# ユニバーサルシークレット同期の基本

### 概要

**ユニバーサルシークレット同期**では、クラウド環境にわたるシークレット管理の統合と自動化が可能です。KeeperボルトのレコードをAWS Secrets Manager、Azure Key Vault、Google Secret Managerに同期できます。管理者は、Keeperのゼロ知識セキュリティフレームワーク内で機能の有効化、同期ポリシーの構成、活動の監視を行えます。手動更新の削減と構成ドリフトの抑制により、セキュリティ/DevOpsチームはエンタープライズ規模のシークレット管理に単一の信頼できるコントロールプレーンを利用できます。

### 要件

USSを使用する前に、以下をご用意ください。

* KeeperPAMの有効なライセンス
* シークレットの同期先となる対象クラウドインフラ (AWS、Azure、GCP) 向けの PAM構成
* PAM構成に関連付けられた Keeperゲートウェイとシークレットマネージャーアプリケーション

### USSの強制適用ポリシー

管理コンソールで、強制適用ポリシー「ユニバーサルシークレット同期設定を構成できる」を有効にすると、ユーザーがユニバーサルシークレット同期を構成できるようになります。

<figure><img src="/files/OPkfzIP6XAhi2Kc9UXrM" alt=""><figcaption></figcaption></figure>

### Keeperゲートウェイのインストール

[Keeperゲートウェイ](/keeperpam/jp/privileged-access-manager/getting-started/gateways.md)は、対象インフラへのゼロトラストアクセスを可能にする、お客様のネットワーク上にインストールするサービスです。管理対象の各ネットワークごとに、Docker、Linux、Windowsのいずれかの環境へインストールします。

### PAMクラウド構成

ユニバーサルシークレット同期を開始するには、対象クラウドインフラ向けの [PAM構成](/keeperpam/jp/privileged-access-manager/getting-started/pam-configuration.md)が必要です。PAM構成は、USSプロセスがシークレットを永続化する場所を指定します。一般的なUSS構成手順は以下のとおりです。

* PAM構成でユニバーサルシークレット同期機能を有効化
* PAM構成にリンクする共有フォルダを1つ以上選択（これらの共有フォルダ内のすべての Keeperレコードが同期対象）
* Keeperゲートウェイがクラウドのシークレットストレージへレコードを同期する際に使用する同期 ID を指定（クラウド環境のシークレットマネージャーサービスへの読み書きアクセス権が必要。未指定時は、ゲートウェイがPAM構成のアクセスキーを使用）
* クラウドへ同期する前にシークレットをプレビューする場合はドライランオプションをオン（オフの場合は、レコード変更を対応するクラウドシークレットへ自動同期）

### AWSシークレット同期 <a href="#aws-secrets-sync" id="aws-secrets-sync"></a>

AWS シークレット同期では、Keeperゲートウェイに付与されている AWSロールポリシーを利用してシークレットを永続化します。PAM構成は、指定されたリージョン名に基づいてフィルタリングし、シークレットの永続化に使用するリージョンを明示的に指定します。

同期を成功させるために必要な PAM構成データは以下のとおりです。

| フィールド             | 説明                                                                                         | 備考                                                       |
| ----------------- | ------------------------------------------------------------------------------------------ | -------------------------------------------------------- |
| AWS ID            | ユーザーが選択する識別子                                                                               | 参照用のみ                                                    |
| Access Key ID     | 必要な場合のみアクセスキー                                                                              | ゲートウェイにインスタンスロールが適用されている場合は不要                            |
| Secret Access Key | 必要な場合のみシークレットキー                                                                            | ゲートウェイにインスタンスロールが適用されている場合は不要                            |
| Region Names      | 改行で区切ったAWSリージョン名の一覧。USSはこれらのリージョンのSecrets Managerにのみ同期                                     | <p>例:<br><br>us-west-1<br>us-east-2</p>                  |
| Location          | PAM構成にリンクする共有フォルダを1つ以上指定。これらの共有フォルダ内のすべてのKeeperレコードが同期対象                                   |                                                          |
| Sync Identity     | 指定時に Keeperゲートウェイがレコード同期に使用する任意のロール。AWS Secrets Managerへの読み書きアクセス権が必要。未指定時はPAM構成のアクセスキーを使用 | 例: `arn:aws:iam::396302558068:role/keeper-uss-sync-role` |
| Dry run           | オン: クラウド同期前のシークレットプレビュー。オフ: レコード変更のクラウドシークレットへの自動同期                                        |                                                          |

<figure><img src="/files/OhRWeYiPrhtlGlSbS2eP" alt=""><figcaption><p>ユニバーサルシークレット同期用のPAM構成</p></figcaption></figure>

