サーバーをグループで管理

Overview

数多くのサーバーをグループ化してアクセス可能なアカウントおよびポリシーを一度に適用できます。 目的に応じてサーバーグループを作成した後、一括でポリシーを便利に管理でき、このようにグループ化したサーバーグループ権限を個別ユーザーまたはユーザーグループに一度に付与できます。

サーバーグループ作成

1. Administrator > Servers > Connection Management > Server Groupsメニューに移動します。
2. 右上の+ Create Groupボタンをクリックします。
3. グループ作成のための以下の情報を入力します。
   1. Name : サーバーグループを画面で区別できる名前です。
   2. Description : 該当サーバーグループに対する付加的な説明を入力できます。
   3. Server Tags : 該当サーバーグループに含まれるサーバーをServer Tagsを通じてフィルタリングして追加します。
4. Saveボタンを通じて保存します。

サーバーグループ作成/修正

以下の情報を入力してサーバーグループを作成できます。 作成後、一部項目は修正が可能です。

1. 基本情報入力およびサーバーをTagで追加

• Name : サーバーグループの名前を入力します。
• Description : サーバーグループを説明できる内容を入力します。複数の管理者がいる場合、サーバーグループ間の簡単な識別のために目的に合わせて名前および説明を詳細に入力することをお勧めします。
• Server Tags : サーバーグループでまとめたいサーバーのタグを指定して流動的にサーバーグループの対象を管理できます。タグを通じて追加されたサーバーはサーバーテーブルで手動削除ができず、Server Tagsのタグを修正しなければなりません。

2. Serverを手動で追加

• Serversでは該当サーバーグループに属するサーバーを確認したり、サーバーをサーバーグループに手動追加できます。
  • 右上のAdd Serverボタンをクリックすると画面上部にサーバーリストを確認できるポップアップが表示されます。
  • 該当ポップアップ窓でサーバーグループに追加する個別サーバーを選択後Addボタンをクリックします。
    • ポップアップ内フィルター(:フィルター:)機能を利用して複数の条件でサーバーをフィルタリングできます。
    • 最終該当サーバーグループに追加されたサーバーを確認できます。

11.3.0でServer groupに追加するサーバーリストポップアップでタグを使用して対象をフィルタできるようになりました。

• InformationのServer Tagsで手動追加されたサーバーと関連するタグを削除しても、手動で追加されたサーバーはサーバーグループから除外されません。Serversテーブルでチェックボックス選択後表示されるDeleteボタンを通じた手動削除のみ可能です。
• Test Connectionを通じてServer Group内追加されたServerとAccountに対するアカウント情報確認ができます。
  • Test Connectionを使用するには最小1個のServerとAccountをServer Groupに追加する必要があります。

3. Accounts登録

1. 該当コネクションにアクセス時に必要なAccountを登録し、管理します。Accountを登録する方法は2つあります。
   1. Copyボタンを押してServer Account Templatesメニューで既に登録したAccountを一度に読み込めます。
      1. Sever Account Templateを登録する方法はServer Account Templatesを参考にします。
   2. またはAdd Account機能を利用して手動でAccountを追加できます。
      1. Add Accountボタンクリック時、アカウント設定のためのモーダル窓が表記されます。選択したCategoryごとに入力しなければならない項目が異なります。
         

      

