Infograb logo
Teleport로 Google Cloud API 접근 보호

Teleport를 사용하여 Google Cloud의 API와 상호작용하는 CLI 도구에 대한 접근을 관리할 수 있습니다. 이를 통해 인프라 자체를 보호하는 데 사용하는 것과 동일한 RBAC 시스템을 사용하여 인프라 관리 API에 대한 접근을 제어할 수 있습니다.

Teleport Application Service는 CLI 애플리케이션의 요청을 프록시하여 Google Cloud의 API에 대한 접근을 관리합니다. Application Service는 Google Cloud에서 가져온 토큰을 사용하여 이러한 요청을 인증합니다. 이를 통해 Teleport 운영자는 사용자가 Google Cloud API와 상호작용하기 위해 가정할 수 있는 서비스 계정을 제어할 수 있습니다.

Teleport Application Service는 Teleport Proxy Service와 역 터널을 통해 연결되므로, 애플리케이션 서비스를 개인 네트워크에서 실행하고 조직의 Google Cloud 서비스 계정에 대한 무단 접근을 차단할 수 있습니다.

전제 조건

  • 실행 중인 Teleport 클러스터 버전 17.0.0-dev 이상. Teleport를 시작하려면 가입하여 무료 평가판을 이용하거나 데모 환경 설정 방법을 확인하십시오.

  • tctl 관리자 도구와 tsh 클라이언트 도구.

    tctltsh 다운로드 방법에 대한 지침은 설치를 방문하십시오.

  • IAM 역할 및 서비스 계정을 만들 수 있는 권한이 있는 Google Cloud 계정과 서비스 계정 및 프로젝트에 대한 IAM 역할 바인딩 생성 권한.

  • gcloud CLI 도구. Google Cloud 문서 페이지를 따라 gcloud 를 설치하고 인증합니다.

    이 가이드는 gcloud 에 중점을 두지만, Teleport와 함께 Google Cloud API 접근을 설정하면 Teleport Application Service를 사용하여 gsutil 및 기타 Google Cloud CLI 도구에 대한 접근도 관리할 수 있습니다.

  • Teleport Application Service를 실행할 Google Compute Engine VM 또는 Google Cloud 프로젝트에서 VM을 만들 수 있는 권한. 기존 VM을 사용하는 경우, 해당 VM은 Linux 배포판을 실행 중이어야 하며, Google Compute Engine VM에 서비스 계정을 연결할 수 있는 권한이 있어야 합니다.

기존 서비스 계정 사용

이 가이드에서는 Teleport 사용자가 인증할 수 있도록 teleport-vm-viewer 라는 서비스 계정을 생성하여 Google Cloud CLI 접근을 보여줄 것입니다. Google Cloud 프로젝트의 기존 서비스 계정에 대한 접근을 활성화하려면, 가이드를 진행하면서 teleport-vm-viewer 를 이러한 서비스 계정으로 교체할 수 있습니다.

  • 연결이 가능한지 확인하기 위해 tsh login 으로 로그인한 다음, 현재 자격 증명을 사용하여 tctl 명령어를 실행할 수 있는지 확인하십시오. 예를 들어:
    tsh login --proxy=teleport.example.com --user=email@example.com
    tctl status

    클러스터 teleport.example.com

    버전 17.0.0-dev

    CA 핀 sha256:abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678

    클러스터에 연결할 수 있고 tctl status 명령어를 실행할 수 있다면, 현재 자격 증명을 사용하여 워크스테이션에서 후속 tctl 명령어를 실행할 수 있습니다.
    자신의 Teleport 클러스터를 호스팅하는 경우, Teleport Auth Service를 호스팅하는 컴퓨터에서 전체 권한으로 tctl 명령어를 실행할 수도 있습니다.

1/4단계. Google Cloud 구성

Teleport 사용자의 요청을 Google Cloud API로 프록시하기 위해 Teleport Application Service는 Google Cloud의 권한이 필요합니다. 이 단계에서는 Teleport Application Service를 시작하기 전에 이러한 권한을 구성합니다.

