こんにちは、 ネクストモード株式会社 のSaaSおじさん久住です。
今回は「KeeperPAMで、管理者が作成したサーバーリソースを利用者へ共有する方法」についてご紹介します。
PAMを使った運用では、下記の要件が出てきます。
本記事では、上記の要件を満たしつつ、利用者がクリック操作だけで接続できる状態までを、画面イメージ付きでまとめます。
KeeperPAMのセットアップについては下記ブログをご覧ください。
従来のサーバーへの認証情報の共有だと、下記のような運用負荷とリスクがセットで付いてます。
一方、KeeperPAMの「レコード分割」と「共有」運用を前提にすると、下記のようなメリットがあります。
管理者側では、ユーザーの認証情報を置くフォルダと、接続先リソースを置くフォルダが見えています。
しかし利用者側には、下記のような状態にしたいと思います。
管理者のKeeper Vault上で、共有したいリソースを格納しているフォルダ(リソースフォルダ)を開きます。
フォルダの共有設定画面を開き、「ユーザー」タブから編集を行います。
共有相手は、個人ユーザーでも、チーム単位でも指定できます。
ここでのポイントは、利用者に渡すのはあくまでリソース(接続先)へのアクセスであることです。下記については見せない&触らせない運用にします。
共有が完了すると、利用者のKeeperのマイボルトから、共有されたリソースフォルダが見えるようになります。
共有されたリソースから、テスト用のLinuxサーバーに接続してみましたが、問題なく接続できました。
重要なのは、利用者側で下記のような作業が不要な点です。
共有設定を適切に行っていれば、利用者は下記を変更できない状態になります。
また、Linux側の権限も通常ユーザーのままにしておけば、当然ながら管理者権限の操作はできません。例として、パスワード変更系の操作を試しても、権限がないため実行できないことが確認できます。
セッションアクティビティを確認すると、誰がいつアクセスしたかを判別できます。
「認証情報は見せずに接続させたい」だけでなく、「あとから追える状態にしたい」運用にも向いています。
本記事では、KeeperPAMで管理者が用意したサーバーリソースを、利用者へ安全に共有する方法を紹介しました。
利用者には接続だけを許可し、認証情報やPAM構成には触れさせない、という運用が取りやすいのがKeeperPAMの良いところです。
是非活用してみてはいかがでしょうか!