Teleport 애플리케이션 액세스를 통해 AWS에 액세스하기

Teleport를 사용하여 AWS Management Console 및 AWS API를 보호할 수 있습니다. 이를 통해 Access Requests, Access Lists 및 identity locking과 같은 Teleport 기능을 사용하여 AWS 인프라에 대한 액세스를 관리할 수 있습니다. 사용자가 싱글 사인온 솔루션을 사용하여 인증할 때, Teleport를 구성하여 자동으로 다양한 AWS 액세스 수준을 제공할 수 있습니다.

이 가이드는 다음을 설명합니다:

Teleport를 통해 AWS Management Console에 액세스하는 방법.
Teleport를 통한 AWS Command Line Interface (CLI) 액세스.
Teleport를 통한 AWS SDK를 사용하여 애플리케이션에 액세스하는 방법.

이 설정에서 Teleport 애플리케이션 서비스는 하나 이상의 대상 IAM 역할을 가정할 수 있는 AWS IAM 역할을 갖습니다. Teleport 사용자는 Teleport 웹 UI 및 tsh를 통해 AWS Management Console 및 API에 액세스합니다. 사용자가 AWS Management Console을 방문하거나 AWS 클라이언트 애플리케이션을 사용하여 명령을 실행할 때, Teleport 애플리케이션 서비스는 사용자의 RBAC 권한을 확인하고, 권한이 있을 경우 사용자의 요청을 AWS로 전달합니다.

전제 조건

실행 중인 Teleport 클러스터 버전 이상. Teleport를 시작하려면, 가입하기 위해 무료 평가판에 등록하거나 데모 환경 설정하기를 참조하세요.
tctl 관리 도구와 tsh 클라이언트 도구.

tctl과 tsh 다운로드에 대한 지침은 설치를 방문하세요.

당신의 Teleport 클러스터에 연결할 수 있는지 확인하려면, tsh login으로 로그인한 다음 현재 자격 증명을 사용하여 tctl 명령어를 실행할 수 있는지 확인하십시오.

예를 들어:
```
tsh login --proxy=teleport.example.com --user=email@example.com
tctl status
클러스터  teleport.example.com
버전  16.2.0
CA 핀   sha256:abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678
```
클러스터에 연결하고 tctl status 명령어를 실행할 수 있다면, 현재 자격 증명을 사용하여 작업대에서 후속 tctl 명령어를 실행할 수 있습니다.

자신의 Teleport 클러스터를 호스팅하는 경우, Teleport 인증 서비스를 호스팅하는 컴퓨터에서 전체 권한으로 tctl 명령어를 실행할 수도 있습니다.
Teleport 애플리케이션 서비스를 실행할 AWS EC2 인스턴스 또는 Elastic Kubernetes Service (EKS) 클러스터. EC2 인스턴스는 Linux 배포판에서 실행되어야 합니다. 프로덕션 환경에서 이 가이드를 따르기 전에 절차에 익숙해지기 위해 새 데모 인스턴스 또는 EKS 클러스터에서 시작하는 것을 추천합니다.
연결할 AWS 계정에서 IAM 역할 및 정책을 생성할 수 있는 권한.
PATH에 aws 명령줄 인터페이스 (CLI) 도구. AWS CLI의 최신 버전을 설치하거나 업데이트하는 방법에 대한 문서를 읽으세요.
Teleport 애플리케이션 서비스를 EKS에서 실행할 계획이라면, Kubernetes 클러스터에서 실행 중인 IAM OIDC 공급자가 필요합니다. IAM OIDC 공급자를 생성하는 방법에 대한 내용은 AWS 문서를 참조하세요.

클러스터에서 IAM OIDC 공급자가 실행 중인지 확인하려면, 다음 aws 명령을 실행하고, eks-region를 EKS 클러스터가 실행되는 리전으로 설정하고 cluster-name을 Kubernetes 클러스터의 이름으로 설정하세요:
```
aws --region=eks-region eks describe-cluster --name cluster-name --query "cluster.identity.oidc.issuer" --output text
```
클러스터와 연결된 IAM OIDC 공급자가 있으면, 이 명령은 해당 ID를 인쇄합니다.

1단계/4. AWS IAM 구성

이 섹션에서 Teleport 애플리케이션 서비스가 AWS API를 프록시할 수 있도록 AWS IAM 리소스를 구성합니다.

가이드의 나머지 부분에서는 ExampleReadOnlyAccess라는 IAM 역할을 보호하다고 가정합니다. 이 역할은 AWS 리소스에 대한 읽기 전용 액세스를 허용하며, AWS 관리 ReadOnlyAccess 정책을 통해 설정됩니다. 이 가이드는 ExampleReadOnlyAccess 역할을 가진 데모 환경에서 따르는 것이 좋으며, 절차에 익숙해지면 프로덕션 AWS 역할을 보호하세요.

