📣 Teleport의 공식 파트너 인포그랩에서 OpenAI 기술 기반으로 자체 개발한 자동화 번역 프로그램을 통해 Teleport 공식 문서(v17.0.0)의 한글판을 국내 최초로 제공합니다.
Infograb logo
Access Graph Crown Jewels로 권한 변경 보기

Access Graph의 Crown Jewel 기능은 가장 민감한 사용자 또는 리소스에 대한 접근 변경을 추적할 수 있도록 해줍니다. 리소스를 Crown Jewel로 표시하면, 해당 리소스에 대한 접근이 변경될 때마다 Teleport가 감사 이벤트를 생성합니다.

이 가이드는 Crown Jewels를 구성하는 방법, 리소스를 Crown Jewel로 표시하는 방법, 그리고 이러한 리소스에 대한 권한 변경을 보는 방법을 보여줍니다.

전제 조건

  • 실행 중인 Teleport Enterprise 클러스터 v16.2.0 이상.
  • 자체 호스팅 클러스터의 경우, Teleport Policy가 활성화된 업데이트된 license.pem 파일.
  • 자체 호스팅 클러스터의 경우, 실행 중인 Access Graph 노드 v1.24.0 이상. Access Graph 설정 방법에 대한 자세한 내용은 Access Graph 페이지를 확인하세요.

Access Graph는 Teleport Enterprise 에디션 고객이 사용할 수 있는 Teleport Policy 제품의 기능입니다.

Teleport UI에 로그인한 후, Management 탭으로 이동합니다. 활성화된 경우, Access Graph 옵션은 Permission Management 섹션 아래에서 찾을 수 있습니다.

필수 RBAC 권한

Crown Jewels를 생성하고 보려면 다음 RBAC 권한이 필요합니다:

kind: role
metadata:
  name: crown-jewels-admin
spec:
  allow:
    rules:
    - resources:
      - crown_jewel
      verbs:
      - *
version: v7

Crown Jewel 생성하기

Crown Jewel을 생성하려면 리소스나 사용자를 중요하다고 표시해야 합니다. 마크된 리소스 및 사용자에 대한 변경 사항만 Teleport Policy에 기록됩니다. 리소스나 사용자를 Crown Jewel로 표시하려면 Access Graph를 열고 "Crown Jewels" 탭으로 이동합니다.

"Crown Jewel 생성"을 클릭하고 중요하게 표시할 리소스나 사용자를 선택합니다.

Crown Jewel의 이름을 선택하고 "생성"을 클릭합니다.

Crown Jewel이 이제 생성되었으며, Crown Jewels 목록에서 확인할 수 있습니다. Access Graph는 이제 Teleport의 감사 로그에 감사 이벤트를 생성하고 "Crown Jewels" 메뉴의 "Access Changes" 탭에 새로운 항목을 추가합니다. 리소스 또는 사용자에 대한 접근 경로가 변경될 때마다 새로운 항목이 추가됩니다.

권한 변경 보기

권한 변경을 보려면 Access Graph를 열고 "Crown Jewels" 탭으로 이동합니다. 여기에서 모든 Crown Jewels 목록과 그에 대한 변경 사항을 볼 수 있습니다.

생성된 변경 사항은 제거된 노드에 "-" 표시, 추가된 노드에 "+" 표시하는 diff 형식으로 나타납니다. Crown Jewel에 변경이 있을 때마다 새로운 항목이 목록에 추가되고 Teleport 감사 로그에 감사 이벤트가 생성됩니다.

감사 이벤트

Crown Jewel에 변경이 있을 때마다 Teleport 감사 로그에 감사 이벤트가 생성됩니다. 다음은 감사 이벤트의 예시입니다:

{
  "affected_resource_name": "bob",
  "affected_resource_source": "TELEPORT",
  "affected_resource_type": "teleport_node",
  "change_id": "0110b3c4-d0b5-4af9-8585-aa49a064c85d",
  "cluster_name": "ssh-node",
  "code": "TAG001I",
  "ei": 0,
  "event": "access_graph.access_path_changed",
  "time": "2024-09-20T19:50:38.194Z",
  "uid": "5447d050-699a-4009-a901-ab8ed2614bc2"
}

이벤트 핸들러를 사용하여 감사 이벤트를 내보낼 수 있습니다. 설정 방법에 대한 내용은 여기를 참조하세요.

Teleport 원문 보기
인포레터에서 최신 DevOps 트렌드를 격주로 만나보세요!