텔레포트 정책의 액세스 그래프 기능은 사용자, 역할 및 리소스 간의 관계를 보여줍니다.
이 기능은 노드 간의 경로를 보여줍니다. 경로는 노드 간의 관계를 의미합니다.
경로는 항상 다음과 같은 순서로 노드를 연결합니다:
리소스에 연결하기
- 사용자
- 사용자 그룹
- 작업
- 리소스 그룹
- 리소스
그래프 경로는 두 가지 범주로 나눌 수 있습니다:
- 허용 경로
허용 경로는 신원을 리소스에 연결합니다. 이 경로는 신원이 어떤 리소스에 접근할 수 있는지와 어떤 작업을 수행할 수 있는지를 보여줍니다.
- 거부 경로
거부 경로는 신원을 리소스에 연결합니다. 이 경로는 신원이 어떤 리소스에 접근할 수 없는지와 어떤 작업을 수행할 수 없는지를 보여줍니다. 거부 경로는 허용 경로보다 우선합니다.
리소스와 신원의 표현
액세스 그래프는 텔레포트의 모든 리소스와 신원을 가져오고 이를 최신 상태로 유지하므로, 텔레포트 리소스를 변경할 때마다 그래프가 이러한 변경 사항을 반영합니다.
신원
사용자는 텔레포트 사용자로부터 생성됩니다.
로컬 사용자는 생성되자마자 가져옵니다.
외부 사용자(예: GitHub, SAML 등의 인증 커넥터로부터 생성된 사용자)는 처음 로그인할 때 가져옵니다.
사용자 그룹
사용자 그룹은 텔레포트 역할과 액세스 요청으로부터 생성됩니다.
역할은 그 역할을 가진 사용자들로 구성된 사용자 그룹을 만듭니다.
액세스 요청은 수락된 액세스 요청을 통해 액세스를 얻은 사용자들로 구성된 임시 사용자 그룹을 만듭니다.
작업
작업은 텔레포트 역할로부터 생성됩니다.
작업은 세 가지 범주로 나눌 수 있습니다:
- 허용 작업
허용 작업은 텔레포트 역할로부터 생성됩니다. 허용 작업은 사용자가 수행할 수 있는 작업입니다.
예를 들어, 사용자는 노드에 SSH 접속을 할 수 있습니다.
- 거부 작업
거부 작업은 텔레포트 역할로부터 생성됩니다. 거부 작업은 사용자가 수행할 수 없는 작업입니다.
예를 들어, 사용자는 노드에 SSH 접속을 할 수 없습니다. 거부 작업은 허용 작업보다 우선합니다.
- 임시 작업
임시 작업은 사용자가 리소스에 임시로 액세스 권한을 부여받을 때 생성됩니다.
사용자의 액세스가 만료될 때 자동으로 삭제됩니다. 임시 작업은 Temporary: true 속성이 있어 식별할 수 있습니다.
리소스 그룹
리소스 그룹은 텔레포트 역할로부터 생성됩니다.
리소스
리소스는 노드, 데이터베이스, 쿠버네티스 클러스터와 같은 텔레포트 리소스로부터 생성됩니다.
다음 단계
- 텔레포트 정책에서 권한, 사용 권한 및 SQL 쿼리 작성을 알아보세요.