다음 리소스를 생성합니다:

Name	Resource	Function
`ExampleReadOnlyAccess`	IAM 역할	Teleport로 보호할 예제 역할.
`TeleportAWSAccess`	IAM 역할	AWS에 사용자의 요청을 프록시하기 위해 다른 역할을 가정할 수 있도록 애플리케이션 서비스에 권한을 부여합니다.
`AssumeRole`	IAM 정책	애플리케이션 서비스가 AWS로의 사용자 요청을 프록시하기 위해 다른 역할을 가정할 수 있도록 허용합니다.
`TeleportAWSAccess` (EC2 배포의 경우)	EC2 인스턴스 프로필	`TeleportAWSAccess` 역할을 EC2 인스턴스에 연결합니다.

Teleport 애플리케이션 서비스용 역할 생성하기

이 섹션에서는 Teleport 애플리케이션 서비스가 AWS API를 프록시하기 위해 다른 IAM 역할을 가정할 수 있도록 하는 IAM 역할을 생성합니다.

Teleport 애플리케이션 서비스가 생성할 역할을 가정할 수 있도록 신뢰 정책을 정의합니다.

app-service-tp.json이라는 파일을 생성합니다:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow", 
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

OIDC 발급자 ID를 가져옵니다. cluster-name를 EKS 클러스터의 이름으로 설정하고 eks-region을 EKS 클러스터가 실행 중인 AWS 리전으로 설정합니다:

aws --region=eks-region eks describe-cluster --name cluster-name --query "cluster.identity.oidc.issuer" --output text | grep -Eo "[A-Z0-9]+$"

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

다음과 같은 내용으로 app-service-tp.json이라는 파일을 만듭니다. oidc-issuer를 방금 가져온 발급자 문자열로, EKS_ACCOUNT를 EKS 클러스터에 속하는 AWS 계정의 ID로 설정합니다:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Federated": "arn:aws:iam::EKS_ACCOUNT:oidc-provider/oidc.eks.EKS_REGION.amazonaws.com/id/OIDC_ISSUER"
            },
            "Action": "sts:AssumeRoleWithWebIdentity",
            "Condition": {
                "StringEquals": {
                    "oidc.eks.EKS_REGION.amazonaws.com/id/OIDC_ISSUER:aud": "sts.amazonaws.com",
                     "oidc.eks.EKS_REGION.amazonaws.com/id/OIDC_ISSUER:sub": "system:serviceaccount:teleport-agent:teleport-kube-agent"
                }
            }
        }
    ]
}

나중에 이 가이드에서 Teleport 애플리케이션 서비스를 배포하기 위해 Helm 차트를 설치합니다. 이 차트는 teleport-kube-agent라는 서비스 계정에 Teleport pod를 배정합니다. 이 신뢰 정책은 teleport-agent 네임스페이스의 이 서비스 계정을 가진 워크로드가 이 섹션에서 생성한 IAM 역할을 가정할 수 있도록 허용합니다.

Teleport 애플리케이션 서비스용 역할을 생성합니다:

aws iam create-role --role-name "TeleportAWSAccess" \--assume-role-policy-document file://app-service-tp.json

ExampleReadOnlyAccess 역할의 ARN을 가져옵니다:

ROLE_ARN=$(aws iam get-role --role-name ExampleReadOnlyAccess --query "Role.Arn" --output text)

Teleport 애플리케이션 서비스가 ExampleReadOnlyAccess 역할을 가정할 수 있도록 허용하는 IAM 정책을 정의합니다:

cat<<EOF > teleport-assume-role.json{ "Version": "2012-10-17",  "Statement": [    {      "Effect": "Allow",      "Action": "sts:AssumeRole",      "Resource": "${ROLE_ARN}"    }  ]}EOF

POLICY_ARN=$(aws iam create-policy --policy-name=AssumeExampleReadOnlyRole \--policy-document file://teleport-assume-role.json | jq -r '.Policy.Arn')
aws iam attach-role-policy --role-name TeleportAWSAccess \--policy-arn ${POLICY_ARN}

Teleport 사용자 요청을 위한 역할 구성하기

이 섹션에서는 Teleport 사용자가 AWS API에 요청할 때 액세스를 요청할 수 있는 역할을 생성합니다. Teleport 애플리케이션 서비스는 요청을 프록시할 때 이 역할을 가정합니다:

Teleport 애플리케이션 서비스를 실행할 AWS 계정의 AWS 자격 증명을 가져와서 터미널 셸에서 사용할 수 있도록 합니다.
보호할 역할에 대한 신뢰 정책 문서를 생성합니다. 이렇게 하기 위해, ro-access.json이라는 파일을 생성하고, AWS_ACCESS_ACCOUNT를 Teleport 애플리케이션 서비스를 실행할 AWS 계정의 ID로 바꿉니다:
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::AWS_ACCESS_ACCOUNT:role/TeleportAWSAccess"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```
이 가이드에서 보여준 설정에서는 Teleport 애플리케이션 서비스가 TeleportAWSAccess 역할을 가정한 다음, 해당 역할을 사용하여 ExampleReadOnlyAccess 역할을 가정합니다. 위의 신뢰 정책을 사용하면 AWS가 이 작업을 권한 부여 합니다.
애플리케이션 서비스를 다른 AWS 계정의 IAM 역할에 대한 프록시 액세스를 구성하는 경우, 애플리케이션 서비스가 실행되는 AWS 계정의 외부 ID를 확인하는 것이 좋습니다. 신뢰 정책에 외부 ID를 추가하려면, EXTERNAL_ID를 외부 ID로 설정하세요:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::AWS_ACCESS_ACCOUNT:role/TeleportAWSAccess" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "EXTERNAL_ID" } } } ] }
외부 ID에 대한 자세한 내용은 AWS 문서를 참조하세요.