Teleport와 함께 Google Cloud API 접근을 설정할 때, 두 가지 기능을 가진 서비스 계정을 구성합니다:

  • 제어 서비스 계정: Application Service는 이 서비스 계정을 사용하여 다른 서비스 계정을 사칭하고 Google Cloud APIs에 대한 요청에 서명합니다. 이 가이드에서는 teleport-google-cloud-cli 라는 제어 서비스 계정을 생성합니다.
  • 대상 서비스 계정: 이는 조직의 Teleport 사용자가 Google Cloud API에 접근할 때 가정할 서비스 계정입니다. 이 가이드에서는 teleport-vm-viewer 라는 하나의 대상 서비스 계정을 생성하며, 이와 같은 단계로 다른 대상 서비스 계정에 대한 접근을 활성화할 수 있습니다.

Application Service를 위한 서비스 계정 생성

Application Service는 대체 서비스 계정에 대해 서명된 토큰을 생성하여 Google Cloud API에 접근하는 데 제어 서비스 계정을 사용하며, 이 토큰을 사용하여 Teleport 사용자의 요청을 Google Cloud로 전달하기 전에 서명합니다. 이렇게 하면 로컬 Google Cloud CLI 도구는 이 토큰에 접근할 수 없습니다.

이 섹션에서는 Application Service를 위한 제어 서비스 계정을 생성하고 이에 권한을 할당합니다.

teleport-google-cloud-cli 라는 서비스 계정을 생성합니다:

gcloud iam service-accounts create teleport-google-cloud-cli \ --description="Google Cloud CLI 접근" \ --display-name="teleport-google-cloud-cli"

Teleport 사용자가 액세스할 수 있는 서비스 계정 설정

Teleport 사용자가 Teleport Application Service에 대해 Google Cloud CLI 명령을 실행하면, Application Service는 이전에 만든 teleport-google-cloud-cli 서비스 계정을 사용하여 대상 서비스 계정을 가장합니다.

이 섹션에서는 Application Service가 대상 서비스 계정을 가장할 수 있도록 권한을 부여하는 방법을 보여줍니다.

서비스 계정 생성 및 리소스 보기 권한 활성화

기존 서비스 계정에 대한 액세스를 활성화하는 경우, 다음 섹션으로 건너뛸 수 있습니다.

대상 서비스 계정을 생성합니다:

gcloud iam service-accounts create teleport-vm-viewer \ --description="Teleport를 시연하기 위한 샘플 서비스 계정" \ --display-name="teleport-vm-viewer"

이 서비스 계정을 미리 정의된 "Compute Viewer" 역할에 바인딩하여, 역할이 있는 사용자가 Google Compute Engine 리소스를 나열할 수 있도록 합니다:

gcloud projects add-iam-policy-binding google-cloud-project \ --member="serviceAccount:teleport-vm-viewer@google-cloud-project.iam.gserviceaccount.com" \ --role="roles/compute.viewer"

teleport-google-cloud-cli 가 대상 서비스 계정을 가장하도록 활성화

사용자 요청을 인증하기 위해 teleport-vm-viewer 를 가장할 수 있도록 teleport-google-cloud-cli 서비스 계정을 활성화합니다. 그렇게 하려면, teleport-vm-viewer 서비스 계정에 대해 미리 정의된 "Service Account Token Creator Role"에 teleport-google-cloud-cli 계정을 바인딩합니다:

기존 서비스 계정에 대한 Google Cloud CLI 액세스를 활성화하려면, 각 서비스 계정에 대해 이 명령을 실행해야 합니다.

gcloud iam service-accounts add-iam-policy-binding \ teleport-vm-viewer@google-cloud-project.iam.gserviceaccount.com \ --member=serviceAccount:teleport-google-cloud-cli@google-cloud-project.iam.gserviceaccount.com \ --role="roles/iam.serviceAccountTokenCreator"

2/4단계. Teleport Application Service 배포

현재, 제어 서비스 계정을 생성하고 이 서비스 계정이 Teleport 사용자가 액세스할 서비스 계정을 가장할 수 있도록 활성화했습니다.

이 단계에서는 제어 서비스 계정을 Google Compute Engine VM에 연결한 후 Teleport Application Service를 실행합니다.

