概説

Keeper Secrets Managerは、「ワンタイムアクセストークン」を使用して鍵交換を実行し、Secrets Manager APIにアクセスする新しいクライアントデバイスを初期化します。各クライアントデバイスは、それぞれ独自のワンタイムアクセストークンで初期化する必要があります。

ワンタイムアクセストークンは、Keeper CommanderまたはKeeperボルトを使用して生成できます。 クライアントデバイスの作成時にワンタイムアクセストークンが生成されます。

ワンタイムアクセストークンの目的は、複数の暗号化鍵と識別子で構成される「設定」を作成することです。設定は、クライアントデバイスまたは目的のCI/CDプラットフォーム内にローカルに保存されます。

Commanderを使用したトークンの生成

1.アプリケーションを作成します

secrets-manager app createを使用して新しいSecrets Managerアプリケーションを作成します

My Vault> secrets-manager app create DevOps
Application was successfully added

secrets-manager app listを使用して、使用可能なアプリケーションの一覧を表示できます。

My Vault> secrets-manager app list

List all Secrets Manager Applications

Title              UID
-----------------  ----------------------
DevOps             fe6mv_ZBLqca35dBUTdNeQ
Examples           Xym5lhpSidvtk9VlmV_3dQ
Github Actions     L5FqK5DUJhxeCXp50nSkuw
Jenkind            R2jMVW_QwL3FsCJziotpLQ

2.アプリケーションを共有フォルダまたは記録に関連付けます

ボルトの記録にアクセスできるようにするには、アプリケーションに共有フォルダまたは記録を割り当てる必要があります。

Commanderから、次のコマンドを使用してアプリケーションと共有します。

secrets-manager share add --app <APPLICATION NAME> --secret <FOLDER OR RECORD UID>

オプションで--editableフラグを使用して、アプリケーションに編集権限を付与できます。

以下の例の「XXX」は、記録または共有フォルダのUIDに置き換えます。

My Vault> secrets-manager share add --app DevOps --secret XXX --editable

Successfully added secrets to app uid=XXX, editable=True:
        RpdmKFgF5lpsaID3TcHu8A Shared Folder

3.クライアントデバイスを作成します

アプリケーションは、1つまたは複数のクライアントデバイスで構成されます。ボルトの記録にアクセスするには、少なくとも1つのクライアントデバイスが必要です。

secrets-manager client add --app <APPLICATION NAME>コマンドを使用して、新しいクライアントデバイスを作成します。

オプションで、--name <NAME>を使用してクライアントデバイスの名前を設定し、--unlock-ipを使用して認証されたデバイスの接続を許可できます。デフォルトでは、クライアントデバイスの外部IPアドレスに基づいてアクセスが制限されます。

My Vault> secrets-manager client add --app DevOps --name server1

Successfully generated Client Device
====================================

One-Time Access Token:US:19-V--cbg8P-o9OVDzMl_hWnrt-QE1eAMQHgSkQMUi0
Name: server1
IP Lock:Enabled
Token Expires On:2021-10-01 11:14:18
App Access Expires on:Never

クライアントデバイスの作成時にワンタイムアクセストークンが表示されることにご注意ください。

その表示出力からワンタイムアクセストークンをコピーし、それを使用してKeeper Secrets Manager SDKまたは統合機能からデバイスを初期化します。トークンは、ターゲットデバイスで一度使用すると、再使用はできません。アプリケーションに関連付けられた記録のアクセスに必要なだけの数のクライアントデバイスを生成できます。

Keeperボルトを使用したトークンの生成

新しいアプリケーションを使用

1.Secrets Managerに移動します

KeeperボルトのナビゲーションメニューからSecrets Managerを選択します。

2.新しいアプリケーションを作成します

新しいSecrets Managerアプリケーションを作成してワンタイムトークンを生成するには、まずSecrets Managerタブから「アプリケーションの作成（Create Application）」を選択します。「アプリケーションの作成（Create Application）」ボタンは、ページの右上、またはアプリケーションが現在存在しない場合は中央に表示されます。

「アプリケーションの追加」フォームで、新しいアプリケーションの名前を作成します

ドロップダウンを使用して、アプリケーションにアクセスを許可する共有フォルダを選択します。複数のフォルダを選択できます。

ドロップダウンを使用して、このアプリケーションに読み取り権限や編集権限を与えることもできます。

必要に応じて、「初回リクエストの外部WAN IPアドレスを固定する（Lock external WAN IP Address of device for initial request）」のチェックボックスをオンにして、アプリケーションの最初のクライアントデバイスを接続元の最初のIPアドレスに制限します。

3.ワンタイムアクセストークンを生成します

アプリケーションを設定したら、「アクセストークンの生成（Generate Access Token）」をクリックして最初のクライアントデバイスを生成し、ワンタイムトークンを受信します。

その表示出力からワンタイムアクセストークンをコピーし、それを使用してKeeper Secrets Manager SDKまたは統合機能からデバイスを初期化します。トークンは、ターゲットデバイスで一度使用すると、再使用はできません。アプリケーションに関連付けられた記録のアクセスに必要なだけの数のクライアントデバイスを生成できます。

既存のアプリケーションを使用

1.Secrets Managerに移動します

KeeperボルトのナビゲーションメニューからSecrets Managerを選択します。

2.既存のアプリケーションに新しいクライアントデバイスを作成します

既存のSecrets Managerアプリケーションで新しいクライアントデバイスを作成し、新しいワンタイムトークンを生成するには、まず、Secrets Managerタブのリストから使用するアプリケーションを選択します。

アプリケーションを選択すると詳細ビューが開き、このアプリケーションがアクセスできるフォルダと記録が表示されます。

新しいクライアントデバイスを作成するには、まず「デバイス（Devices）」タブに移動し、「編集（Edit）」、「+デバイス（+ Device）」ボタンの順にクリックします。

「デバイスの追加（Add Device）」フォームで、新しいデバイスの名前を選択します。必要に応じて、「初回リクエストの外部WAN IPアドレスを固定する（Lock external WAN IP Address of device for initial request）」のチェックボックスをオンにして、クライアントデバイスを接続元の最初のIPアドレスに制限できます。

3.ワンタイムアクセストークンを生成します

「アクセストークンの生成（Generate Access Token）」をクリックしてクライアントデバイスを作成し、ワンタイムトークンを表示します。

この画面からワンタイムアクセストークンをコピーして、Keeper Secrets Manager SDKや統合機能で使用すると、今後このトークンにアクセスできなくなります（ただし、新たなクライアントデバイスを作成して、別のトークンを生成することはできます）。

設定を生成

一部のサードパーティのKeeper Secrets Manager統合機能では、ワンタイムアクセストークンから設定を作成するのではなく、事前に作成された設定が必要です。

Secrets Managerの設定の作成方法は、次のセクションで確認します。