다음 명령어를 실행하여 ExampleReadOnlyAccess 역할을 생성합니다:

aws iam create-role --role-name "ExampleReadOnlyAccess" \--assume-role-policy-document file://ro-access.json

역할에 추가할 AWS 관리 ReadOnlyAccess 정책의 ARN을 가져옵니다:

ARN=$(aws iam list-policies --output text --query "Policies[?PolicyName=='ReadOnlyAccess'].Arn")

역할에 ReadOnlyAccess 정책을 연결합니다:

aws iam attach-role-policy --role-name ExampleReadOnlyAccess --policy-arn $ARN

Teleport 애플리케이션 서비스를 역할에 연결하기

이제 Teleport 애플리케이션 서비스용 역할을 만들었으므로 이를 서비스와 연결합니다.

이 섹션에서는 Teleport 애플리케이션 서비스를 설치할 EC2 인스턴스의 인스턴스 프로필에 TeleportAWSAccess 역할을 추가합니다.

인스턴스 프로필을 생성합니다:

aws iam create-instance-profile --instance-profile-name TeleportAWSAccess

프로필에 TeleportAWSAccess 역할을 추가합니다:

aws iam add-role-to-instance-profile \--instance-profile-name TeleportAWSAccess \--role-name TeleportAWSAccess

Teleport 애플리케이션 서비스를 설치할 EC2 인스턴스의 ID를 가져옵니다.

다음 명령을 실행하여 새 인스턴스 프로필을 인스턴스와 연결합니다:

aws ec2 associate-iam-instance-profile --iam-instance-profile Name="TeleportAWSAccess" \--instance-id INSTANCE_ID --region AWS_REGION

Teleport 애플리케이션 서비스에서 사용하는 서비스 계정에 TeleportAWSAccess 역할을 가정하도록 주석을 추가합니다:

kubectl annotate serviceaccount \-n teleport-agent \teleport-kube-agent eks.amazonaws.com/role-arn=arn:aws:iam::EKS_ACCOUNT:role/TeleportAWSAccess

2단계/4. Teleport IAM 역할 매핑 구성

이 단계에서는 이전 단계에서 생성한 ExampleReadOnlyAccess IAM 역할에 대한 액세스를 부여하는 Teleport 역할을 정의합니다.

aws-ro-access.yaml이라는 파일을 다음 내용으로 생성합니다. AWS_ACCOUNT를 ExampleReadOnlyAccess 역할을 생성한 계정의 ID로 바꿉니다:
```
kind: role
version: v5
metadata:
  name: aws-ro-access
spec:
  allow:
    app_labels:
      '*': '*'
    aws_role_arns:
    - arn:aws:iam::AWS_ACCOUNT:role/ExampleReadOnlyAccess
```
Teleport 역할 aws-ro-access는 사용자가 AWS Management Console에 방문하거나 AWS API에 요청할 수 있게 해줍니다.
역할을 생성합니다:
```
tctl create aws-ro-access.yaml
```
aws-ro-access 역할을 Teleport 사용자에게 할당하려면 인증 제공자에 맞는 적절한 명령어를 실행하세요:
1. 로컬 사용자의 역할을 콤마로 구분된 목록으로 가져옵니다:
  
  ROLES=$(tsh status -f json | jq -r '.active.roles | join(",")')
2. 로컬 사용자를 편집하여 새로운 역할을 추가합니다:
  
  tctl users update $(tsh status -f json | jq -r '.active.username') \ --set-roles "${ROLES?},aws-ro-access"
3. Teleport 클러스터에서 로그아웃한 후 새로운 역할을 asum 하기 위해 다시 로그인합니다.
1. github 인증 커넥터를 가져옵니다:
  
  tctl get github/github --with-secrets > github.yaml
  
  --with-secrets 플래그는 spec.signing_key_pair.private_key의 값을 github.yaml 파일에 추가합니다. 이 키는 민감한 값을 포함하고 있기 때문에, 리소스를 업데이트한 후 즉시 github.yaml 파일을 제거해야 합니다.
2. github.yaml을 편집하고 teams_to_roles 섹션에 aws-ro-access을 추가합니다.
  
  이 역할에 매핑할 팀은 귀하의 조직에서 어떻게 역할 기반 접근 제어(RBAC)를 설계했느냐에 따라 달라집니다. 하지만 팀에는 귀하의 사용자 계정이 포함되어야 하며, 조직 내에서 가능한 한 작은 팀이어야 합니다.
  