Google Cloud에 대한 Application Service 액세스 활성화

제어 서비스 계정을 생성하고 역할을 부여한 후, Teleport Application Service를 실행하는 가상 머신과 서비스 계정을 연결합니다. 기존 가상 머신을 사용하는지 또는 새 가상 머신을 시작하는지에 따라 지침이 다릅니다:

teleport-google-cloud 서비스 계정이 첨부된 새 가상 머신을 생성합니다:

gcloud compute instances create teleport-app-service \ --service-account=teleport-google-cloud-cli@google-cloud-project.iam.gserviceaccount.com \ --scopes=cloud-platform \ --zone=google-cloud-zone \ --image=https://www.googleapis.com/compute/v1/projects/debian-cloud/global/images/debian-11-bullseye-v20231212

여기 나열된 대로 service-accountscopes 플래그를 사용해야 하며, 그렇지 않으면 VM이 Google Cloud에 액세스하기 위해 필요한 권한을 얻지 못할 수 있습니다. 나머지 플래그를 조정하고 환경의 필요에 따라 새로운 플래그를 추가해야 합니다.

VM을 중지하여 서비스 계정을 첨부할 수 있습니다:

gcloud compute instances stop vm-name --zone=google-cloud-zone

인스턴스에 서비스 계정을 첨부합니다:

gcloud compute instances set-service-account vm-name \ --service-account teleport-google-cloud-cli@google-cloud-project.iam.gserviceaccount.com \ --zone google-cloud-zone \ --scopes=cloud-platform

gcloud compute instances set-service-account 명령에서 scopes 플래그를 반드시 사용해야 합니다. 그렇지 않으면 Google Cloud VM이 Google Cloud에 액세스하기 위해 필요한 권한을 얻지 못할 수 있습니다.

서비스 계정을 첨부한 후 VM을 재시작합니다:

gcloud compute instances start vm-name --zone google-cloud-zone

조인 토큰 가져오기

Teleport 클러스터와 새로운 애플리케이션 서비스 인스턴스 간의 신뢰를 형성하려면 조인 토큰을 생성하세요:

tctl tokens add --type=app --ttl=1h --format=text
abcd123-insecure-do-not-use-this

Teleport 애플리케이션 서비스를 설치할 호스트에서, /tmp/token 이라는 파일을 생성하고 그 안에 오직 당신의 토큰만 포함되도록 하세요:

echo join-token | sudo tee /tmp/token

Teleport 애플리케이션 서비스 설치

Teleport 애플리케이션 서비스를 설치할 호스트에서 아래의 지침을 따르십시오.

Linux 서버에 Teleport 설치하기:

  1. Teleport 에디션에 따라 edition를 다음 중 하나로 할당합니다:

    에디션
    Teleport Enterprise Cloudcloud
    Teleport Enterprise (자가 호스팅)enterprise
    Teleport Community Editionoss
  2. 설치할 Teleport 버전을 가져옵니다. 클러스터에서 자동 에이전트 업데이트가 활성화된 경우, 최신 Teleport 버전을 쿼리하여 업데이트된 내용과의 호환성을 확인합니다:

    TELEPORT_DOMAIN=example.teleport.com
    TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"

    그렇지 않으면, Teleport 클러스터의 버전을 가져옵니다:

    TELEPORT_DOMAIN=example.teleport.com
    TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/ping | jq -r '.server_version')"
  3. Linux 서버에 Teleport를 설치합니다:

    curl https://cdn.teleport.dev/install-v15.4.11.sh | bash -s ${TELEPORT_VERSION} edition

    설치 스크립트는 Linux 서버에서 패키지 관리자를 감지하고 이를 사용하여 Teleport 바이너리를 설치합니다. 설치를 사용자 정의하려면 설치 가이드에서 Teleport 패키지 리포지토리에 대해 알아보세요.

