> For the complete documentation index, see [llms.txt](https://docs.keeper.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.keeper.io/keeperpam/jp/privileged-access-manager/universal-secrets-sync/discovery-basics.md).

# ユニバーサルシークレット同期の基本

本ページでは、AWS、Azure、Google Cloud全体におけるUSSの要件、強制適用ポリシー、PAM構成のセットアップについて取り扱います。既存のクラウドシークレットを先にKeeperへ移行する場合は、[移行ガイド](/keeperpam/jp/privileged-access-manager/universal-secrets-sync/universal-secrets-sync-migration-guide.md)をご参照ください。

### 要件

USSを使用する前に、以下をご用意ください。

* KeeperPAMの有効なライセンス
* ネットワークにインストールおよび登録済みのKeeperゲートウェイ ([ゲートウェイのセットアップガイド](/keeperpam/jp/privileged-access-manager/getting-started/gateways.md)をご参照ください)
* ゲートウェイに関連付けられたKeeperシークレットマネージャーアプリケーション
* シークレットの同期先となる対象クラウドインフラ (AWS、Azure、GCP) 向けのPAM構成

### USSの強制適用ポリシー

管理コンソールで、強制適用ポリシー「ユニバーサルシークレット同期設定を構成できる」を有効にすると、ユーザーがユニバーサルシークレット同期を構成できるようになります。

<figure><img src="/files/1M5Q1y0VqASMGHkFGEYJ" alt=""><figcaption></figcaption></figure>

### PAM構成

ユニバーサルシークレット同期を使用する前に、対象クラウドインフラ向けの[PAM構成](/keeperpam/jp/privileged-access-manager/getting-started/pam-configuration.md)をセットアップしておく必要があります。PAM構成は、USSプロセスがシークレットを永続化する場所を指定します。USSの構成手順は以下のとおりです。

* PAM構成でユニバーサルシークレット同期機能を有効化
* PAM構成にリンクするフォルダを1つ以上選択 (選択したフォルダ内のすべてのKeeperレコードが同期対象)
* Keeperゲートウェイがクラウドのシークレットストレージへレコードを同期する際に使用する同期IDを指定 (クラウド環境のシークレットマネージャーサービスへの読み書きアクセス権が必要。未指定時は、ゲートウェイがPAM構成で指定されたアクセスキーを使用)
* クラウドへ同期する前にシークレットをプレビューする場合はドライランオプションをオン (オフの場合は、USSがKeeperレコードの変更を対応するクラウドシークレットストアへ自動同期)

### AWS Secrets Manager同期 <a href="#aws-secrets-sync" id="aws-secrets-sync"></a>

AWSシークレット同期では、Keeperゲートウェイに付与されているAWSロールポリシーを利用してシークレットを永続化します。PAM構成は、指定されたリージョン名に基づいてフィルタリングし、シークレットの永続化に使用するリージョンを明示的に指定します。同期を成功させるために必要なPAM構成データについては、[AWS環境](/keeperpam/jp/privileged-access-manager/getting-started/pam-configuration.md#aws-environment)のドキュメントをご参照ください。

<figure><img src="/files/OhRWeYiPrhtlGlSbS2eP" alt=""><figcaption><p>ユニバーサルシークレット同期用のPAM構成</p></figcaption></figure>

ゲートウェイのインスタンスロールから同期IDロールを引き受けられるよう、許可が必要です。以下の信頼ポリシーを同期IDロールに追加し、Principal ARNをゲートウェイのインスタンスロールのARNに置き換えます。

```
{
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::123456789012:role/gateway-instance-role"
  },
  "Action": "sts:AssumeRole"
}
```

同期IDロール (同期IDが構成されていない場合はゲートウェイのインスタンスロール) には、AWS Secrets Managerに対して以下の権限が必要です。

```
{
  "Effect": "Allow",
  "Action": [
    "secretsmanager:CreateSecret",
    "secretsmanager:PutSecretValue",
    "secretsmanager:GetSecretValue",
    "secretsmanager:DescribeSecret",
    "secretsmanager:RestoreSecret",
    "secretsmanager:DeleteSecret",
    "secretsmanager:TagResource"
  ],
  "Resource": "*"
}
```

***

### Azure Key Vaultシークレット同期 <a href="#azure-secrets-sync" id="azure-secrets-sync"></a>

Azureシークレット同期では、Keeperゲートウェイに割り当てられたロールに付与されている権限を利用して、Azure Key Vaultにシークレットを永続化します。同期を成功させるために必要なPAM構成データについては、[Azure環境](/keeperpam/jp/privileged-access-manager/getting-started/pam-configuration.md#azure-environment)のドキュメントをご参照ください。

シークレットの同期先となるKey Vaultの名前を指定します。Key Vaultがまだ存在しない場合、初回同期時に作成されます。

{% hint style="info" %}
ゲートウェイはAzureインフラ (VM、AKS、Azure Functionsなど) 上で実行し、指定したユーザー割り当てマネージドIDをゲートウェイに割り当てる必要があります。オンプレミスのゲートウェイではこの仕組みは利用できません。
{% endhint %}