  여기에 예시가 있습니다:
  
  teams_to_roles: - organization: octocats team: admins roles: - access + - aws-ro-access
3. 변경 사항을 적용합니다:
  
  tctl create -f github.yaml
4. Teleport 클러스터에서 로그아웃한 후 새로운 역할을 assum 하기 위해 다시 로그인합니다.
1. saml 구성 리소스를 가져옵니다:
  
  tctl get --with-secrets saml/mysaml > saml.yaml
  
  --with-secrets 플래그는 spec.signing_key_pair.private_key의 값을 saml.yaml 파일에 추가합니다. 이 키는 민감한 값을 포함하고 있기 때문에, 리소스를 업데이트한 후 즉시 saml.yaml 파일을 제거해야 합니다.
2. saml.yaml을 편집하고 attributes_to_roles 섹션에 aws-ro-access을 추가합니다.
  
  이 역할에 매핑할 속성은 귀하의 조직에서 어떻게 역할 기반 접근 제어(RBAC)를 설계했느냐에 따라 달라집니다. 그러나 그룹에는 귀하의 사용자 계정이 포함되어야 하며, 조직 내에서 가능한 한 작은 그룹이어야 합니다.
  
  여기에 예시가 있습니다:
  
  attributes_to_roles: - name: "groups" value: "my-group" roles: - access + - aws-ro-access
3. 변경 사항을 적용합니다:
  
  tctl create -f saml.yaml
4. Teleport 클러스터에서 로그아웃한 후 새로운 역할을 asum 하기 위해 다시 로그인합니다.
1. oidc 구성 리소스를 가져옵니다:
  
  tctl get oidc/myoidc --with-secrets > oidc.yaml
  
  --with-secrets 플래그는 spec.signing_key_pair.private_key의 값을 oidc.yaml 파일에 추가합니다. 이 키는 민감한 값을 포함하고 있기 때문에, 리소스를 업데이트한 후 즉시 oidc.yaml 파일을 제거해야 합니다.
2. oidc.yaml을 편집하고 claims_to_roles 섹션에 aws-ro-access을 추가합니다.
  
  이 역할에 매핑할 클레임은 귀하의 조직에서 어떻게 역할 기반 접근 제어(RBAC)를 설계했느냐에 따라 달라집니다. 그러나 그룹에는 귀하의 사용자 계정이 포함되어야 하며, 조직 내에서 가능한 한 작은 그룹이어야 합니다.
  
  여기에 예시가 있습니다:
  
  claims_to_roles: - name: "groups" value: "my-group" roles: - access + - aws-ro-access
3. 변경 사항을 적용합니다:
  
  tctl create -f oidc.yaml
4. Teleport 클러스터에서 로그아웃한 후 새로운 역할을 asum 하기 위해 다시 로그인합니다.

3단계/4. Teleport 애플리케이션 서비스 설정

이제 AWS 및 Teleport에서 RBAC 리소스를 구성했으므로, 나머지 단계는 Teleport 애플리케이션 서비스를 시작하는 것입니다.

가입 토큰 가져오기

Teleport 클러스터와 새로운 애플리케이션 서비스 인스턴스 간의 신뢰를 설정하려면 가입 토큰을 생성합니다:

tctl tokens add --type=app --ttl=1h --format=text
abcd123-insecure-do-not-use-this

애플리케이션 서비스를 설치할 호스트에서 /tmp/token이라는 파일을 생성하고, 토큰만 포함시킵니다:

echo join-token | sudo tee /tmp/token

Teleport 애플리케이션 서비스 설치

애플리케이션 서비스를 설치할 호스트에서 다음 명령을 실행합니다:

Linux 서버에 Teleport 설치하기:

Teleport 에디션에 따라 edition을(를) 다음 중 하나로 지정합니다:

에디션 값
Teleport Enterprise Cloud cloud
Teleport Enterprise (자체 호스팅) enterprise
Teleport Community Edition oss

에디션	값
Teleport Enterprise Cloud	`cloud`
Teleport Enterprise (자체 호스팅)	`enterprise`
Teleport Community Edition	`oss`

설치할 Teleport의 버전을 확인합니다. 클러스터에서 자동 에이전트 업데이트가 활성화되어 있는 경우, 업데이터와 호환되는 최신 Teleport 버전을 쿼리합니다:

TELEPORT_DOMAIN=example.teleport.com
TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"

그렇지 않으면, Teleport 클러스터의 버전을 확인합니다:

TELEPORT_DOMAIN=example.teleport.com
TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/ping | jq -r '.server_version')"

Linux 서버에 Teleport를 설치합니다:
```
curl https://cdn.teleport.dev/install-v16.2.0.sh | bash -s ${TELEPORT_VERSION} edition
```
설치 스크립트는 Linux 서버에서 패키지 관리자를 감지하고 이를 사용하여 Teleport 바이너리를 설치합니다. 설치를 사용자 지정하려면 설치 가이드에서 Teleport 패키지 리포지토리에 대해 알아보세요.

