用語

シークレットマネージャーの構成

シークレットへのアクセスを管理および維持するために、Keeperシークレットマネージャーではアプリケーションとクライアントと呼ばれる構成を採用しています。

以下では、これらの各項目がシークレットマネージャーでどのように機能するかを説明します。

シークレット

シークレットは、Keeperボルトにレコードとして保存され、通常はレコードの添付ファイルとして保存されるかフィールドに保存されます。

ボルトのレコードや共有フォルダはアプリケーションと共有できます。

アプリケーション

アプリケーションは、ワークロードがアクセスできるレコードとフォルダを定義する権限の境界です。

Keeperシークレットマネージャーアプリケーションは、特定のシークレットまたは共有フォルダに割り当てられます。 アプリケーションは、アクセス権限、クライアントデバイス、監査証跡、履歴を格納する容器です。アプリケーションが復号化できるのは、割り当てられたレコードのみです。

最小権限の原則に則り、クライアントデバイスからは必要なレコードへのみアクセスできるようにしましょう。ボルトのユーザーは無制限数のシークレットを保持できますが、最適なパフォーマンスを確保するために、1つのアプリケーションあたり最大500件のレコードを共有することを推奨しています。

アプリケーションの例としては、Github Actionsによる運用パイプラインやJenkinsサーバーなどが考えられます。

クライアントデバイス

クライアントデバイスは、アプリケーションに対して認証を行うマシン、サービス、またはランタイムインスタンスです。物理デバイスや仮想デバイス、AIエージェント、クラウドベースのシステムなどが該当します。加えて、クラウド上で動作するソフトウェアアプリケーションやCI/CDツールをクライアントデバイスとして識別することもできます。

各クライアントデバイスには、シークレットを読み取ってアクセスするための固有のキーが設定されています。

クライアントは以下の要件に従います。

• 初期化に使用するワンタイムアクセストークン。有効期限が設定された時刻後に期限切れになります (デフォルトは24時間)

• IPアドレスの固定 (オプション、デフォルトでは無効)

• アクセスの有効期限 (オプション、デフォルトでは無効)

クライアントデバイスの例としては、開発マシン、Terraformスクリプト、Github Actionsインスタンス、AIエージェントなどが挙げられます。アプリケーションに関連付けられたシークレットにアクセスするには、少なくとも1台のクライアントデバイスが必要です。 複数のクライアントデバイスを同じアプリケーションに関連付けることもできます。

設定

シークレットマネージャーの「設定」は一連のトークンで、暗号化キー、クライアント識別子、KeeperシークレットマネージャーAPIで取得したデータの認証と復号化に使用される宛先サーバー情報が含まれます。

シークレットマネージャーの設定はワンタイムアクセストークンから作成され、クライアントデバイスと1対1の関係を確立します。

設定は、JSON形式のテキストファイルとして格納することも、1行の文字列にエンコードすることもできます。