Teleport 애플리케이션 서비스 구성

Teleport 애플리케이션 서비스를 실행할 호스트에서 /etc/teleport.yaml 위치에 다음 내용을 포함한 파일을 만듭니다:

version: v3
teleport:
  join_params:
    token_name: "/tmp/token"
    method: token
  proxy_server: "teleport.example.com:443"
auth_service:
  enabled: off
proxy_service:
  enabled: off
ssh_service:
  enabled: off
app_service:
  enabled: true
  apps:
    - name: google-cloud-cli
      cloud: GCP

/etc/teleport.yaml 파일을 편집하여 teleport.example.com:443 을 Teleport 프록시 서비스 또는 Teleport 클라우드 테넌트의 호스트 및 포트로 교체하십시오. 예: mytenant.teleport.sh:443 .

app_service 필드는 Teleport 애플리케이션 서비스를 구성합니다. app_service.apps 내의 각 항목은 애플리케이션 구성입니다.

위의 예에서는 cloud 필드를 GCP 로 설정하여 google-cloud-cli 라는 애플리케이션을 등록함으로써 Google Cloud CLI 접근을 활성화했습니다. Teleport 애플리케이션 서비스는 이 애플리케이션에 대한 요청을 Google Cloud로 전달합니다.

Teleport 애플리케이션 서비스 실행

Teleport 애플리케이션 서비스를 실행할 호스트에서, 패키지 관리자를 사용하여 Teleport를 설치했는지 아니면 TAR 아카이브를 통해 설치했는지에 따라 다음 명령어를 실행합니다:

호스트가 부팅될 때 the Teleport Application Service가 자동으로 시작되도록 systemd 서비스를 생성하여 구성합니다. 지침은 the Teleport Application Service를 설치한 방법에 따라 다릅니다.

the Teleport Application Service를 실행할 호스트에서 Teleport를 활성화하고 시작합니다:

sudo systemctl enable teleport
sudo systemctl start teleport

the Teleport Application Service를 실행할 호스트에서 Teleport의 systemd 서비스 구성을 만들고, Teleport 서비스를 활성화한 후 Teleport를 시작합니다:

sudo teleport install systemd -o /etc/systemd/system/teleport.service
sudo systemctl enable teleport
sudo systemctl start teleport

systemctl status teleport 로 the Teleport Application Service의 상태를 확인하고, journalctl -fu teleport 로 로그를 볼 수 있습니다.

3/4단계. Google Cloud CLI에 접근할 사용자 권한 부여

다음 단계는 Teleport 사용자가 대상 서비스 계정에 접근하고 Teleport를 통해 Google Cloud CLI 명령을 실행할 수 있도록 권한을 부여하는 것입니다. Teleport의 RBAC 시스템을 사용하여 서비스 계정에 대한 접근을 보호하며, 사용자의 역할에 따라 접근 가능한 Google Cloud 서비스 계정이 결정됩니다.

사용자가 Google Cloud 서비스 계정에 접근할 수 있도록 권한을 부여하는 방법은 두 가지가 있습니다:

접근법설명지원 사용자 유형
동적Teleport 역할에 사용자가 직접 할당된 모든 Google Cloud 서비스 계정에 접근할 수 있도록 허용하는 템플릿 변수가 포함되어 있습니다.로컬 사용자, OIDC, SAML
정적Teleport 역할이 사용자가 가질 수 있는 Google Cloud 서비스 계정을 명시적으로 지정합니다.로컬 사용자, OIDC, SAML, GitHub

우리는 동적 접근 방식을 사용하는 것을 권장합니다. 서비스 계정을 Google Cloud 계정에 추가할 때 더 쉽게 확장됩니다. GitHub SSO를 통해 사용자를 인증하도록 오픈 소스 Teleport 클러스터를 구성한 경우 정적 접근 방식을 사용해야 합니다. 이는 OAuth 기반 GitHub 애플리케이션이 사용자 정의 클레임을 지원하지 않기 때문입니다.

접근법

google-cloud-cli-access.yaml 이라는 이름의 파일을 아래 내용을 포함하여 만듭니다:

kind: role
version: v7
metadata:
  name: google-cloud-cli-access
spec:
  allow:
    app_labels:
      "*": "*"
    gcp_service_accounts:
      - "{{internal.gcp_service_accounts}}"

google-cloud-cli-access 역할을 가진 사용자가 Teleport를 통해 Google Cloud CLI에 인증할 때, Teleport Auth 서비스는 사용자가 할당된 모든 Google Cloud 서비스 계정으로 {{internal.gcp_service_accounts}} 템플릿 변수를 채웁니다.

