Managed Microsoft ADユーザー
Keeperを使用したAWS Managed Microsoft ADサービスアカウントのローテーション
概要
このガイドでは、Keeper Rotationを使用してAWS Managed Microsoft ADサービスの管理者アカウントとユーザーアカウントをローテーションする方法について説明します。Active DirectoryサービスはAWSのマネージドリソースで、ディレクトリサービスの管理者のクレデンシャルがPAMディレクトリ記録タイプで定義され、ADユーザーの設定がPAMユーザー記録タイプで定義されています。
Amazon Managed Active Directoryサービスの場合、AWS SDKを使用してディレクトリ管理者パスワードをローテーションします。ユーザーアカウントのパスワードはLDAPを使用してローテーションされます。ローテーションを成功させるには、サーバー側のLDAPSが設定され、Directory管理者がPAMディレクトリ記録タイプで定義されて、SSL接続を使用している必要があります。
AWS環境でのローテーションプロセスの概要については、こちらのページをご参照ください。
前提条件
このガイドでは、以下の作業がすでに実行されていることを前提としています。
Keeper Rotationがご利用のロールに対して有効になっていること
Keeper Secrets Managerアプリケーションが作成済みであること
Keeper Rotationゲートウェイがすでにインストールされて動作しており、AWS Directory Serviceと通信できること
AWS環境がKeeperのドキュメントに従って設定されていること
1. PAMディレクトリ記録を設定
Keeper Rotationは、AWS Managed Directory Serviceのディレクトリ管理者のクレデンシャルを使用して、ドメインサービスのディレクトリアカウントのパスワードをローテーションします。これらの管理者クレデンシャルは、ディレクトリ管理者のパスワードのローテーションにも使用できます。
以下は、PAMディレクトリ記録の必須フィールドとなります。
| フィールド | 説明 |
|---|---|
タイトル | 記録の名前( |
ホスト名またはIPアドレス | ディレクトリDNS名( |
ポート | LDAPSは |
SSLを使用(チェックボックス) | チェック要 |
ログイン | ディレクトリサービス管理者アカウント( |
パスワード | ディレクトリサービス管理者パスワード |
識別名 | ディレクトリサービス管理者アカウントの識別名(DN) 。
注意:DNが指定されていない場合は、次の形式が使用されます。
所与のドメイン名は |
ドメイン名 | ディレクトリのDNS名 注意:これは、識別名の代わりにログインを使用する場合に必要です。 |
ディレクトリID | Directory Serviceの識別子( |
ディレクトリタイプ | Directory Serviceのディレクトリタイプ。空白の場合、デフォルトは |
プロバイダリージョン | AWSリージョン名( |
備考: プロバイダのリージョンとディレクトリIDを追加すると、AWS SDKを使用して、PAMディレクトリ記録を管理できるようになります (推奨) 。
管理者のクレデンシャルを含むこのPAMディレクトリ記録は、前提条件で作成したKSMアプリケーションで共有される共有フォルダに格納されている必要があります。この特権アカウントへのアクセスが必要なのはKSMアプリケーションのみであり、どのユーザーとも共有する必要はありません。
2. PAMの設定を指定
AWS環境のPAM設定が作成済みの場合は、ディレクトリユーザーのローテーションに必要なその他のリソースクレデンシャルを既存のPAM設定に追加すればよいだけです。
新しいPAM設定を作成する場合は、Keeperボルトにログインし、左側のメニューから[Secrets Manager]、[PAM設定]タブの順に選択して、[新規設定]をクリックします。 以下は、PAM設定記録の必須フィールドとなります。
| フィールド | 説明 |
|---|---|
タイトル | 設定名、例: |
環境 | 選択: |
ゲートウェイ | Keeper Secrets Managerアプリケーションで設定され、前提条件のActive Directoryサーバーにネットワークでアクセスできるゲートウェイを選択します |
アプリケーションフォルダ | 手順1のPAMディレクトリ記録を含む共有フォルダを選択します |
管理者クレデンシャル記録 | 手順1で作成したPAMディレクトリ記録を選択します これは、管理者のクレデンシャルが格納された、ディレクトリユーザーアカウントのクレデンシャルをローテーションするための十分な権限を持つ記録です |
AWS ID | AWSのこのインスタンスの一意のID。これは参考用のため、何を指定してもよいですが、短くすることをお勧めします
例: |
アクセスキーID | EC2ロールポリシー(デフォルト)を使用している場合は、このフィールドを |
シークレットアクセスキー | EC2ロールポリシー(デフォルト)を使用している場合は、このフィールドを |
リージョン名 | AWSリージョン名のリスト(1行に1つ)
例:
|
PAMネットワーク設定記録の設定可能なすべてのフィールドの詳細は、こちらのページをご参照ください。
3. 1つまたは複数のPAMユーザー記録を設定
Keeper Rotationは、PAMディレクトリ記録のクレデンシャルを使用して、AWS環境のPAMユーザー記録をローテーションします。PAMユーザーのクレデンシャルは、前提条件で作成したKSMアプリケーションで共有される共有フォルダに格納されている必要があります。
以下の表に、PAMユーザー記録の必須フィールドをすべて一覧で表示します。
| フィールド | 説明 |
|---|---|
タイトル | Keeperの記録タイトル ( |
ログイン | ディレクトリサービスのユーザーアカウントのユーザー名 |
パスワード | アカウントパスワードはオプションです。空白の場合はローテーションで設定されます |
識別名 | ディレクトリサービスユーザーアカウントの識別名 (DN) |
4. 記録のローテーションを設定 - ディレクトリユーザー
手順3で設定したPAMユーザーの記録を選択し、その記録を編集して[パスワードローテーション設定]を開きます。
適切なスケジュールとパスワードの複雑さを選択します。
[ローテーション設定]では、以前に設定したPAM設定を使用する必要があります。
[リソースクレデンシャル]フィールドで、手順1で設定されたPAMディレクトリクレデンシャルを選択する必要があります。
保存すると、ローテーションボタンが有効になり、必要に応じて、または選択したスケジュールでローテーションできるようになります。
PAMユーザーの記録に対するedit権限を持つユーザーならだれでも、その記録のローテーションを設定できます。
ローテーション設定画面に適切な管理者クレデンシャルが表示されていない場合は、Secrets Manager > [PAM設定]に移動し、必要なリソースクレデンシャルを追加します。
5. 記録のローテーションを設定 - ディレクトリ管理者
手順1で設定したPAMディレクトリの記録を選択し、その記録を編集して[パスワードローテーション設定]を開きます。
適切なスケジュールとパスワードの複雑さを選択します。
[ローテーション設定]では、以前に設定したPAM設定を使用する必要があります。
[リソースクレデンシャル]フィールドで、手順1で設定されたPAMディレクトリクレデンシャルを選択する必要があります。
保存すると、ローテーションボタンが有効になり、必要に応じて、または選択したスケジュールでローテーションできるようになります。
ローテーション設定画面に適切な管理者クレデンシャルが表示されていない場合は、Secrets Manager > [PAM設定]に移動し、必要なリソースクレデンシャルを追加します。
トラブルシューティング
AWS Managed Directory Serviceユーザーの識別名を取得
次のWindowsコマンドを使用して、ディレクトリユーザーの識別名を取得できます。
コマンドが存在しない場合は、次のコマンドを使用して適切なモジュールをインポートする必要があります。
最終更新