Teleport 애플리케이션 서비스 구성

Teleport 애플리케이션 서비스를 실행할 호스트에서 /etc/teleport.yaml 파일을 다음 내용으로 생성합니다:

version: v3
teleport:
  join_params:
    token_name: "/tmp/token"
    method: token
  proxy_server: "PROXY_ADDR"
auth_service:
  enabled: off
proxy_service:
  enabled: off
ssh_service:
  enabled: off
app_service:
  enabled: "yes"
  apps:
  - name: "awsconsole"
  # Teleport에서 사용자를 인증한 후 공용 AWS 콘솔이 사용됩니다.
    uri: "https://console.aws.amazon.com/ec2/v2/home"

/etc/teleport.yaml를 편집하여 PROXY_ADDR를 Teleport 프록시 서비스의 호스트와 포트로 바꿉니다. 예: example.teleport.sh:443.

app_service 필드는 Teleport 애플리케이션 서비스를 구성합니다. app_service.apps 내의 각 항목은 애플리케이션 구성입니다.

이 가이드에서 생성한 가입 토큰을 가져오기 위해 다음 명령을 실행하고, App 유형의 토큰을 복사합니다:

tctl tokens ls
Token                             Type Labels Expiry Time (UTC)--------------------------------- ---- ------ ----------------------------abcd123-insecure-do-not-use-this App          14 Jun 23 21:21 UTC (20m15s)

values.yaml라는 Helm 값 파일을 생성하여, token를 방금 검색한 가입 토큰의 값으로, example.teleport.sh:443를 Teleport 프록시 서비스의 호스트 및 포트(예: teleport.example.com:443)로 설정합니다:

authToken: token
proxyAddr: example.teleport.sh:443
roles: app
apps:
  - name: "awsconsole"
    # Teleport에서 사용자를 인증한 후에 공용 AWS 콘솔이 사용됩니다.
    uri: "https://console.aws.amazon.com/ec2/v2/home"

Teleport Helm 리포지토리를 설정하세요. Teleport Helm 리포지토리에 호스팅된 차트를 설치하도록 Helm을 허용하세요:
```
helm repo add teleport https://charts.releases.teleport.dev
```
원격 리포지토리의 차트 캐시를 업데이트하여 모든 사용 가능한 릴리즈로 업그레이드할 수 있습니다:
```
helm repo update
```

Teleport 에이전트 서비스의 Helm 차트 teleport-kube-agent를 설치합니다:

helm -n teleport-agent install teleport-kube-agent teleport/teleport-kube-agent \  --values values.yaml --create-namespace

Teleport 에이전트 pod가 실행 중인지 확인합니다. 단일 준비 컨테이너가 있는 teleport-kube-agent pod가 하나 보여야 합니다:
```
kubectl -n teleport-agent get pods
NAME                    READY   STATUS    RESTARTS   AGEteleport-kube-agent-0   1/1     Running   0          32s
```

구성할 AWS 애플리케이션의 URI는 다음 값 중 하나로 시작해야 인식됩니다.

Regions	AWS Console URL
일반 AWS 리전	`https://console.aws.amazon.com`
AWS GovCloud (US) 리전	`https://console.amazonaws-us-gov.com`
AWS China 리전	`https://console.amazonaws.cn`

여러 AWS 계정이 있고 UI에서 논리적으로 분리하고 싶다면, 각 계정에 대해 애플리케이션 항목을 등록하고 aws_account_id 레이블을 계정 ID로 설정하세요:

app_service:
  enabled: "yes"
  apps:
  - name: "awsconsole-test"
    uri: "https://console.aws.amazon.com/ec2/v2/home"
    labels:
      aws_account_id: "1234567890"
      env: test
  - name: "awsconsole-prod"
    uri: "https://console.aws.amazon.com/ec2/v2/home"
    labels:
      aws_account_id: "0987654321"
      env: prod
  - name: "awsconsole-third-party"
    uri: "https://console.aws.amazon.com/ec2/v2/home"
    labels:
      aws_account_id: "1234554321"
    aws:
      external_id: "example-external-id"

사용 가능한 IAM 역할을 나열할 때 Teleport는 특정 계정에 속하는 역할 ARNs만 표시합니다.

외부 ID가 리소스에 대한 액세스에 필요한 AWS 계정의 경우, external_id 필드를 설정하고 이 필드는 애플리케이션 서비스가 이러한 계정의 AWS 역할을 가정할 때 사용합니다.

Teleport 애플리케이션 서비스 시작하기

Kubernetes에서 Teleport 애플리케이션 서비스를 배포한 경우, 이미 시작되며 4단계로 건너뛸 수 있습니다.