앞서 만든 대상 서비스 계정(또는 다른 서비스 계정)을 사용자에게 할당하려면 다음 명령어를 실행합니다:

tctl users update teleport-user \--set-gcp-service-accounts teleport-vm-viewer@google-cloud-project.iam.gserviceaccount.com

이 명령어는 --set-gcp-service-accounts 플래그를 사용하여 사용자에게 Google Cloud 서비스 계정을 추가합니다. --set-gcp-service-accounts 를 쉼표로 구분된 서비스 계정 URI 목록으로 설정하여 여러 서비스 계정을 사용자에게 할당할 수 있습니다.

역할을 생성합니다:

tctl create -f google-cloud-cli-access.yaml

당신의 ID 공급자에서 gcp_service_accounts 라는 이름의 사용자 정의 SAML 속성 또는 OIDC 클레임을 정의합니다. 각 사용자의 gcp_service_accounts 속성 또는 클레임은 다음 형식을 사용하는 Google Cloud 서비스 계정 URI의 목록이어야 합니다:

<service_account_name>@<project_id>.iam.gserviceaccount.com

예를 들어, 사용자의 gcp_service_accountsteleport-vm-viewer 로 설정하려면, 다음 URI를 사용하면 됩니다. 여기서 <project_id>를 Google Cloud 프로젝트의 이름으로 교체합니다:

teleport-vm-viewer@my-project.iam.gserviceaccount.com

google-cloud-cli-access.yaml 이라는 이름의 파일을 아래 내용을 포함하여 만듭니다:

kind: role
version: v7
metadata:
  name: google-cloud-cli-access
spec:
  allow:
    app_labels:
      "*": "*"
    gcp_service_accounts:
      - "{{external.gcp_service_accounts}}"

google-cloud-cli-access 역할을 가진 사용자가 Teleport를 통해 Google Cloud CLI에 인증할 때, Teleport Auth 서비스는 사용자가 할당된 모든 Google Cloud 서비스 계정으로 {{external.gcp_service_accounts}} 템플릿 변수를 채웁니다.

역할을 생성합니다:

tctl create -f google-cloud-cli-access

특정 Google Cloud 서비스 계정에 접근할 수 있는 역할을 정의합니다. 즉, 이 역할을 부여받은 Teleport 사용자는 해당 (및 오직 해당) 식별자를 사용하여 Google Cloud CLI를 통한 명령을 실행할 수 있습니다.

google-cloud-cli-access.yaml 이라는 이름의 파일을 아래 내용을 포함하여 만듭니다. 여기서 gcp_service_accounts 의 값에서 my-project 를 Google Cloud 프로젝트의 ID로 교체합니다:

kind: role
version: v7
metadata:
  name: google-cloud-cli-access
spec:
  allow:
    app_labels:
      "*": "*"
    gcp_service_accounts:
      - teleport-vm-viewer@my-project.iam.gserviceaccount.com

이 역할은 사용자가 이전에 정의한 google-cloud-cli 와 같은 Teleport에 등록된 모든 애플리케이션에 접근할 수 있도록 하며, 사용자가 이전에 만든 teleport-vm-viewer 서비스 계정을 대신 사용할 수 있게 합니다.

역할을 생성합니다:

tctl create -f google-cloud-cli-access.yaml

사용자가 하나 이상의 Google Cloud 서비스 계정에 접근하지 못하도록 하는 Teleport 역할을 정의할 수 있습니다. 그렇게 하려면, role 리소스의 spec.deny 섹션 내의 gcp_service_accounts 필드에 값을 할당합니다.

