📣 Teleport의 공식 파트너 인포그랩에서 OpenAI 기술 기반으로 자체 개발한 자동화 번역 프로그램을 통해 Teleport 공식 문서(v17.0.0)의 한글판을 국내 최초로 제공합니다.
Infograb logo
중첩 액세스 목록

중첩 액세스 목록은 하나의 액세스 목록을 다른 액세스 목록의 구성원이나 소유자로 포함할 수 있습니다.
이를 통해 여러 수준의 부모 액세스 목록에서 권한을 상속받을 수 있는 계층적 권한 구조를 만들 수 있습니다.

이 가이드는 여러분이 다음을 수행하는 데 도움을 줄 것입니다:

  • 액세스 목록에서 중첩 및 상속이 작동하는 방식 이해하기
  • 중첩 액세스 목록 만들기
  • 중첩 액세스 목록을 통해 부여된 상속 권한 확인하기

작동 방식

액세스 목록에서의 상속을 분해해 보겠습니다. 조직에서 가질 수 있는 두 개의 액세스 목록을 상상해 보십시오:
"엔지니어링 팀"과 "생산 액세스". "엔지니어링 팀"은 엔지니어 그룹을 나타내고,
"생산 액세스"는 생산 리소스에 대한 액세스를 부여하는 상위 수준의 액세스 목록입니다.

  • 구성원 상속: "엔지니어링 팀"이 "생산 액세스"의 구성원으로 추가되면,
    "엔지니어링 팀"의 모든 사용자들은 "생산 액세스"에서 구성원 권한(역할 및 특성)을 상속받습니다.
  • 소유자 상속: "엔지니어링 팀"이 "생산 액세스"의 소유자로 추가되면,
    "엔지니어링 팀"의 모든 사용자들은 "생산 액세스"에서 소유자 권한(역할 및 특성)을 상속받고,
    이를 수정하거나 구성원을 관리하는 등의 소유자 작업을 수행할 수 있습니다.

상속은 재귀적입니다 – "엔지니어링 팀"의 구성원들도 자신만의 구성원을 가진 액세스 목록일 수 있습니다.
그러나 순환 중첩은 허용되지 않으며, 중첩은 최대 10단계 깊이로 제한됩니다.

자세한 정보는 액세스 목록 참조를 참조하십시오.

필수 조건

  • 실행 중인 Teleport 클러스터. Teleport를 시작하려면 가입하여 무료 평가판을 이용해 보십시오.

  • tctl 관리자 도구 및 tsh 클라이언트 도구.

    tctltsh 다운로드에 대한 지침은 설치 를 방문하십시오.

  • 연결이 가능한지 확인하기 위해 tsh login 으로 로그인한 다음, 현재 자격 증명을 사용하여 tctl 명령어를 실행할 수 있는지 확인하십시오. 예를 들어: 
    tsh login --proxy=teleport.example.com --user=email@example.com
    tctl status
    클러스터  teleport.example.com
    버전  17.0.0-dev
    CA 핀   sha256:abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678
    클러스터에 연결할 수 있고 tctl status 명령어를 실행할 수 있다면, 현재 자격 증명을 사용하여 워크스테이션에서 후속 tctl 명령어를 실행할 수 있습니다.
    자신의 Teleport 클러스터를 호스팅하는 경우, Teleport Auth Service를 호스팅하는 컴퓨터에서 전체 권한으로 tctl 명령어를 실행할 수도 있습니다.
  • 기본 editor 역할 또는 동등한 권한(액세스 목록 읽기, 생성 및 관리 기능)이 있는 사용자.
  • 기본 액세스 목록 개념에 대한 이해 (자세한 내용은 액세스 목록 가이드 시작하기 참고).
  • 액세스 목록에 추가할 requester 역할을 가진 사용자 최소 1명.
  • 액세스를 부여할 최소 1개의 애플리케이션 또는 리소스.

중첩 액세스 목록을 생성하고 상속을 설정하는 과정을 살펴보겠습니다. 이 예제에서는
상위 액세스 목록인 "생산 액세스"에서 권한을 상속받는 자식 액세스 목록인 "엔지니어링 팀"을 생성합니다.

1/3단계. 자식 액세스 목록 만들기

Teleport 웹 UI에서 "Identity" 탭으로 이동하여 사이드바에서 "Access Lists"를 선택합니다.
"새 액세스 목록 생성"을 클릭하고 세부정보를 입력합니다:

  • 제목: 엔지니어링 팀
  • 첫 번째 검토 마감일: 미래 날짜 선택.
  • 구성원 권한: 이 필드는 비워두십시오, 목록이 부모의 구성원 권한을 상속받을 예정입니다.
  • 소유자: 자신 또는 적절한 사용자를 소유자로 추가합니다.
  • 구성원: 이 액세스 목록의 일부가 되어야 할 사용자 추가하기, 예: test-user .

"액세스 목록 생성"을 클릭하여 액세스 목록을 저장합니다.

2/3단계. 상위 액세스 목록 만들기

"액세스 목록" 페이지에서 "새 액세스 목록 생성"을 클릭하고 상위 목록의 세부정보를 입력합니다:

  • 제목: 생산 액세스
  • 첫 번째 검토 마감일: 미래 날짜 선택.
  • 구성원 권한: access 역할 추가.
  • 소유자: 자신 또는 적절한 사용자를 소유자로 추가합니다.
  • 구성원: 드롭다운에서 자식 액세스 목록인 '엔지니어링 팀' 선택.

"액세스 목록 생성"을 클릭하여 액세스 목록을 저장합니다.

3/3단계. 상속된 권한 확인

"엔지니어링 팀"의 구성원들이 "생산 접근"으로부터 상속된 구성원 권한을 가지고 있는지 확인하려면, 자식 접근 리스트의 구성원인 사용자(예: test-user )로 로그인합니다. 사용자가 이제 "엔지니어링 팀"과 "생산 접근" 모두에서 부여된 리소스에 접근할 수 있는지 확인합니다. 예를 들어, 디버깅 애플리케이션이 활성화된 Teleport 애플리케이션 서비스 인스턴스가 설정되어 있고, access 역할이 "생산 접근"을 통해 부여되었다면, "dumper" 애플리케이션이 사용자에게 보이어야 합니다.

다음 단계

Teleport 원문 보기
인포레터에서 최신 DevOps 트렌드를 격주로 만나보세요!