인포레터에서 최신 DevOps 트렌드를 격주로 만나보세요!
AWS IAM Identity Center (미리 보기)
Teleport의 AWS IAM Identity Center와의 통합 은 사용자의 단기 및 장기 AWS 계정 접근 및 권한을 조직하고 관리할 수 있게 해줍니다.
Identity Center 통합을 사용하면 Teleport Access Lists를 통해 AWS 계정 및 자원에 대한 지속적인 접근을 부여하거나 취소하거나, 일시적으로 높은 AWS 권한이 필요한 시나리오에 대해 Teleport Access Requests를 사용할 수 있습니다.
작동 원리
Identity Center 통합은 Teleport의 역할 기반 접근 제어, 즉시 접근 요청 및 Access Lists를 기반으로 구축됩니다.
활성화되면, Teleport는 Identity Center 사용자, 그룹 및 권한 세트 할당에 대한 소유권을 가집니다:
- 모든 Identity Center 그룹과 그 구성원, 계정 및 권한 할당이 Teleport의 Access Lists로 가져와집니다.
- Identity Center 계정 및 권한 할당은 Teleport 역할 정책으로 표현됩니다.
- Identity Center에 할당된 권한으로 Teleport 사용자 또는 Access Lists에 대한 변경 사항은 Identity Center에 반영됩니다.
장기 접근 관리를 위해, Teleport 클러스터 관리자는 Identity Center와 동기화된 Access Lists 소유자를 지정할 수 있으며, 이들은 사용자를 추가하거나 제거하고 정기적인 접근 검토를 수행하는 책임이 있습니다. 이러한 Access Lists에 추가되거나 제거된 사용자는 해당 Identity Center 그룹에 추가되거나 제거됩니다.
단기 접근의 경우, 사용자는 Teleport의 표준 Access Request 흐름을 통해 진행할 수 있으며, 이 경우 Teleport는 요청된 권한을 특정 사용자에게 할당하고, Access Request가 만료되면 자동으로 해제합니다.
Note
Teleport 17.0에서의 Identity Center 통합의 미리 보기 릴리스는 역할 Access Requests만 지원합니다.
특정 계정 또는 특정 자원에서 특정 권한 세트에 대한 접근을 요청할 수 있는 Resource Access Requests는 후속 릴리스에 추가될 것입니다.
전제 조건
- Teleport Enterprise 또는 Teleport Enterprise Cloud 클러스터 버전 17.0 이상.
- AWS IAM Identity Center에 대한 관리 접근 권한.
Warning
1/6단계. AWS 통합 구성
Teleport는 Identity Center 통합을 위한 안내 웹 UI 기반 구성 흐름을 제공합니다. 시작하려면, Teleport 클러스터 제어판의 "새 통합 추가" 페이지로 이동하여 "AWS Identity Center"를 선택하십시오.
이 단계에서는 Teleport를 AWS 계정의 OIDC 신원 공급자로 설정하고, Identity Center 계정, 사용자, 그룹, 권한 세트 할당을 가져오는 데 필요한 권한으로 AWS 역할을 생성해야 합니다.
// ListAccounts
organizations:ListAccounts
organizations:ListAccountsForParent
// ListGroupsAndMembers
identitystore:ListUsers
identitystore:ListGroups
identitystore:ListGroupMemberships
// ListPermissionSetsAndAssignments
sso:DescribeInstance
sso:DescribePermissionSet
sso:ListPermissionSets
sso:ListAccountAssignmentsForPrincipal
sso:ListPermissionSetsProvisionedToAccount
// CreateAndDeleteAccountAssignment
sso:CreateAccountAssignment
sso:DescribeAccountAssignmentCreationStatus
sso:DeleteAccountAssignment
sso:DescribeAccountAssignmentDeletionStatus
iam:AttachRolePolicy
iam:CreateRole
iam:GetRole
iam:ListAttachedRolePolicies
iam:ListRolePolicies
// AllowAccountAssignmentOnOwner
iam:GetSAMLProvider
// ListProvisionedRoles
iam:ListRoles
Identity Center 지역, ARN 및 통합 이름과 같은 필수 정보를 입력하고 Cloud Shell에서 생성된 명령을 실행하십시오.
스크립트가 실행된 후, 스크립트에서 생성된 역할의 ARN을 입력하십시오.
2/6단계. AWS 리소스 미리보기
다음 단계에서 Teleport가 귀하의 Identity Center에서 찾은 AWS 계정, 그룹 및 권한 세트 목록이 표시됩니다.
Access List에 할당할 기본 소유자를 선택하십시오. 이러한 리소스는 플러그인이 설치되면 Teleport에 가져옵니다.
3/6단계. ID 소스 구성
Warning
이 단계 이후, Teleport는 귀하의 Identity Center의 ID 공급자가 됩니다.
액세스 중단을 피하려면, 현재 Identity Center 외부 ID 소스로 사용하는 동일한 IdP를 사용하여 모든 기존 Identity Center 사용자가 귀하의 Teleport 클러스터에 액세스할 수 있도록 하는 것이 좋습니다.
지침에 따라 Identity Center의 ID 소스를 Teleport로 변경하십시오.
4/6단계. SCIM 활성화
마지막 단계는 Identity Center에서 SCIM 엔드포인트를 활성화하여 Teleport가 사용자 및 그룹 변경 사항을 전송할 수 있도록 하는 것입니다.
활성화한 후 SCIM 연결을 테스트하는 것을 잊지 마십시오.
5/6단계. 통합 검증
클러스터의 Access Lists 뷰 페이지로 이동하여 모든 Identity Center 그룹이 가져왔는지 확인하십시오.
