Teleport 정책은 전체 인프라에서 접근 관리를 간소화하고 중앙 집중화합니다. 사용자는 모든 사용자, 그룹 및 컴퓨팅 리소스 간의 통합된 최신 관계와 정책을 즉시 확인할 수 있습니다.
Access Graph와 함께 사용하는 Teleport 정책은 AWS 계정 내의 액세스 패턴에 대한 통찰력을 제공합니다. IAM 권한, 사용자, 그룹, 리소스 및 ID를 스캔하여 시각적 표현을 제공하고 AWS 환경 내에서 권한 모델을 향상시키는 데 도움을 줍니다. 이 기능은 다음과 같은 질문을 해결하는 데 유용합니다:
- AWS 사용자 및 역할이 접근할 수 있는 리소스는 무엇인가요?
- EC2 인스턴스와 연결된 ID를 통해 접근할 수 있는 리소스는 무엇인가요?
- Teleport 사용자가 EC2 노드에 연결할 때 접근할 수 있는 AWS 리소스는 무엇인가요?
AWS 계정 내에서 IAM 권한을 분석하기 위해 Access Graph를 활용하려면 Access Graph (AG) 서비스와 Discovery Service를 설정하고 AWS 계정과 통합해야 합니다.
Access Graph는 Teleport 정책 제품의 기능으로 Teleport Enterprise 고객이 이용할 수 있습니다.
Teleport UI에 로그인한 후 관리 탭으로 이동합니다. 활성화된 경우, 액세스 그래프 옵션은 권한 관리 섹션 아래에서 찾을 수 있습니다.
작동 방식
Access Graph는 AWS 액세스 패턴을 발견하고 IAM 정책, 그룹, 사용자, 사용자 그룹, EC2 인스턴스, EKS 클러스터, RDS 데이터베이스와 같은 다양한 AWS 리소스를 동기화합니다. 이러한 리소스는 Teleport 정책 사용 페이지에 자세히 설명된 그래프 표현을 사용하여 시각화됩니다.
가져오기 프로세스는 두 가지 주요 단계로 구성됩니다:
클라우드 API 폴링
Teleport Discovery Service는 구성된 AWS 계정을 지속적으로 스캔합니다. 15분 간격으로 AWS 계정에서 다음 리소스를 검색합니다:
- 사용자
- 그룹
- 사용자 그룹
- IAM 역할
- IAM 정책
- EC2 인스턴스
- EKS 클러스터
- RDS 데이터베이스
- S3 버킷
필요한 모든 리소스가 검색되면 Teleport Discovery Service는 이를 Access Graph에 푸시하여 AWS 환경의 최신 정보를 유지합니다.
리소스 가져오기
Teleport 정책의 Access Graph 기능은 AWS 계정에서 가져온 IAM 정책, ID 및 리소스를 탐색하여 이를 그래픽 표현으로 만듭니다.
사전 요구 사항
- 실행 중인 Teleport Enterprise 클러스터 v14.3.9/v15.2.0 이상.
- 자체 호스팅 클러스터의 경우, Teleport 정책이 활성화된 업데이트된
license.pem. - 자체 호스팅 클러스터의 경우, 실행 중인 Access Graph 노드 v1.17.0 이상. Access Graph 설정 방법에 대한 자세한 내용은 Access Graph 페이지를 참조하세요.
- Access Graph 서비스가 Teleport Auth Service 및 Discovery Service에서 도달 가능해야 합니다.
1단계/2. Discovery Service 구성 (자체 호스팅 전용)
관리형 Teleport Enterprise 클러스터가 있는 경우, 이 단계를 무시할 수 있습니다. 관리형 Teleport Enterprise는 이미 클러스터 내에서 제대로 구성된 Discovery Service를 운영하고 있습니다.
Teleport Discovery Service를 활성화하려면 제공된 스니펫을 Auth Service 구성에 추가합니다. 이 서비스는 discovery_group과 일치하는 동적 discovery_config 리소스를 모니터링합니다.
discovery_service:
enabled: true
discovery_group: access-graph-disc
클러스터 내에서 이미 Discovery Service를 운영 중인 경우, 다음 요구 사항이 충족된다면 재사용할 수 있습니다:
- 2단계에서 기존 Discovery Service의
discovery_group과discovery_group을 일치시킵니다. - Access Graph 서비스가 Discovery Service가 실행 중인 기계에서 도달 가능해야 합니다.
2단계/2. Access Graph AWS 동기화 설정
AWS 동기화를 구성하기 위한 설정 마법사를 시작하려면 Teleport UI에 접근하여 관리 탭으로 이동한 뒤 권한 관리 섹션 내의 Access Graph 옵션을 선택합니다.
Teleport와 Access Graph가 AWS 동기화를 지원하면 Access Graph 내비게이션 바 옆에 '액세스 그래프와 함께 AWS IAM 정책 분석'이라는 새 버튼이 나타납니다.
아직 통합을 구성하지 않은 경우 새 Teleport AWS 통합을 생성하라는 메시지가 표시됩니다. 이전에 설정한 통합을 선택할 수도 있습니다.
통합을 선택하거나 생성한 후, 필요한 권한을 구성하기 위해 AWS Cloud Shell 내에서 bash 스크립트를 실행하라는 지시를 받게 됩니다.
정책은 Teleport가 AWS 계정 내의 리소스에서 정보를 접근하고 검색할 수 있도록 설계된 일련의 읽기 전용 작업으로 구성됩니다.
IAM 정책에는 다음 지시어가 포함됩니다:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeImages",
"ec2:DescribeTags",
"ec2:DescribeSnapshots",
"ec2:DescribeKeyPairs",
"eks:ListClusters",
"eks:DescribeCluster",
"eks:ListAccessEntries",
"eks:ListAccessPolicies",
"eks:ListAssociatedAccessPolicies",
"eks:DescribeAccessEntry",
"rds:DescribeDBInstances",
"rds:DescribeDBClusters",
"rds:ListTagsForResource",
"rds:DescribeDBProxies",
"dynamodb:ListTables",
"dynamodb:DescribeTable",
"redshift:DescribeClusters",
"redshift:Describe*",
"s3:ListAllMyBuckets",
"s3:GetBucketPolicy",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetBucketTagging",
"iam:ListUsers",
"iam:GetUser",
"iam:ListRoles",
"iam:ListGroups",
"iam:ListPolicies",
"iam:ListGroupsForUser",
"iam:ListInstanceProfiles",
"iam:ListUserPolicies",
"iam:GetUserPolicy",
"iam:ListAttachedUserPolicies",
"iam:ListGroupPolicies",
"iam:GetGroupPolicy",
"iam:ListAttachedGroupPolicies",
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:ListRolePolicies",
"iam:ListAttachedRolePolicies",
"iam:GetRolePolicy",
"iam:ListSAMLProviders",
"iam:GetSAMLProvider",
"iam:ListOpenIDConnectProviders",
"iam:GetOpenIDConnectProvider"
],
"Resource": "*"
}
]
}
IAM 정책이 Teleport에서 사용되는 IAM 역할에 성공적으로 연결되면, Teleport가 리소스를 가져올 지역을 지정하라는 알림이 표시됩니다. 이 선택은 지역 리소스에만 해당하며, S3 버킷, IAM 정책 또는 IAM 사용자와 같은 글로벌 리소스에는 영향을 미치지 않습니다.
자체 호스팅 클러스터를 운영하는 경우,
1단계에서 구성한 discovery_group에 대한 입력도 제공해야 합니다.