예를 들어, 이 역할은 사용자가 모든 Google Cloud 서비스 계정에 접근하지 못하도록 합니다:

kind: role
version: v7
metadata:
  name: "no-google-cloud"
spec:
  allow:
    app_labels:
      "*": "*"
  deny:
    gcp_service_accounts:
      - "*"

no-google-cloud 역할은 사용자가 모든 등록된 애플리케이션에 접근할 수 있게 하며, deny.gcp_service_accounts 필드 내에서 와일드카드 문자(*)를 사용하여 사용자가 어떤 Google Cloud 서비스 계정도 대신 사용할 수 없도록 합니다.

allow.gcp_service_accounts 의 값과는 달리, deny.gcp_service_accounts 의 값은 특정 Google Cloud 서비스 계정 URI 외에도 와일드카드 표현식을 포함할 수 있습니다.

Teleport Auth 서비스는 사용자의 역할을 평가할 때 deny 규칙이 allow 규칙보다 우선하도록 합니다.

google-cloud-cli-access 역할을 Teleport 사용자에게 할당하려면, 인증 제공자에 맞는 적절한 명령어를 실행하십시오:

  1. 로컬 사용자의 역할을 쉼표로 구분된 목록으로 가져옵니다:

    ROLES=$(tsh status -f json | jq -r '.active.roles | join(",")')
  2. 새로운 역할을 추가하기 위해 로컬 사용자를 수정합니다:

    tctl users update $(tsh status -f json | jq -r '.active.username') \ --set-roles "${ROLES?},google-cloud-cli-access"
  3. Teleport 클러스터에서 로그아웃한 후 다시 로그인하여 새로운 역할을 가집니다.

  1. 텍스트 편집기에서 github 인증 커넥터를 엽니다:

    tctl edit github/github
  2. github 커넥터를 수정하여 teams_to_roles 섹션에 google-cloud-cli-access 을 추가합니다.

    이 역할에 매핑해야 하는 팀은 조직의 역할 기반 액세스 제어(RBAC) 설계에 따라 다릅니다. 그러나 팀은 귀하의 사용자 계정을 포함해야 하며, 조직 내에서 가장 작은 팀이어야 합니다.

    예시는 다음과 같습니다:

      teams_to_roles:
        - organization: octocats
          team: admins
          roles:
            - access
    +       - google-cloud-cli-access
    
  3. 파일을 편집하고 저장하여 변경 사항을 적용합니다.

  4. Teleport 클러스터에서 로그아웃한 후 다시 로그인하여 새로운 역할을 가집니다.

  1. saml 구성 리소스를 가져옵니다:

    tctl get --with-secrets saml/mysaml > saml.yaml

    --with-secrets 플래그는 spec.signing_key_pair.private_key 의 값을 saml.yaml 파일에 추가합니다. 이 키는 민감한 값을 포함하므로, 리소스를 업데이트한 후 즉시 saml.yaml 파일을 삭제해야 합니다.

  2. saml.yaml 을 수정하여 attributes_to_roles 섹션에 google-cloud-cli-access 을 추가합니다.

    이 역할에 매핑해야 하는 속성은 조직의 역할 기반 액세스 제어(RBAC) 설계에 따라 다릅니다. 그러나 그룹은 귀하의 사용자 계정을 포함해야 하며, 조직 내에서 가장 작은 그룹이어야 합니다.

    예시는 다음과 같습니다:

      attributes_to_roles:
        - name: "groups"
          value: "my-group"
          roles:
            - access
    +       - google-cloud-cli-access
    
  3. 변경 사항을 적용합니다:

    tctl create -f saml.yaml
  4. Teleport 클러스터에서 로그아웃한 후 다시 로그인하여 새로운 역할을 가집니다.

  1. oidc 구성 리소스를 가져옵니다:

    tctl get oidc/myoidc --with-secrets > oidc.yaml

    --with-secrets 플래그는 spec.signing_key_pair.private_key 의 값을 oidc.yaml 파일에 추가합니다. 이 키는 민감한 값을 포함하므로, 리소스를 업데이트한 후 즉시 oidc.yaml 파일을 삭제해야 합니다.

  2. oidc.yaml 을 수정하여 claims_to_roles 섹션에 google-cloud-cli-access 을 추가합니다.

    이 역할에 매핑해야 하는 클레임은 조직의 역할 기반 액세스 제어(RBAC) 설계에 따라 다릅니다. 그러나 그룹은 귀하의 사용자 계정을 포함해야 하며, 조직 내에서 가장 작은 그룹이어야 합니다.

