Ctrlk
HomepageSystem Status

ユニバーサルシークレット同期の基本

ユニバーサルシークレット同期のためのKeeperPAMセットアップ

本ページでは、AWS、Azure、Google Cloud全体におけるUSSの要件、強制適用ポリシー、PAM構成のセットアップについて取り扱います。既存のクラウドシークレットを先にKeeperへ移行する場合は、移行ガイドをご参照ください。

要件

USSを使用する前に、以下をご用意ください。

  • KeeperPAMの有効なライセンス

  • ネットワークにインストールおよび登録済みのKeeperゲートウェイ (ゲートウェイのセットアップガイドをご参照ください)

  • ゲートウェイに関連付けられたKeeperシークレットマネージャーアプリケーション

  • シークレットの同期先となる対象クラウドインフラ (AWS、Azure、GCP) 向けのPAM構成

USSの強制適用ポリシー

管理コンソールで、強制適用ポリシー「ユニバーサルシークレット同期設定を構成できる」を有効にすると、ユーザーがユニバーサルシークレット同期を構成できるようになります。

PAM構成

ユニバーサルシークレット同期を使用する前に、対象クラウドインフラ向けのPAM構成をセットアップしておく必要があります。PAM構成は、USSプロセスがシークレットを永続化する場所を指定します。USSの構成手順は以下のとおりです。

  • PAM構成でユニバーサルシークレット同期機能を有効化

  • PAM構成にリンクするフォルダを1つ以上選択 (選択したフォルダ内のすべてのKeeperレコードが同期対象)

  • Keeperゲートウェイがクラウドのシークレットストレージへレコードを同期する際に使用する同期IDを指定 (クラウド環境のシークレットマネージャーサービスへの読み書きアクセス権が必要。未指定時は、ゲートウェイがPAM構成で指定されたアクセスキーを使用)

  • クラウドへ同期する前にシークレットをプレビューする場合はドライランオプションをオン (オフの場合は、USSがKeeperレコードの変更を対応するクラウドシークレットストアへ自動同期)

AWS Secrets Manager同期

AWSシークレット同期では、Keeperゲートウェイに付与されているAWSロールポリシーを利用してシークレットを永続化します。PAM構成は、指定されたリージョン名に基づいてフィルタリングし、シークレットの永続化に使用するリージョンを明示的に指定します。同期を成功させるために必要なPAM構成データについては、AWS環境のドキュメントをご参照ください。

ユニバーサルシークレット同期用のPAM構成

ゲートウェイのインスタンスロールから同期IDロールを引き受けられるよう、許可が必要です。以下の信頼ポリシーを同期IDロールに追加し、Principal ARNをゲートウェイのインスタンスロールのARNに置き換えます。

同期IDロール (同期IDが構成されていない場合はゲートウェイのインスタンスロール) には、AWS Secrets Managerに対して以下の権限が必要です。

Azure Key Vaultシークレット同期

Azureシークレット同期では、Keeperゲートウェイに割り当てられたロールに付与されている権限を利用して、Azure Key Vaultにシークレットを永続化します。同期を成功させるために必要なPAM構成データについては、Azure環境のドキュメントをご参照ください。

シークレットの同期先となるKey Vaultの名前を指定します。Key Vaultがまだ存在しない場合、初回同期時に作成されます。

ゲートウェイはAzureインフラ (VM、AKS、Azure Functionsなど) 上で実行し、指定したユーザー割り当てマネージドIDをゲートウェイに割り当てる必要があります。オンプレミスのゲートウェイではこの仕組みは利用できません。

Azureの同期IDはユーザー割り当てマネージドIDです。PAM構成の同期IDフィールドに、マネージドIDのクライアントID (UUID) を設定します。設定例は以下のとおりです。

手順1: マネージドIDの作成

Azure PortalまたはCLIでユーザー割り当てマネージドIDを作成します。

手順2: ゲートウェイへのID割り当て

Keeperゲートウェイを実行しているVMまたはその他のリソースにマネージドIDを割り当てます。

手順3: Key Vaultアクセス権の付与

対象のKey Vaultに対して、マネージドIDに必要な権限を付与します。

手順4: クライアントIDの取得

PAM構成の同期IDフィールドに、マネージドIDのクライアントIDを設定します。以下のコマンドで取得できます。

返されたUUIDを同期IDの値として使用します。これはオブジェクトIDではなく、クライアントIDであることにご注意ください。

Google Cloudシークレット同期

GCPシークレット同期では、Keeperゲートウェイに付与されているGoogleロールポリシーを利用してシークレットを永続化します。同期を成功させるために必要なPAM構成データについては、Google Cloud環境のドキュメントをご参照ください。

GCPの同期IDはサービスアカウントのなりすまし (impersonation) を使用します。ゲートウェイのサービスアカウント (PAM構成の service_account_key で定義) が、Secret Managerへのすべての呼び出しで対象サービスアカウントになりすまします。同期IDフィールドに、対象サービスアカウントのメールアドレスを設定します。設定例は以下のとおりです。

手順1: ゲートウェイのサービスアカウントにToken Creatorロールを付与

ゲートウェイのサービスアカウントが対象サービスアカウントになりすませるようにします。

手順2: 対象サービスアカウントにSecret Managerアクセス権を付与

シークレットを同期するプロジェクトに対して、対象サービスアカウントに必要な権限を付与します。

ユニバーサルシークレット同期のワークフロー

同期操作を実行する基本的なワークフローは以下のとおりです。

  • (任意) コマンダー経由で、AWS、Azure、GCPの既存シークレットを一度だけインポート

  • シークレットリソースを管理する権限を持つ Keeperゲートウェイのセットアップ

  • ゲートウェイと必要なUSS構成設定を含むPAM構成のセットアップ

  • ドライランが選択されていない場合、同期ジョブは自動実行 (ワークフロー完了)

  • それ以外の場合は、コマンダー CLIまたはボルトUIから手動で同期を実行

関連ページ

前へユニバーサルシークレット同期次へユニバーサルシークレット同期の移行ガイド

最終更新