2. Provisioningアカウントで指定されたアカウントはAccount横に鍵アイコンが表示されます。

3. カテゴリ別でアカウントを設定できます。
   1. Category : 最も先にアカウントの認証方式とタイプを定義するCategoryを選択する必要があります。選択するCategoryに応じて下段に表示される設定項目が動的に変更されます。
   2. 注意 : アカウントを作成した後はCategoryを修正できませんので慎重に選択する必要があります。
4. Category別設定項目
   1. QueryPie内部認証
      1. QueryPie - Manual Login : サーバーアクセス時にユーザーが設定されたアカウントのパスワードを直接入力します。
         • 入力が必要な項目 : Account
      2. QueryPie - Password : QueryPieに保存されたパスワードを使用して自動ログインします。
         • 入力が必要な項目 : Account, Password
         • Admin > Servers > Configurations > Using One Time Accounts活性化時、Set As Provisioning Accountチェックボックスチェック可能
      3. QueryPie - SSH Key : QueryPieに登録されたSSH Keyを使用して自動ログインします。
         • 入力および選択が必要な項目 : Account, SSH Key
         • Admin > Servers > Configurations > Using One Time Accounts活性化時、Set As Provisioning Accountチェックボックスチェック可能
      4. QueryPie - Custom Account : サーバーアクセス時に事前に登録されたアカウントの代わりに、ユーザーがアカウント情報を直接入力してアクセスできるように許可します。ユーザーはアクセス時点に露出される入力フィールドにアカウントとパスワードを手動で入力する必要があります。
         • 入力が必要な項目 : Alias
         • Seamless SSH方式ではCustom Accountアクセスをサポートしません。
         • Server AgentがインストールされたWindows ServerではCustom Accountアクセスをサポートしません。
         • Server AgentがないWindows ServerではCustom Accountでのみアクセスできます。
   2. ProvisioningおよびOne Time Account
      1. Admin > Servers > ConfiguresでPassword ProvisioningとUsing One Time Accountsが活性化されていなければカテゴリ項目が表示されます。
      2. QueryPie - Provisioning : QueryPieに登録されたアカウントをProvisioning用途で使用します。
         • 入力が必要な項目 : Account
         • Admin > Servers > Configurations > Using One Time Accounts活性化時、Set As Provisioning Accountチェックボックスチェック可能
      3. Active Directory - Provisioning : Active DirectoryアカウントをProvisioning用途で使用します。
         • 入力および選択が必要な項目 : Account, Secret Store
      4. QueryPie - One Time Account : ユーザーがサーバーにアクセスする期間のみ有効な一回用一時アカウントのための用途で使用します。
         • 入力が必要な項目 : Account
         • 必須条件: One Time Accountを使用するには必ずサーバーグループ内にProvisioningアカウントがまず指定されていなければなりません。
   3. Secret Store連携 (Hashicorp Vault)
      1. Admin > General > Security > Secret Storesが活性化されていなければカテゴリ項目が表示されます。
      2. Vault - K/V - Password **** : Vault K/Vエンジンに保存されたパスワードを使用します。
         • 入力および選択が必要な項目 : Alias, Secret Store, Account Path, Password Path
           • Secret Store : エンジンタイプがK/Vタイプの項目のみフィルタされて表記されます。
         • サーバーグループにAccount情報登録時、Secret Store連携情報を活用すると事前指定されたSecret Store認証情報連携を通じてコネクションにアクセスできます。事前にサーバー認証情報をSecret Storeに保存し、サーバーリモートアクセス時にユーザーがSecret Storeに保存されたサーバー認証情報を活用してアクセスすることで、サーバー認証情報に対するセキュリティを強化できます。Server Groupsが指定されたServerはServer Groupsと同じSecret Storeを使用するように強制されます。
         • Alias項目に利用者たちに露出されるサーバーアカウント名を入力します。
      3. Vault - K/V - SSH Key **** : Vault K/Vエンジンに保存されたSSH Keyを使用します。
         • 入力および選択が必要な項目 : Alias, Secret Store, Account Path, SSH Key Path
           • Secret Store : エンジンタイプがK/Vタイプの項目のみフィルタされて表記されます。
      4. Vault - SSH - OTP **** : VaultのSSH OTPエンジンを使用します。
         • 入力および選択が必要な項目: Account, Secret Store, Vault Role Path
           • Secret Store : エンジンタイプがOTPタイプの項目のみフィルタされて表記されます。
         • Hashicorp VaultのSSH OTPエンジンを使用して、Passwordless形態でサーバーアカウントを管理できます。ただし、サーバーにvaultのserver agentであるvault-ssh-helperをインストールする必要があります。詳細ガイドはHashicorp Vault公式ガイド を参考にしてください。
      5. Vault - SSH - CA **** : VaultのSSH CAエンジンを使用します。
         • 入力および選択が必要な項目: Account, Secret Store, Vault Role Path
           • Secret Store : エンジンタイプがCAタイプの項目のみフィルタされて表記されます。
         • Hashicorp VaultのSSH CAエンジン(Signed SSH certificates)を使用して、Passwordless形態でサーバーアカウントを管理できます。ただし、vault caエンジンで発行したPublic KeyをアクセスするサーバーのTrustedUserCAKeysに追加する必要があります。詳細ガイドはHashicorp Vault公式ガイド を参考にしてください。

{
"permit-port-forwarding": "",
"permit-pty": ""
}

4. Server Group Owner登録

サーバーグループオーナーを登録してWorkflowの承認者で指定できます。

1. 右上のAssign OwnersボタンをクリックするとUserおよびUser Groupを表示するポップアップが表示されます。
2. 該当ポップアップ窓でサーバーグループオーナーで指定するUserまたはUser Groupを選択後Saveボタンをクリックします。
3. 該当サーバーグループにオーナーで指定されたUserまたはUser Groupを確認できます。
4. Save Changesボタンを通じて保存します。

5. Server Group Member登録

サーバーグループメンバーを登録して利用者別Workflowで表示されるServer Groupを指定できます。

1. 右上のAssign MembersボタンをクリックするとUserおよびUser Groupを表示するポップアップが表示されます。
2. 該当ポップアップ窓でサーバーグループメンバーで指定するUserまたはUser Groupを選択後Saveボタンをクリックします。
3. 該当サーバーグループにメンバーで指定されたUserまたはUser Groupを確認できます。
4. Save Changesボタンを通じて保存します。