    예시는 다음과 같습니다:

      claims_to_roles:
        - name: "groups"
          value: "my-group"
          roles:
            - access
    +       - google-cloud-cli-access
    
  3. 변경 사항을 적용합니다:

    tctl create -f oidc.yaml
  4. Teleport 클러스터에서 로그아웃한 후 다시 로그인하여 새로운 역할을 가집니다.

4/4단계. Teleport을 사용한 Google Cloud CLI 사용하기

Teleport 애플리케이션 서비스를 시작하고 Teleport 사용자가 Google Cloud CLI에 접근할 수 있도록 인증했으므로, 이제 Teleport를 통해 Google Cloud CLI 명령어를 실행할 수 있습니다.

Google Cloud CLI 애플리케이션 목록 보기

이전에 등록한 google-cloud-cli 애플리케이션이 Teleport 사용자에게 보이는지 확인하십시오:

tsh apps ls
Application Description Type Public Address Labels---------------- ----------- ---- ------------------------------------- -------------------google-cloud-cli HTTP google-cloud-cli.teleport.example.com teleport.dev/origin

Google Cloud CLI 사용을 위한 로그인

애플리케이션에 로그인하고 teleport-vm-viewer 서비스 계정을 사용하도록 설정합니다:

tsh apps login google-cloud-cli --gcp-service-account teleport-vm-viewer

이 명령은 --gcp-service-account 플래그의 값을 사용자가 인증받은 계정과 비교하여 검증합니다. 플래그의 값은 서비스 계정의 전체 URI이거나 ID의 이름일 수 있습니다, 예: teleport-vm-viewer .

사용자가 단일 Google Cloud 서비스 계정에만 접근할 수 있도록 권한을 부여받은 경우 --gcp-service-account 플래그를 생략할 수 있지만, 다른 경우에는 빈 --gcp-service-account 플래그가 오류를 발생시킵니다.

명령이 성공하면 사용자가 선택한 Google Cloud 서비스 계정에 대한 정보를 다음과 유사하게 볼 수 있습니다:

Logged into GCP app "google-cloud-cli".
Your service account: teleport-vm-viewer@my-project.iam.gserviceaccount.com
Example command: tsh gcloud compute instances list

Google Cloud CLI 명령어 실행하기

이제 Teleport 애플리케이션 서비스를 사용하여 gcloud 명령어를 실행할 수 있으며, tsh 로 접두사를 붙이면 됩니다. 사용자가 가상 머신을 나열할 수 있는 서비스 계정으로 Google Cloud CLI 애플리케이션에 인증했기 때문에, 다음 명령어를 실행하여 이를 수행하십시오:

tsh gcloud compute instances list

Google Cloud 프로젝트의 가상 머신 목록이 표시됩니다.

그러나 Teleport 사용자는 VM을 생성할 수 없습니다. 서비스 계정이 이 권한을 갖고 있지 않기 때문입니다:

tsh gcloud compute instances create another-instance --zone=google-cloud-zone
ERROR: (gcloud.compute.instances.create) Could not fetch resource: - Required 'compute.instances.create' permission for 'projects/my-project/zones/my-zone/instances/another-instance'
ERROR: exit status 1
gsutil을 tsh와 함께 사용하기

Teleport에 등록한 google-cloud-cli 애플리케이션을 사용하여 Teleport 애플리케이션 서비스를 통해 gsutil 명령어를 실행할 수 있습니다. gcloud 와 마찬가지로 gsutil 명령어의 접두사에 tsh 를 붙여서 실행하십시오:

tsh gsutil ls

tsh 없이 Google Cloud CLI 애플리케이션 사용하기

tsh 를 통해 gcloudgsutil 명령어를 실행하는 것 외에도 Google Cloud API에 명령어를 실행하는 모든 CLI 애플리케이션에 대한 안전한 접근을 부여할 수 있습니다.