애플리케이션 서비스에 AWS에 인증하는 데 사용할 수 있는 자격 증명에 대한 액세스를 부여합니다. 애플리케이션 서비스를 EC2 인스턴스에서 실행하는 경우 EC2 인스턴스 메타데이터 서비스 방법을 사용할 수 있습니다. 그렇지 않은 경우 환경 변수를 사용해야 합니다:
Teleport는 EC2 인스턴스에서 실행될 때 이를 감지하고 인스턴스 메타데이터 서비스를 사용하여 자격 증명을 가져옵니다.
EC2 인스턴스는 EC2 인스턴스 프로파일을 사용하도록 구성되어 있어야 합니다. 자세한 내용은 인스턴스 프로파일 사용하기를 참조하세요.
Teleport의 내장 AWS 클라이언트는 다음 환경 변수에서 자격 증명을 읽습니다:
- AWS_ACCESS_KEY_ID
- AWS_SECRET_ACCESS_KEY
- AWS_DEFAULT_REGION
애플리케이션 서비스를 시작하면 서비스는 /etc/default/teleport 경로의 파일에서 환경 변수를 읽습니다. 이 자격 증명은 귀하의 조직에서 가져오십시오. /etc/default/teleport에 다음 내용을 포함하고 각 변수의 값을 대체해야 합니다:
AWS_ACCESS_KEY_ID=00000000000000000000 AWS_SECRET_ACCESS_KEY=0000000000000000000000000000000000000000 AWS_DEFAULT_REGION=<YOUR_REGION>
Teleport의 AWS 클라이언트는 자격 증명을 다음 순서로 다양한 출처에서 로드합니다:
- 환경 변수
- 공유 자격 증명 파일
- 공유 구성 파일 (Teleport는 항상 공유 구성을 활성화합니다)
- EC2 인스턴스 메타데이터 (자격 증명 전용)
공유 자격 증명 파일 또는 공유 구성 파일을 통해 AWS 자격 증명을 제공할 수 있지만, 애플리케이션 서비스를 실행할 때 AWS_PROFILE 환경 변수를 선택한 프로파일의 이름으로 지정해야 합니다.
위의 지침이 고려하지 않은 특정 사용 사례가 있는 경우, 자격 증명 로딩 동작에 대한 자세한 설명을 보려면 AWS SDK for Go의 문서를 참조하십시오.
호스트가 부팅될 때 애플리케이션 서비스가 자동으로 시작되도록 시스템 데몬 서비스를 생성하여 구성합니다. 지침은 애플리케이션 서비스를 설치한 방법에 따라 다릅니다.
애플리케이션 서비스를 실행할 호스트에서 Teleport를 활성화하고 시작하십시오:
sudo systemctl enable teleport
sudo systemctl start teleport
애플리케이션 서비스를 실행할 호스트에서 Teleport에 대한 시스템 데몬 서비스 구성을 생성하고, Teleport 서비스를 활성화한 후 Teleport를 시작하십시오:
sudo teleport install systemd -o /etc/systemd/system/teleport.service
sudo systemctl enable teleport
sudo systemctl start teleport
애플리케이션 서비스의 상태는 systemctl status teleport로 확인할 수 있으며, 로그는 journalctl -fu teleport로 볼 수 있습니다.

비표준 AWS 리전

AWS GovCloud (US) 리전 및 AWS China 리전과 같은 비표준 AWS 리정에 대해서는 AWS_REGION 환경 변수 또는 AWS 자격 증명 파일에서 해당 리전을 설정하여 애플리케이션 서비스가 올바른 STS 엔드포인트를 사용할 수 있도록 합니다.

4단계/4. AWS 리소스에 액세스

이제 Teleport 애플리케이션 서비스를 AWS 요청을 프록시하도록 구성했으므로, 사용자는 Teleport를 통해 AWS 리소스에 액세스할 수 있습니다.

AWS 콘솔에 액세스하기

Teleport 웹 UI의 홈 페이지를 방문하거나 리소스 탭을 클릭합니다. Teleport 애플리케이션 서비스가 AWS Management Console을 기대처럼 프록시하고 있다면, 웹 UI는 이 가이드를 통해 등록한 애플리케이션의 이름인 awsconsole을 표시합니다. (리소스가 많아 한 번에 모두 볼 수 없는 경우, 애플리케이션 이름을 검색 상자에 입력하세요.)
AWS 콘솔 애플리케이션의 실행 버튼을 클릭한 다음, AWS 콘솔에 로그인할 때 가정을 원하는 역할을 클릭합니다:
선택한 역할로 로그인 된 AWS Management Console로 리디렉션됩니다. AWS Console의 오른쪽 상단에서 ExampleReadOnlyRole로 할당된 연합 로그인을 가진 Teleport 사용자 이름을 볼 수 있습니다:

AWS CLI에 액세스하기

데스크톱에서 이 가이드를 따르는 동안 구성한 AWS Management Console 애플리케이션에 로그인합니다:
```
tsh apps login --aws-role ExampleReadOnlyAccess awsconsole
Logged into AWS app "awsconsole".
Your IAM role:  arn:aws:iam::000000000000:role/ExampleReadOnlyAccess
Example AWS CLI command:  tsh aws s3 ls
Or start a local proxy:  tsh proxy aws --app awsconsole
```
--aws-role 플래그를 사용하여 AWS API에 액세스할 때 가정할 AWS IAM 역할을 지정할 수 있습니다. 역할 이름 예: --aws-role ExampleReadOnlyAccess 또는 전체 역할 ARN arn:aws:iam::0000000000:role/ExampleReadOnlyAccess를 제공할 수 있습니다.
이제 tsh aws 명령을 원주율 aws 명령줄 도구처럼 사용할 수 있습니다:
```
tsh aws s3 ls
```
AWS 애플리케이션에서 로그아웃하고 자격 증명을 제거하려면 다음 명령을 실행하세요:
```
tsh apps logout awsconsole
```

