ドリフトが蓄積します。

USSによりこのパターンを解消できます。Keeperがシークレットを1回だけ作成・ローテーションする場所となり、更新が自動的にすべてのクラウドプロバイダに反映されます。スクリプト、パイプライン、手動のコピー&ペーストは不要です。

開発者向けアクセスパターン

ユニバーサルシークレット同期では、用途に応じて開発者が適切なアクセス経路を選択できます。高スループットと低レイテンシが求められるクラウドネイティブアプリケーションは、おなじみのネイティブSDKとIAM制御を用いて、AWS Secrets Manager、Azure Key Vault、Google Cloud Secret Managerから直接読み取れます。1日あたり数十万から数百万件の取得を行うサービスに適しています。CI/CDパイプライン、スクリプト、社内ツール、クラウド外で動作するサービスでは、KSM SDKまたはCLIを介してKeeperシークレットマネージャーから直接シークレットを取得でき、エンドツーエンドでゼロ知識保護が適用されます。信頼できる唯一の情報源を維持したまま、スループット重視の用途ではクラウドネイティブSDKによる高速取得を、クラウド外やゼロ知識制御が重要な用途ではKSM SDK/CLIによる直接アクセスを使い分けられます。

仕組み

お客様のネットワーク内に展開されたKeeperゲートウェイが、Keeperから同期ジョブを受信し、構成済みの同期IDを使用してクラウドプロバイダへ直接認証します。シークレット値はゲートウェイ内で復号され、クラウドプロバイダへ書き込まれます。シークレットがKeeperのインフラを経由することはありません。同期が完了すると、結果はKeeperの監査ログに記録されます。

対応クラウドプロバイダ

AWS Secrets Manager
Azure Key Vault
GCP Secret Manager

シークレットストアの自動作成

いいえ

はい

いいえ

マルチリージョン対応

はい

いいえ

いいえ

同期IDの種類

IAM Role ARN

Managed Identity UUID

Service Account

ゲートウェイはクラウドインフラ上で実行必須

いいえ

マネージドIDの場合のみ

いいえ

メタデータ/タグ

はい

はい

はい

主な機能

自動同期

ドライランが無効の場合、USSはリンクされた共有フォルダ内のKeeperレコードが作成または更新されるたびに自動的に実行されます。手動操作は不要です。変更はゲートウェイで処理され、バックグラウンドでクラウドプロバイダへプッシュされます。

ドライランモード

ドライランが有効の場合、アプリケーションおよびフォルダビューに最終同期タイムスタンプと、同期全体が成功したか失敗したかが表示されます。[更新をプッシュ] を選択すると、クラウドプロバイダで作成または更新されるシークレットをプレビューできます。一覧を確認し、[同期] をクリックして確定するか、ダイアログを閉じて変更なしでキャンセルします。

マルチフォルダ同期

1つのPAM構成で複数のKeeper共有フォルダから取得できます。リンクされたすべてのフォルダ内のすべてのレコードが同期対象です。チームは環境 (本番、ステージング、開発) ごとに別フォルダでシークレットを整理しながら、それらすべてを同じクラウド同期先へ同期できます。

同期ID

同期IDフィールドでは、管理者がゲートウェイが同期操作中に引き受ける専用のIAMロール、マネージドID、またはサービスアカウントを指定できます。シークレットストアへの最小権限アクセスを持つ同期IDを、より広範なPAM構成の認証情報とは別に使用するのが推奨されるセキュリティ体制です。

エラー回復

同期でシークレットの欠落、権限エラー、一時的なクラウドAPI障害が発生した場合、USSは影響を受けたレコードに対してエラーを記録します。失敗したレコードは以降の同期サイクルで再試行されます。管理者はKeeperボルトおよびレポート・アラートのイベントレポートで同期エラーを確認できます。

セキュリティモデル

USSはKeeperのゼロ知識アーキテクチャを継承します。シークレット値はお客様のゲートウェイ内で復号され、クラウドプロバイダへ直接書き込まれます。Keeperのサーバー上で復号されることはなく、転送中にKeeperのクラウドインフラに保存されることもありません。

脅威
USSによる対策

Keeperのクラウドでシークレットが見える

ゲートウェイ上でローカルに復号・書き込みが行われるため、Keeperのクラウド上では平文は扱われない

ローテーション後のクラウドシークレットの陳腐化

自動同期により、ボルトの変更から数秒以内にクラウドストアが更新される

過剰な権限を持つ同期認証情報

同期IDは、シークレットマネージャーのみにスコープされた最小権限のIAMロール/マネージドIDに対応

監査のギャップ

すべての同期操作が記録され、レポート・アラートでシークレットごとの作成/更新イベントを確認可能

はじめに

要件

  • KeeperPAMの有効なライセンス

  • インストールおよび登録済みのKeeperゲートウェイ(ゲートウェイのセットアップガイドをご参照ください)

  • ゲートウェイに関連付けられたKSMアプリケーション

  • 対象クラウド環境 (AWS、Azure、GCP) 向けのPAM構成

  • 管理コンソールで「ユニバーサルシークレット同期設定を構成できる」強制適用ポリシーが有効であること

セットアップチェックリスト

  1. ボルトにフォルダを作成し、同期対象のレコードを追加

  2. 対象クラウド環境のPAM構成を開き、ユニバーサルシークレット同期を有効化

  3. リンクするフォルダを選択し、同期IDを構成

  4. 自動同期またはドライランモードを選択

  5. 同期を確認

詳細なセットアップガイド

前へディスカバリー・ルールエンジン次へユニバーサルシークレット同期の基本

最終更新