Note
초기 동기화가 완료되기까지 몇 분이 걸릴 수 있습니다.
가져온 Access Lists는 해당 Identity Center 그룹과 동일한 구성원을 보여야 합니다.
6/6단계. AWS에 연결
통합이 성공적으로 실행되고 나면, 귀하의 리소스 중에 aws-identity-center 라는 애플리케이션이 표시됩니다:
이 앱의 "로그인" 버튼을 클릭하면 Identity Center SSO 시작 페이지로 이동하며, 여기에서 역할을 선택하고 일반적으로 AWS 계정에 연결할 수 있습니다.
사용 사례
Identity Center 통합으로 활성화된 몇 가지 일반적인 사용 사례를 살펴보겠습니다.
Access Lists를 통한 액세스 관리
Teleport는 Identity Center에서 발견된 각 그룹에 대한 Access List를 생성하며, 그룹 구성원이 Access List 구성원이 됩니다. 기본 Access List 소유자는 초기 통합 등록 흐름 동안 설정되며, 초기 동기화가 완료된 후 필요에 따라 조정할 수 있습니다.
가져온 각 Access List에는 해당 목록의 모든 구성원에게 특정 AWS 계정의 특정 권한 세트에 대한 액세스를 부여하는 역할(또는 역할 집합)이 자동으로 할당됩니다. 이러한 역할은 Teleport에 의해 생성된 시스템 역할로 간주되며 <permission-set-name>-on-<account-name> 규칙에 따라 명명됩니다(예: AdministratorAccess-on-my-account ).
이미 존재하는 Identity Center와 동기화된 Access List에 의해 부여된 권한을 사용자에게 주기 위해, 소유자는 해당 사용자를 구성원으로 추가할 수 있으며, 이를 통해 Teleport가 해당 사용자를 대응하는 Identity Center 그룹에 추가합니다.
Note
통합이 실행되는 동안, 모든 기존 Teleport 사용자들은 Identity Center와 동기화됩니다.
Identity Center와 동기화된 Access List에서 구성원을 제거하면, 해당 사용자가 대응하는 Identity Center 그룹에서 제거되어 권한이 효과적으로 철회됩니다.
구성원 변경 외에도, Teleport는 Access List 권한의 변경 사항을 Identity Center로 전파합니다. 예를 들어, AdministratorAccess-on-my-account 와 ReadOnlyAccess-on-my-account 역할을 가진 Access List에서 하나의 부여된 역할이 제거되면, 해당 Identity Center 그룹의 할당도 accordingly 업데이트됩니다.
역할 액세스 요청 사용하기
단기 권한 상승을 위해 Identity Center 통합은 Teleport 액세스 요청과 함께 작동합니다.
Identity Center 권한을 부여하는 역할에 대한 액세스 요청이 승인되면, Teleport는 Identity Center에서 해당 사용자에 대한 개별 할당을 생성합니다. 할당은 액세스 요청이 만료되면 삭제됩니다.
Note
향후 버전에서는 Teleport가 다른 Teleport 리소스와 유사한 리소스 기반 액세스 요청 흐름을 사용하여 개별 권한 집합에 대한 액세스를 요청하는 것을 지원할 것입니다.
사용자 정의 Identity Center 역할 만들기
Identity Center 계정을 권한 집합에 연결하는 사용자 정의 역할을 만들 수 있습니다. 예를 들어:
kind: role
version: v7
metadata:
name: aws-dev-access
spec:
allow:
account_assignments:
- account: "<account_id>" # AWS Identity Center 계정 ID
name: AdministratorAccess # AWS에서 권한 집합의 이름
permission_set: arn:aws:sso:::permissionSet/ssoins-1234/ps-5678 # 권한 집합 ARN
- account: "<account_id>"
name: ReadOnlyAccess
permission_set: arn:aws:sso:::permissionSet/ssoins-1234/ps-8765
이 역할은 사용자에게 할당되거나 액세스 목록에 추가되거나
위에서 설명한 액세스 요청 흐름을 사용하여 사용자가 요청할 수 있습니다.
FAQ
어떤 액세스 목록이 Identity Center와 동기화됩니까?
Teleport는 역할 부여에 AWS 계정 및 권한 집합 규칙이 포함된 모든
액세스 목록을 Identity Center와 동기화합니다.
중첩 액세스 목록과 함께 어떻게 작동합니까?
Identity Center는 중첩 그룹을 지원하지 않습니다.
따라서 Teleport는 중첩 액세스 목록이 있는 액세스 목록을
동기화할 때 멤버 목록을 단순화합니다.
통합을 어떻게 제거합니까?
Warning
통합을 완전히 제거하기 전에 Identity Center에서 신원 소스를 변경해야 한다는 점을 기억하세요.
클러스터의 통합 목록으로 이동하여 AWS Identity Center 라는 통합을
둘 다 삭제하면 통합을 제거할 수 있습니다. 첫 등록 단계에서
생성된 AWS OIDC 통합은 플러그인이 제거되면 자동으로 삭제됩니다.
통합을 위해 생성된 AWS 리소스를 정리하려면,
AWS IAM 콘솔에서 Identity Provider와 해당 역할을 제거하세요.
다음 단계
- Identity Center 통합에서 사용되는
기본 Teleport 개념에 대해 자세히 알아보세요.
RBAC,
JIT 액세스 요청
및 액세스 목록과 같은. - Identity Center 통합과 함께
Okta에서 앱, 사용자 및 그룹을 동기화하는
Okta 통합을
활성화하는 방법을 알아보세요.