ローテーションの有効化

ローテーションは、Keeper Secrets Manager（「KSM」）の機能です。ご利用のアカウントでKeeper Secrets Managerを有効化すると、特定のロールに対してローテーション機能を有効にできます。

管理コンソールでローテーションを有効化

1. ご利用のテナントのKeeper管理コンソールにログインします。

2. 管理者 > ロールの選択 (またはロールの新規作成) > 強制ポリシー > Secrets Managerに移動します。

3. 以下の両方のポリシーを有効にします。

   • [Keeper Secrets Manager を有効化]: これにより、ローテーションに必要なボルトのSecrets Manager機能が有効になります。

   • [Keeper ローテーションの管理]: これにより、ユーザーはゲートウェイをデプロイし、ボルト内の特権アクセス記録のローテーションを設定できます。

Commanderを使用したローテーションの有効化

ローテーションは、enterprise-roleコマンドを使用して、Keeper Commander CLIで有効にすることもできます。enterprise-roleコマンドを使用すると、強制ポリシーを管理できます。

ローテーションを有効にする前に、以下のコマンドを使用してロールのKSM機能を有効にする必要があります。

enterprise-role "Keeper Administrator" --enforcement "ALLOW_SECRETS_MANAGER":true

KSMを有効にした後、以下のコマンドを使用して同じロールのローテーション機能を有効にしてください。

enterprise-role "Keeper Administrator" --enforcement "ALLOW_PAM_ROTATION":true

ローテーションの記録タイプ

ロールのKeeper Rotationを有効にすると、4つの新しい記録タイプがボルトで利用できるようになります。そのロールのユーザーは、以下の新しい記録タイプを作成できるようになります。

• PAMユーザー ログイン/パスワードと秘密鍵のいずれか一方またはその両方が格納されます。

• PAMディレクトリ オンプレミスまたはクラウドベースのディレクトリに関する情報

• PAMデータベース MySQLやSQL Serverなどのセルフホステッドまたはマネージドクラウドベースのデータベース

• PAMマシン オンプレミスまたはクラウドのWindowsやLinux、macOSのマシン

4つの記録タイプすべてをボルトに追加したり、フォルダに格納したり、Keeperの他の記録と同様に共有したりすることができます。これらの記録は、特権を持たないKeeperユーザーと共有できますが、ユーザーが「Keeper ローテーションの管理」ロール強制ポリシーを有効にしていない限り、ローテーションすることはできません。

これらの記録タイプとローテーションで担うロールの詳細は、以下をご参照ください。

PAM設定

ローテーションが有効になると、ボルトのSecrets Manager画面にPAM 設定というセクションが表示されます。PAM設定は、以下を含むオブジェクトです。

• 環境 ローカルネットワーク、AWSまたはAzure

• Keeper Gateway オンプレミスまたはクラウドのインフラストラクチャにインストールするサービス

• アプリケーションフォルダ Secrets Managerアプリケーションと関連記録を含む共有フォルダ

• 管理用クレデンシャル ローテーションおよび検出を実行するための特権クレデンシャルを含むKeeperの記録。

PAM設定、アプリケーション、ゲートウェイの数に制限はありません。

パスワードのローテーション方法

ターゲット環境でパスワードをローテーションするための基本的な手順は以下のとおりです。

• ボルトに共有フォルダを作成します

• PAMディレクトリ、PAMデータベース、またはPAMマシンの記録を共有フォルダに追加します

• PAMユーザーの記録を共有フォルダに追加します

• Secrets Managerアプリケーションを作成します

• Secrets Managerアプリケーションを共有フォルダに割り当てます

• Secrets ManagerアプリケーションにKeeper Gatewayを追加します

• すべてを連携するPAM設定を作成します