Azureの同期IDはユーザー割り当てマネージドIDです。PAM構成の**同期ID**フィールドに、マネージドIDのクライアントID (UUID) を設定します。設定例は以下のとおりです。

```
a1b2c3d4-e5f6-7890-abcd-ef1234567890
```

手順1: マネージドIDの作成

Azure PortalまたはCLIでユーザー割り当てマネージドIDを作成します。

```
az identity create --name keeper-uss-sync --resource-group my-rg
```

手順2: ゲートウェイへのID割り当て

Keeperゲートウェイを実行しているVMまたはその他のリソースにマネージドIDを割り当てます。

```
az vm identity assign \
  --name my-gateway-vm --resource-group my-rg \
  --identities /subscriptions/SUB/resourceGroups/my-rg/providers/Microsoft.ManagedIdentity/userAssignedIdentities/keeper-uss-sync
```

手順3: Key Vaultアクセス権の付与

対象のKey Vaultに対して、マネージドIDに必要な権限を付与します。

```
az keyvault set-policy --name my-vault \
  --object-id <managed-identity-object-id> \
  --secret-permissions get set list delete
```

手順4: クライアントIDの取得

PAM構成の**同期ID**フィールドに、マネージドIDのクライアントIDを設定します。以下のコマンドで取得できます。

```
az identity show --name keeper-uss-sync --resource-group my-rg \
  --query clientId --output tsv
```

返されたUUIDを同期IDの値として使用します。これはオブジェクトIDではなく、**クライアントID**であることにご注意ください。

***

### Google Cloudシークレット同期 <a href="#google-cloud-secrets-sync" id="google-cloud-secrets-sync"></a>

GCPシークレット同期では、Keeperゲートウェイに付与されているGoogleロールポリシーを利用してシークレットを永続化します。同期を成功させるために必要なPAM構成データについては、[Google Cloud環境](/keeperpam/jp/privileged-access-manager/getting-started/pam-configuration.md#google-cloud-environment)のドキュメントをご参照ください。

GCPの同期IDはサービスアカウントのなりすまし (impersonation) を使用します。ゲートウェイのサービスアカウント (PAM構成の `service_account_key` で定義) が、Secret Managerへのすべての呼び出しで対象サービスアカウントになりすまします。**同期ID**フィールドに、対象サービスアカウントのメールアドレスを設定します。設定例は以下のとおりです。

```
keeper-uss-sync@my-project.iam.gserviceaccount.com
```

手順1: ゲートウェイのサービスアカウントにToken Creatorロールを付与

ゲートウェイのサービスアカウントが対象サービスアカウントになりすませるようにします。

```
gcloud iam service-accounts add-iam-policy-binding \
  keeper-uss-sync@my-project.iam.gserviceaccount.com \
  --member="serviceAccount:gateway-sa@my-project.iam.gserviceaccount.com" \
  --role="roles/iam.serviceAccountTokenCreator"
```

手順2: 対象サービスアカウントにSecret Managerアクセス権を付与

シークレットを同期するプロジェクトに対して、対象サービスアカウントに必要な権限を付与します。

```
gcloud projects add-iam-policy-binding my-project \
  --member="serviceAccount:keeper-uss-sync@my-project.iam.gserviceaccount.com" \
  --role="roles/secretmanager.admin"
```

***

### ユニバーサルシークレット同期のワークフロー

同期操作を実行する基本的なワークフローは以下のとおりです。

* (任意) コマンダー経由で、AWS、Azure、GCPの既存シークレットを[一度だけインポート](/keeperpam/jp/privileged-access-manager/universal-secrets-sync/universal-secrets-sync-migration-guide.md)
* シークレットリソースを管理する権限を持つ Keeperゲートウェイのセットアップ
* ゲートウェイと必要なUSS構成設定を含むPAM構成のセットアップ
* ドライランが選択されていない場合、同期ジョブは自動実行 (ワークフロー完了)
* それ以外の場合は、[コマンダー CLI](/keeperpam/jp/privileged-access-manager/universal-secrets-sync/discovery-using-commander.md)または[ボルトUI](/keeperpam/jp/privileged-access-manager/universal-secrets-sync/discovery-using-the-vault.md)から手動で同期を実行

### 関連ページ

* [USS概要](/keeperpam/jp/privileged-access-manager/universal-secrets-sync.md#pdf-page-dqtjnnk6pra4mfdizdco-what-is-keeper-discovery): 機能の概要、アーキテクチャ、主な機能
* [移行ガイド](/keeperpam/jp/privileged-access-manager/universal-secrets-sync/universal-secrets-sync-migration-guide.md): 既存のクラウドシークレットのインポートと、1つのワークフローでのUSS構成
* [コマンダーを使用したユニバーサルシークレット同期](/keeperpam/jp/privileged-access-manager/universal-secrets-sync/discovery-using-commander.md): CLIリファレンスとドライランのワークフロー
* [ボルトを使用したユニバーサルシークレット同期](/keeperpam/jp/privileged-access-manager/universal-secrets-sync/discovery-using-the-vault.md): ボルトUIによる段階的な操作手順


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.keeper.io/keeperpam/jp/privileged-access-manager/universal-secrets-sync/discovery-basics.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.