AWS SDK를 사용하여 애플리케이션에 액세스하기

데스크톱에서 이 가이드를 따르는 동안 구성한 AWS Management Console 애플리케이션에 로그인합니다:
```
tsh apps login --aws-role ExampleReadOnlyAccess awsconsole
```

새 터미널을 열고, AWS API 트래픽을 Teleport 애플리케이션 서비스로 포워딩하는 로컬 HTTPS 프록시 서버를 시작하는 다음 명령을 사용합니다. 터미널을 열어 두십시오, 포그라운드에서 실행됩니다:

tsh proxy aws -p 23456
Started AWS proxy on http://127.0.0.1:23456.
Use the following credentials and HTTPS proxy setting to connect to the proxy:  export AWS_ACCESS_KEY_ID=abcd1234-this-is-an-example  export AWS_SECRET_ACCESS_KEY=zyxw9876-this-is-an-example  export AWS_CA_BUNDLE=<ca-bundle-path>  export HTTPS_PROXY=http://127.0.0.1:23456

터미널에서 복사한 export 명령을 새 터미널 창에 붙여 넣습니다.
그런 다음 AWS API와 통신하기 위해 AWS SDK를 사용하는 애플리케이션을 실행할 수 있습니다. 예를 들어, Python 콘솔을 열고 boto3 클라이언트를 사용하여 AWS 계정의 EC2 인스턴스를 가져옵니다:
```
>>> import boto3
>>> ec2 = boto3.resource('ec2')
>>> for instance in ec2.instances.all():
...   print(instance.id)
...   
```
AWS 자격 증명과 HTTPS 프록시 설정이 애플리케이션에 대해 어떻게 구성될 수 있는지 확인하는 것이 중요합니다. 예를 들어, terraform 및 eksctl과 같은 명령줄 도구는 위와 같이 환경 변수를 사용하여 AWS 자격 증명과 HTTPS 프록시를 설정하는 것을 지원합니다.

그러나 일부 AWS SDK는 (예: AWS SDK for Go v2의 경우 AWS_SDK_LOAD_CONFIG=true) 추가 환경 변수를 요구하거나 코드로 HTTPS 프록시를 구성해야 할 수 있습니다 (예: AWS SDK for JavaScript).
AWS 애플리케이션에서 로그아웃하고 자격 증명을 제거하려면 다음을 실행합니다:
```
tsh apps logout awsconsole
```

CloudTrail을 사용하여 Teleport 사용자 활동 보기

연합 세션에 대한 CloudTrail 이벤트를 보려면 CloudTrail 대시보드로 이동하여 "이벤트 기록"으로 이동합니다.

각 Teleport 연합 로그인 세션은 연합 사용자 이름으로 Teleport 사용자 이름을 사용합니다. 이를 검색하여 이벤트 기록을 얻을 수 있습니다:

문제 해결

이 가이드를 따르는 동안 문제가 발생하면 이 섹션을 읽어보세요.

`Internal Server Error` 또는 웹 UI에서 연결 실패

Teleport 웹 UI에서 AWS Management Console을 방문할 때 InternalServer Error 메시지 또는 다른 연결 문제가 발생할 수 있습니다.

이 경우 Teleport 애플리케이션 서비스 로그를 확인하십시오:

EC2 인스턴스에서 Teleport 애플리케이션 서비스를 실행하는 경우 다음 명령을 실행합니다:

journalctl -u teleport

kubectl -n teleport-agent logs statefulset/teleport-kube-agent

Teleport 애플리케이션 서비스가 AWS API에 요청을 보내는 동안 오류를 탐지한 경우, 로그에서 오류 메시지 스택 추적을 볼 수 있습니다.

로그 내에서 sts.amazonaws.com:443에 대한 연결 실패와 같은 오류 메시지를 볼 수 있습니다. Teleport 애플리케이션 서비스는 https://sts.amazonaws.com 및 https://signin.aws.amazon.com/federation에 연결할 수 있어야 AWS 콘솔 세션을 만드는 권한이 없습니다.

애플리케이션 서비스가 역할을 가정할 수 없습니다

사용자가 AWS에 액세스할 때 Teleport 애플리케이션 서비스가 ExampleReadOnlyAccess 역할을 가정할 수 없는 경우, 서비스의 로그에서 다음과 유사한 오류 메시지를 볼 수 있습니다:

AccessDenied: User: arn:aws:sts::000000000000:assumed-role/ROLE_NAME is not authorized to perform: sts:AssumeRole on resource: arn:aws:iam::000000000000:role/ExampleReadOnlyAccess

AccessDenied 메시지에는 Teleport 애플리케이션 서비스가 sts:AssumeRole 작업을 실행하기 위해 가정한 주체가 포함됩니다.

주체가 TeleportAWSAccess 역할인 경우, ExampleReadOnlyAccess 역할의 신뢰 정책이 해당 주체를 포함하도록 설정되었는지 확인하십시오.

그렇지 않으면 Teleport 애플리케이션 서비스가 예상대로 TeleportAWSAccess 역할을 가정하지 않고 있습니다. Teleport 애플리케이션 서비스와 역할을 연결하는 방법에 대한 지침에 따라야 합니다.