***

### Azureシークレット同期 <a href="#azure-secrets-sync" id="azure-secrets-sync"></a>

Azure 同期では、Keeperゲートウェイに割り当てられたロールに付与されている権限を利用して、Azure Key Vaultにシークレットを永続化します。

同期を成功させるために必要なPAM構成データは以下のとおりです。

<table><thead><tr><th width="185">フィールド</th><th width="352">説明</th><th>備考</th></tr></thead><tbody><tr><td>Azure ID</td><td>Azure インスタンスの一意の ID</td><td>必須。ユーザーの参照用<br>例: <code>Azure-1</code></td></tr><tr><td>Client ID</td><td>Azureアプリケーションのアプリケーション/クライアント ID (UUID)</td><td>必須</td></tr><tr><td>Client Secret</td><td>Azure アプリケーションのクライアント認証情報シークレット</td><td>必須</td></tr><tr><td>Subscription ID</td><td>サブスクリプションのUUID (例: 従量課金制)</td><td>必須</td></tr><tr><td>Tenant ID</td><td>Azure Active DirectoryのUUID</td><td>必須</td></tr><tr><td>Resource Groups</td><td>チェック対象のリソースグループの一覧。空欄の場合はすべてのリソースグループが対象。各リソースグループは改行で区切る</td><td></td></tr><tr><td>Location</td><td>PAM構成にリンクする共有フォルダを1つ以上指定。これらの共有フォルダ内のすべての Keeperレコードが同期対象</td><td></td></tr><tr><td>Sync Identity</td><td>指定時にKeeperゲートウェイがレコード同期に使用する任意の ID。Azure Key Vaultへの読み書きアクセス権が必要。未指定時は PAM構成の認証情報を使用。<strong>注</strong>: ゲートウェイはAzureインフラ (VM、AKS、Azure Functionsなど) 上で実行し、指定したユーザー割り当てマネージドIDをゲートウェイに割り当てる必要がある。オンプレミスのゲートウェイでは利用不可</td><td>例: <code>a1b2c3d4-e5f6-7890-abcd-ef1234567890</code></td></tr><tr><td>Vault Name</td><td>シークレットの同期先となるKey Vaultの名前 (必須)。初回同期時にKey Vaultが存在しない場合は作成</td><td>例: <code>my-vault</code></td></tr><tr><td>Dry run</td><td>オン: クラウド同期前のシークレットプレビュー。オフ: レコード変更のクラウドシークレットへの自動同期</td><td></td></tr></tbody></table>

***

### Google Cloudシークレット同期 <a href="#google-cloud-secrets-sync" id="google-cloud-secrets-sync"></a>

GCPシークレット同期では、Keeperゲートウェイに付与されているGoogleロールポリシーを利用してシークレットを永続化します。

同期を成功させるために必要なPAM構成データは以下のとおりです。

<table><thead><tr><th width="195">フィールド</th><th>説明</th><th data-hidden></th></tr></thead><tbody><tr><td>Title</td><td>構成名。例: <code>GCP Workspace Configuration</code></td><td></td></tr><tr><td>Environment</td><td><code>Google Cloud</code>を選択</td><td></td></tr><tr><td>Gateway</td><td>Keeperシークレットマネージャーアプリケーションで構成されているゲートウェイを選択</td><td></td></tr><tr><td>Application Folder</td><td>PAM構成を保存する共有フォルダを選択。PAMユーザーレコードと同じ共有フォルダへの配置を推奨</td><td></td></tr><tr><td>GCP ID</td><td>このGoogle Cloudインスタンスの一意のID。参照用のため任意の値でよいが、短く保つことを推奨<br>例: <code>GCP-DepartmentName</code></td><td></td></tr><tr><td>Service Account Key</td><td>ゲートウェイのサービスアカウントキーのJSONテキストをコピー</td><td></td></tr><tr><td>Location</td><td>PAM構成にリンクする共有フォルダを1つ以上指定。これらの共有フォルダ内のすべてのKeeperレコードが同期対象</td><td></td></tr><tr><td>Sync Identity</td><td>指定時に Keeperゲートウェイがレコード同期に使用する任意のロール。Google Secrets Managerへの読み書きアクセス権が必要。未指定時はPAM構成の認証情報を使用</td><td></td></tr><tr><td>Dry run</td><td>オン: クラウド同期前のシークレットプレビュー。オフ: レコード変更のクラウドシークレットへの自動同期</td><td></td></tr></tbody></table>

***

### ユニバーサルシークレット同期のワークフロー

同期操作を実行する基本的なワークフローは以下のとおりです。

* (任意) コマンダー経由で、既存のシークレットを[AWS](#aws-secrets-sync)、[Azure](#azure-secrets-sync)、[GCP](#google-cloud-secrets-sync)から一度だけインポート
* シークレットリソースを管理する権限を持つ Keeperゲートウェイのセットアップ
* ゲートウェイと必要なUSS構成設定を含むPAMクラウド構成のセットアップ
* 「Dry run」が選択されていない場合、同期ジョブは自動実行（ワークフロー完了）
* それ以外の場合は、[コマンダー CLI](/keeperpam/jp/privileged-access-manager/universal-secrets-sync/discovery-using-commander.md)または[ボルトUI](/keeperpam/jp/privileged-access-manager/universal-secrets-sync/discovery-using-the-vault.md)から手動で同期を実行

### 次の手順

* [コマンダーを使用したユニバーサルシークレット同期](/keeperpam/jp/privileged-access-manager/universal-secrets-sync/discovery-using-commander.md)
* [ボルトを使用したユニバーサルシークレット同期](/keeperpam/jp/privileged-access-manager/universal-secrets-sync/discovery-using-the-vault.md)


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.keeper.io/keeperpam/jp/privileged-access-manager/universal-secrets-sync/discovery-basics.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.