概要

このセクションでは、対象となる様々なシステムとサービス間で、AWSクラウド環境内のユーザークレデンシャルをローテーションする方法について説明します。

AWSクレデンシャルとそれに対応するPAM記録タイプ

AWS環境の設定は、Keeper Secrets ManagerのPAM設定セクションで定義します。Keeperは、ゲートウェイがインストールされたEC2インスタンスの継承されたロールを使用して、AWSシステムで認証し、ローテーションを実行します。インスタンスのロールが定義されていない場合は、AWSアクセスキーIDと秘密鍵をPAM設定記録に格納して、認証およびローテーションを実行できます。

EC2、RDS、ディレクトリサービスなどのマネージドリソースの設定は、PAMマシン、PAMデータベース、およびPAMディレクトリ記録タイプで定義されます。以下の表は、Keeper RotationでサポートされているAWSマネージドリソースと、それらに対応するPAM記録タイプを示しています。

ディレクトリユーザーまたはIAMユーザーの設定は、PAMユーザー記録タイプで定義されます。

前提条件 - AWS環境でのローテーション

AWS環境内でユーザークレデンシャルをローテーションする前に、次の情報と設定を必ず用意する必要があります。

1. IAMユーザーアカウントを正常にローテーションするには、IAM管理者アカウントを作成する必要があります。IAM管理者アカウントは、ターゲットリソースにアクセスするための適切なポリシー設定が指定されたIAMユーザーアカウントです。ポリシー設定の詳細は、こちらのページをご参照ください。

2. EC2インスタンスにアタッチされたAWSマネージドリソースのクレデンシャルを正常にローテーションするには、ポリシーが適切に指定されたロールを設定し、EC2インスタンスにアタッチする必要があります。ポリシー設定の詳細は、こちらのページをご参照ください。

3. AWS環境内でローテーションを構成および設定するには、PAM設定で以下の値が必要です。

Keeper Gatewayは、常にまずEC2インスタンスロールを使用して認証およびローテーションを実行しようとします。これが失敗するか、またはマシンで使用できない場合、KeeperはPAM設定に保存されたアクセスキーIDとシークレットアクセスキーを使用します。

AWS環境の設定

AWSでの環境設定の詳細は、以下のセクションをご参照ください。

概要 - AWS環境でのローテーション

大まかに言えば、AWSネットワークでパスワードを正常にローテーションするには、以下の手順が必要です。

1. ローテーションに関連するPAM記録を格納する共有フォルダの作成

2. ユーザーのクレデンシャルをローテーションおよび更新するために必要な権限を持つ、クレデンシャルを格納するPAMマシン、PAMデータベース、およびPAMディレクトリ記録の作成

3. ユーザーの情報を含むPAMユーザー記録の作成

4. Secrets Managerアプリケーションの作成およびPAM記録を格納する共有フォルダへの割り当て

5. Keeper GatewayのインストールおよびSecrets Managerアプリケーションへの追加

6. AWS環境設定を使用したPAM設定の作成

7. PAMユーザー記録やPAMマシン、PAMデータベース、PAMディレクトリ記録のローテーション設定の指定

以下のページでは、Azureネットワーク上の様々なシナリオでパスワードを正常にローテーションする方法について、これらの手順を詳しく説明します。

AWSディレクトリユーザーのローテーション:

EC2仮想マシンアカウントのローテーション:

IAMユーザーアカウントのローテーション:

AWSマネージドデータベースアカウントのローテーション: