Azure環境の設定

Keeper Secrets Managerと連携するためのAzure環境の設定

Azure環境を設定するには、以下の手順を実行する必要があります。

  • デフォルトのAzure Active DirectoryにAzureアプリケーションを作成します。

  • この新しいアプリケーションからKeeper PAM設定の値を取得します。

  • Azure Active Directoryにアクセスするための権限をアプリケーションに付与します。

  • アプリケーションが様々なAzureリソースにアクセスしてアクションを実行できるようにするカスタムロールを作成します。

Azureアプリ登録を作成

Azureポータル > Home (ホーム) に移動し、左側のメニューでAzure Active Directoryをクリックします。App Registrations (アプリの登録)、New Registration (新規登録) の順に選択します。新しいアプリケーションに名前を付け、Supported accounts types (サポートされるアカウントの種類) でSingle tenant (シングルテナント) を選択します。次に、下部のRegister (登録) ボタンをクリックします。

アプリケーションのOverview (概要) 、Application (client) ID (アプリケーション (クライアント) ID) UUIDが表示されます。これは、Keeper PAM設定記録のClient (クライアント) Idフィールドです。Directory (tenant) (ディレクトリ (テナント)) IDも表示されます。これは、Keeper PAM設定記録のTenant Id (テナントId) フィールドです。これらの値は後で使用するために保存します。

次に、Client credentials (クライアントクレデンシャル) のAdd a certification or secret (証明書またはシークレットの追加) をクリックします。次のページで、New client secret (新しいクライアントシークレット) をクリックし、クライアントシークレットのDescription (説明) を入力して、適切なExpires (有効期限日) を選択し、Add (追加) をクリックします。

すると、ページが更新されてシークレットのValue (値) が表示されます。Value (値) (シークレットIDではない) をKeeper PAM設定の「Client Secret」 (クライアントシークレット) フィールドにコピーします。後で使用するために、この値を保存します。

この時点で、PAM設定の必須フィールドをすべて入力する必要があります。また、この時点では、Azureアプリケーションで何も実行できません。

ロールと管理者の割り当て

Azureテナントサービスプリンシパル/アプリケーションでAzure Active DirectoryユーザーまたはAzure Active Directory Domain Serviceユーザーをローテーションするには、アプリケーションを管理者ロールに割り当てる必要があります。

Azureポータルから、Home (ホーム) > Azure Active Directory > Roles and administrators (ロールと管理者) に移動し、使用する管理用ロール (Privileged Authentication Administratorなど) をクリックします。正しいロールは、ユースケースに必要な権限によって異なります。カスタムロールを使用できます。

  • Global Administrator (グローバル管理者) - サービスプリンシパルでグローバル管理者を使用することはお勧めしません。ただし、管理者パスワードとユーザーパスワードの両方をローテーションできます。

  • Privileged Authentification Administrator (特権認証管理者) - グローバル管理者ユーザーを含むすべてのユーザーのパスワードを変更できます。

  • Authentification Administrator (認証管理者) - グローバル管理者ユーザーを除くすべてのユーザーのパスワードを変更できます。

アプリケーションを追加するには、Add assignments (割り当ての追加) をクリックし、作成されたサービスプリンシパル/アプリケーションをSearch (検索) してクリックし、Add (追加) をクリックします。

Azureロールの割り当て

ターゲットリソースのパスワードをローテーションするには、Azureアプリケーション (別名、サービスプリンシパル) にロールをアタッチする必要があります。これは、Azureポータルのサブスクリプションセクションで行います。

Azureポータル > Home (ホーム) > Subscriptions (サブスクリプション) に移動して、サブスクリプションを選択します。Access control (IAM) (アクセス制御 (IAM))、Roles (ロール) の順にクリックします。

上部メニューのAdd (追加) をクリックしてから、Add custom role (カスタムロールの追加) をクリックします。JSONタブに移動します。Edit (編集) をクリックし、以下からJSONオブジェクトを貼り付け、ご利用の設定に従って変更します。

これは、Keeper Gatewayが使用できるすべてのアクセス権限の完全なリストです(該当する場合)。設定に必要なものだけをご使用ください。

保存する前に以下を変更します。

  • <ROLE NAME>: ロール名。例: 「Keeper Secrets Manager」

  • <DESCRIPTION>: 説明。例: 「パスワードローテーションのロール」

  • <SUBSCRIPTION ID>: このAzureサブスクリプションのサブスクリプションID

{
    "properties": {
        "roleName": "<ROLE NAME>",
        "description": "<DESCRIPTION>",
        "assignableScopes": [
            "/subscriptions/<SUBSCRIPTION ID>"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Compute/virtualMachines/read",
                    "Microsoft.Network/networkInterfaces/read",
                    "Microsoft.Network/publicIPAddresses/read",
                    "Microsoft.Network/networkSecurityGroups/read",
                    "Microsoft.Compute/virtualMachines/instanceView/read",
                    "Microsoft.Resources/subscriptions/resourceGroups/read",
                    "Microsoft.AAD/domainServices/read",
                    "Microsoft.Network/virtualNetworks/subnets/read",
                    "Microsoft.Sql/servers/read",
                    "Microsoft.Sql/servers/databases/read",
                    "Microsoft.DBforPostgreSQL/servers/read",
                    "Microsoft.DBforMySQL/servers/read",
                    "Microsoft.DBforPostgreSQL/servers/databases/read",
                    "Microsoft.Sql/servers/write",
                    "Microsoft.DBforPostgreSQL/servers/write",
                    "Microsoft.DBforMySQL/servers/write",
                    "Microsoft.DBforMySQL/flexibleServers/read",
                    "Microsoft.DBforPostgreSQL/flexibleServers/read",
                    "Microsoft.DBforPostgreSQL/flexibleServers/write",
                    "Microsoft.DBforMySQL/flexibleServers/write",
                    "Microsoft.DBforMariaDB/servers/read",
                    "Microsoft.DBforMariaDB/servers/write"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

Save (保存) をクリックします。

完了したら、Review + create (レビューと作成) をクリックし、Create (作成) をクリックします。

ロールを作成したら、アプリケーション (サービスプリンシパル) に割り当てる必要があります。Detail (詳細) 列のView (表示) をクリックします。

画面の右側にパネルが表示されます。Assignments (割り当て)、Add assignment (割り当ての追加) の順にクリックします。

Role (ロール) タブの検索バーに新しいロールの名前を入力し、それをダブルクリックして選択します。Members (メンバー ) タブに移動します。Select members (メンバーを選択) をクリックします。開いたパネルで、Azureアプリケーションの名前を入力し、現在のアプリケーションを選択して、Select (選択) をクリックします。

Review + assign (レビューと割り当て) タブに移動し、Review + assign (レビューと割り当て) をクリックします。

🎉これで、Azure環境内に必要なロールとアプリケーションが作成されました。

前へAzure次へAzure ADユーザー

最終更新