이를 위해 tsh 를 사용하여 CLI 애플리케이션에서 Teleport 애플리케이션 서비스로 트래픽을 포워딩하는 로컬 프록시를 시작하십시오. 애플리케이션 서비스는 이전에 생성한 teleport-google-cloud-cli 서비스 계정을 사용하여 Google Cloud에서 인증 토큰을 가져옵니다. CLI 애플리케이션은 이 토큰을 사용하여 Google Cloud API에 요청을 인증합니다.

로컬 프록시를 시작하려면 다음 tsh 명령어를 실행하십시오:

tsh proxy gcloud

명령어는 로컬 프록시 서버의 주소와 환경 변수를 할당하기 위한 export 명령어를 출력합니다. Google Cloud CLI 애플리케이션은 이러한 변수를 읽어 Google Cloud API에 대한 인증 토큰을 요청합니다:

Started GCP proxy on http://127.0.0.1:50614.
To avoid port randomization, you can choose the listening port using the --port flag.

Use the following credentials and HTTPS proxy setting to connect to the proxy:

  export BOTO_CONFIG=/Users/myuser/.tsh/gcp/teleport.example.com/google-cloud-cli/00000000_boto.cfg
  export CLOUDSDK_AUTH_ACCESS_TOKEN=00000000000000000000000000000000
  export CLOUDSDK_CONFIG=/Users/myuser/.tsh/gcp/teleport.example.com/google-cloud-cli/gcloud
  export CLOUDSDK_CORE_CUSTOM_CA_CERTS_FILE=/Users/myuser/.tsh/keys/teleport.example.com/myuser-google-cloud-cli/teleport.example.com/google-cloud-cli-localca.pem
  export CLOUDSDK_CORE_PROJECT=my-project
  export HTTPS_PROXY=http://127.0.0.1:50614

tsh proxy gcloud 는 로컬 프록시를 포그라운드에서 실행하므로, 프로세스를 중단하거나 명령어를 실행한 터미널을 종료하지 마십시오. 로컬 프록시를 닫을 준비가 되었을 때까지 종료하지 마십시오.

export 명령어를 복사하여 두 번째 터미널에 붙여넣으십시오. 그 터미널에서 이제 원하는 Google Cloud CLI 애플리케이션을 실행할 수 있습니다. 예를 들어, 다음 명령어를 실행하여 Google Compute Engine VM 목록을 나열할 수 있습니다:

gcloud compute instances list

이 가이드의 앞부분에서 gcloud iam service-accounts create 를 셸에서 실행할 수 있었던 것을 기억하십시오. tsh proxy gcloud 에서 출력된 export 명령어를 입력한 후 이 명령어는 제한된 사용자로 실행되어 권한 문제를 발생시킵니다:

gcloud iam service-accounts create demo-service-account
ERROR: (gcloud.iam.service-accounts.create) User [myuser] does not have permission to access projects instance [myproject] (or it may not exist): Permission 'iam.serviceAccounts.create' denied on resource (or it may not exist).- '@type': type.googleapis.com/google.rpc.ErrorInfo domain: iam.googleapis.com metadata: permission: iam.serviceAccounts.create reason: IAM_PERMISSION_DENIED

tsh gcloud 또는 tsh gsutil 을 통해 gcloud 또는 gsutil 명령어를 실행할 때, tsh 는 로컬 프록시를 백그라운드에서 시작하고 이를 사용하여 명령어를 실행합니다.

다음 단계

  • 이제 Teleport를 사용하여 Google Cloud CLI에 대한 액세스를 보호하는 방법을 알았으므로,
    Teleport 사용자가 공격자가 탈취할 수 있는 지속적인 관리자 역할 없이 Google Cloud 리소스를 일시적으로만 관리할 수 있도록 해야 합니다. Role Access
    Requests
    Access
    Request plugins
    에 대한 문서를 참조하십시오.
  • gcloud 또는 gsutil 명령을 Teleport를 통해 프록시할 수 있습니다. 명령의 전체 참조는
    gcloud gsutil 에 대한 Google Cloud 문서를 확인하십시오.
  • 이 가이드에서 설명한 Teleport 역할 내에서 internalexternal 특성이 어떻게 채워지는지에 대한 전체 세부정보는 Teleport Access Controls
    Reference
    를 참조하십시오.
Teleport 원문 보기