Secrets Managerの構成

シークレットへのアクセスを統合して維持するために、Keeper Secrets Managerはアプリケーションおよびクライアントと呼ばれる構成を採用しています。

Secrets Managerでのこれらの要素ごとの機能については、以下をお読みください。

シークレット

シークレットは、Keeperボルトに記録として保存され、通常はこれらの記録の添付ファイルまたはフィールドとして保存されます。

ボルトの記録や共有フォルダはどれでもアプリケーションと共有できます。

アプリケーション

Keeper Secrets Managerアプリケーションは、特定のシークレットまたは共有フォルダに割り当てられます。 アプリケーションは、アクセス権限、クライアントデバイス、監査証跡、および履歴を格納します。アプリケーションが復号化できるのは、割り当てられた記録のみです。

アプリケーションは、最大500個の記録を共有できます。最小権限を使用して、クライアントデバイスが必要な記録にのみアクセスできるようにすることをお勧めします。ボルトのユーザーは無制限のシークレットを格納できます。

アプリケーションの例としては、Github Actionsによる運用パイプラインやJenkinsサーバーなどが考えられます。

クライアントデバイス

クライアントデバイスは、アプリケーションに関連付けられたシークレットにアクセスする必要のあるエンドポイントです。これは、物理デバイス、仮想デバイス、またはクラウドベースのデバイスの場合もあります。クライアントデバイスは、クラウドで実行されている任意のソフトウェアアプリケーションやCI/CDツールによっても識別できます。

各クライアントデバイスには、シークレットを読み取ってアクセスするための一意の鍵が設定されています。

クライアント遵守事項は以下のとおりです。

• 初期化に使用される有効期限が24時間のワンタイムアクセストークン

• IPアドレスの固定（オプション）

• アクセスの有効期限（オプション）

クライアントデバイスの例としては、開発マシン、Terraformスクリプト、Github Actionsインスタンスなどが挙げられます。アプリケーションに関連付けられたシークレットにアクセスするには、少なくとも1台のクライアントデバイスが必要です。 複数のクライアントデバイスを同じアプリケーションに関連付けることもできます。

設定

Secrets Managerの「設定」は一連のトークンで、暗号化鍵、クライアント識別子、およびKeeper Secrets Manager APIで取得したデータの認証と復号化に使用される宛先サーバー情報が含まれます。

Secrets Managerの設定はワンタイムアクセストークンから作成され、クライアントデバイスと1対1の関係を確立します。

設定は、JSON形式のテキストファイルとして格納することも、1行の文字列にエンコードすることもできます。