Teleport 정책은 조직의 인프라 전반에 걸친 접근 제어를 시각화하고 관리하기 위한 프레임워크를 제공합니다.
이 인터페이스는 관리자가 잠재적인 보안 위험, 예를 들어 지나치게 광범위한 권한이나 충돌하는 역할을 신속하게 식별하고 해결할 수 있도록 하여, 최소 권한 원칙에 따라 접근이 허용되도록 합니다.
Teleport 정책 기능 사용 방법
Teleport 정책의 Access Graph 기능은 다음과 같은 질문에 답하는 데 도움을 줄 수 있습니다:
- 특정 리소스에 접근할 수 있는 사람은 누구입니까?
리소스에 대한 접근 권한이 있는 사람을 결정하고 접근 권한을 부여하는 경로를 이해하세요:
- 특정 사용자가 접근할 수 있는 리소스는 무엇입니까?
한눈에 사용자가 접근할 수 있는 모든 리소스를 볼 수 있습니다:
탐색
왼쪽 메뉴에는 주요 탐색 옵션이 포함되어 있습니다:
- 그래프 보기
- 검색
- SQL 편집기
- 통합
그래프 보기
그래프 보기는 신원과 리소스 간의 연결을 보여주는 주요 보기입니다. 기본적으로 신원별로 그룹화된 접근 경로의 집계된 뷰가 표시됩니다.
검색
그래프 노드를 검색하려면 페이지 상단의 검색 창이나 오른쪽의 검색 아이콘을 사용하세요:
그런 다음 모든 노드 유형과 모든 가져온 엔터티를 검색할 수 있습니다.
그래프 노드
Access Graph는 인프라를 여섯 가지 주요 컴포넌트로 나눕니다:
- 신원
신원은 귀하의 인프라에 접근할 수 있는 행위자입니다. 그들은 직원, 계약자, 기계 또는 봇일 수 있습니다.
오른쪽에 있는 숫자는 "상시 권한"을 보여줍니다. 상시 권한은 신원이 접근 요청을 생성하지 않고 접근할 수 있는 리소스의 수입니다.
- 사용자 그룹
신원 그룹은 신원의 모음입니다. 이는 역할 또는 팀에 따라 사용자를 조직하는 데 사용될 수 있으며, 중첩될 수 있습니다.
- 작업
작업은 신원이 할 수 있거나 할 수 없는 일입니다. 작업은 리소스와 관련이 있습니다. 예를 들어, 사용자가 노드에 SSH로 접속할 수 있습니다.
- 거부 작업
거부 작업은 신원이 할 수 없는 일입니다. 거부 작업은 리소스와 관련이 있습니다. 예를 들어, 사용자가 노드에 SSH로 접속할 수 없습니다.
- 리소스 그룹
리소스 그룹은 리소스의 모음입니다. 이는 역할이나 팀에 따라 리소스를 조직하는 데 사용될 수 있습니다.
오른쪽에 있는 숫자는 리소스 그룹이 포함하는 리소스의 수를 보여줍니다.
- 리소스
리소스는 사용자가 접근할 수 있거나 접근할 수 없는 것입니다. 그들은 서버, 데이터베이스 또는 Kubernetes 클러스터일 수 있습니다.
SQL 편집기
Access Graph는 그래프를 탐색하기 위해 SQL과 유사한 쿼리를 생성할 수 있습니다.
쿼리 언어는 그래프의 다양한 뷰를 생성하는 데 사용할 수 있습니다, 예를 들면:
허용된 경로만 표시:
SELECT * FROM access_path WHERE kind = 'ALLOWED';
거부된 경로만 표시:
SELECT * FROM access_path WHERE kind = 'DENIED';
사용자에 대한 모든 접근 경로 표시:
SELECT * FROM access_path WHERE identity = 'bob';
사용자와 리소스에 대한 모든 접근 경로 표시:
SELECT * FROM access_path WHERE identity = 'bob' AND resource = 'postgres';
특정 레이블을 가진 리소스에 대한 모든 접근 경로 표시:
SELECT * FROM access_path WHERE resource_labels @> '{"key": "value"}';
더 많은 액션 가능 예시는 ? 아이콘 아래에서 확인할 수 있습니다.