SSM 세션 중 `remote error: tls: bad certificate` 오류

tsh aws ssm start-session 또는 tsh aws ecs execute-command 명령을 사용할 때 SSM 세션을 시작할 때 remote error: tls: bad certificate 오류가 발생할 수 있습니다.

문제는 tsh가 SSM에서 보낸 WebSocket 연결을 제대로 프록시할 수 없다는 것입니다.

tsh aws ssm start-session 및 tsh aws ecs execute-command에 대한 해결 방법이 구현된 최신 버전으로 업그레이드하십시오. tsh 해결 방법에 대한 자세한 내용은 다음의 Pull Request를 참조하십시오:

tsh proxy aws를 사용 중이거나 tsh 버전이 위의 수정 사항을 포함하지 않은 경우, tsh 명령을 실행하기 전에 다음 도메인을 NO_PROXY 환경 변수에 추가하여 WebSocket 연결이 tsh를 우회하도록 설정하세요:

export NO_PROXY=ssmmessages.us-west-1.amazonaws.com

us-west-1을 액세스하는 AWS 리전으로 바꿉니다.

관리 콘솔이 1시간 후 만료

기본적으로 AWS Management Console 세션은 Teleport 웹 세션이 만료될 때 만료되며 최장 세션 기간은 12시간입니다. Teleport 역할의 max_session_ttl 매개변수를 변경하여 Teleport 세션의 지속 시간을 조정할 수 있습니다.

그러나 AWS IAM의 역할 체인링에서는 Teleport가 임시 보안 자격 증명으로 실행되면 Management Console 세션이 1시간으로 제한됩니다.

예를 들어 Teleport 애플리케이션 서비스가 EKS에서 IAM 역할을 사용하는 경우 또는 Teleport 애플리케이션 서비스가 웹 또는 SSO 아이덴티티를 가정할 경우, AWS Management Console 세션은 1시간으로 제한됩니다.

이런 경우, EC2 인스턴스에서 애플리케이션 서비스를 배포하고 IAM 역할을 연결하는 것이 좋습니다.

자격 증명 공급자 오류

로그에 NoCredentialProviders: no valid providers in chain 오류가 표시되면 애플리케이션 서비스 로그에서 Teleport가 AWS IAM 권한을 통해 연결하는 데 필요한 자격 증명을 감지하지 못하고 있다는 의미입니다. Teleport 애플리케이션 서비스가 실행 중인 기계에 자격 증명 또는 보안 역할이 적용되었는지 확인하세요.

EKS에서 실행할 때, Teleport 애플리케이션 서비스가 PUT 요청의 홉 제한이 1로 설정된 워커 노드 인스턴스에 IMDSv2에 접근할 수 없는 경우 이 오류가 발생할 수 있습니다. 다음 명령어를 사용하여 홉 제한을 확인할 수 있습니다:

aws ec2 describe-instances --instance-ids <node-instance-id> | grep HttpPutResponseHopLimit
                        "HttpPutResponseHopLimit": 1,

자세한 내용을 보려면 IMDSv2 지원 EKS 및 EKS 모범 사례를 참조하세요.

다음 단계

이제 AWS Management Console 및 API에 대한 액세스를 보호하기 위해 Teleport를 설정하는 방법을 알았으므로, 조직의 요구에 맞게 설정을 조정할 수 있습니다.

AWS IAM 역할 매핑 개선하기

aws_role_arns 필드는 템플릿 변수를 지원하여 사용자가 Teleport에 인증될 때 동적으로 채워질 수 있습니다.

예를 들어, IdP에서 SAML 속성이나 OIDC 클레임을 정의하도록 구성하고 이를 aws_role_arns 필드에 나열된 각 사용자의 허가된 AWS 역할 ARNs로 사용할 수 있습니다. Teleport 역할을 {{external.aws_role_arns}} 변수로 언급하도록 정의하면, Auth 서비스가 IdP의 데이터를 기반으로 사용자의 허가된 ARNs를 자동으로 채워줍니다:

    aws_role_arns:
    - {{external.aws_role_arns}}

aws_role_arns 필드에서 사용할 수 있는 변수 및 함수에 대한 모든 내용은 Teleport 액세스 제어 참고 문서를 참조하세요.

AWS 애플리케이션을 동적으로 등록하기

Teleport 애플리케이션 서비스 실행을 위한 Teleport 에이전트 풀을 배포한 후, Teleport 클러스터에 AWS 애플리케이션을 동적 리소스로 등록할 수 있습니다. 애플리케이션을 동적으로 등록하는 것에 대해 더 알아보세요.

대체 에이전트 가입 방법 선택하기

이 가이드는 Teleport 애플리케이션 서비스를 클러스터에 가입하기 위해 가입 토큰 방법을 사용하는 방법을 보여주었습니다. 이는 여러 가지 사용 가능한 방법 중 하나이며, 환경에 가장 적합한 방법을 구성하기 위해 서비스를 Teleport 클러스터에 가입시키는 방법 가이드를 읽는 것을 권장합니다.

추가 읽기

AWS 문서에서 AWS 연합에 대해 더 알아보세요.
AWS 문서에서 신뢰 정책의 작동 방식에 대해 더 알아보세요.

Teleport 원문 보기