애플리케이션 접근 역할 기반 접근 제어 | Teleport 공식 기술 문서 한국판 by 인포그랩

애플리케이션 접근 역할 기반 접근 제어

이 문서는 Teleport 애플리케이션 서비스와 관련된 접근 제어 개념을 설명합니다.

애플리케이션에 레이블 할당

Teleport 애플리케이션 서비스는 프록시된 웹 애플리케이션에 대한 접근을 제어하기 위해 레이블을 사용합니다.

Teleport 관리자는 다음과 같은 구성을 사용하여 애플리케이션에 정적 및 동적 레이블을 할당할 수 있습니다:

apps:
- name: "grafana"
  uri: "http://localhost:3000"
  # 정적 레이블.
  labels:
    env: "prod"
    group: "metrics"
  # Teleport는 주기적으로 동적 레이블에서 명령을 실행하고 
  # 명령 출력값을 레이블 값으로 사용합니다.
  commands:
  - name: "arch"
    command: ["uname", "-p"]
    period: 1m0s

역할에서 애플리케이션 레이블 구성

Teleport 관리자는 app_labels 속성을 사용하여 특정 레이블이 있는 애플리케이션에 대한 사용자 접근을 허용하거나 거부하는 역할을 구성할 수 있습니다.

예를 들어, 이 역할은 "metrics" 그룹의 모든 애플리케이션에 대한 접근을 허용하되, 프로덕션 애플리케이션은 제외합니다:

kind: role
version: v5
metadata:
  name: dev
spec:
  allow:
    app_labels:
      group: "metrics"
  deny:
    app_labels:
      env: "prod"

아이덴티티 제공자와의 통합

사용자의 클레임 및 아이덴티티 제공자에게서 받은 속성을 기반으로 애플리케이션 레이블을 동적으로 채울 수 있도록 역할을 구성할 수 있습니다. 이는 external 접두사가 있는 템플릿 변수를 사용하여 수행됩니다.

예를 들어, 이 역할은 Okta 사용자의 속성에 따라 env 및 group 레이블 값을 설정합니다:

allow:
  app_labels:
    env: "{{external.env}}"
    group: "{{external.group}}"

사용자가 Azure 관리 ID에 접근하도록 활성화하기

Teleport 사용자가 Azure ID를 가정하고 Teleport를 통해 Azure CLI 명령을 실행할 수 있도록 권한을 부여할 수 있습니다. 이를 위해, 아래와 같이 spec.allow.azure_identities 필드를 정의하는 역할을 만듭니다:

kind: role
version: v5
metadata:
  name: azure-cli-access
spec:
  allow:
    app_labels:
      '*': '*'
    azure_identities:
      - /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/teleport-azure

각 항목이 사용자가 이 역할로 Azure 관리 ID를 가정할 수 있도록 하는 전체 URI가 되도록 spec.allow.azure_identities 필드를 수정해야 합니다. 위의 예는 사용자가 teleport-azure ID를 가정할 수 있도록 허용합니다.

또 다른 방법은 각 사용자를 별도로 구성하여 허용된 Azure ID를 정의하는 것입니다. 이를 위해 azure_identities 내에 템플릿 변수 {{internal.azure_identities}}를 설정한 역할을 생성합니다:

kind: role
version: v5
metadata:
  name: azure-cli-access
spec:
  allow:
    app_labels:
      '*': '*'
    azure_identities:
      - '{{internal.azure_identities}}'

이 경우 사용자가 Teleport를 통해 Azure CLI에 인증할 때, Teleport 인증 서비스는 사용자가 할당한 Azure ID로 {{internal.azure_identities}} 템플릿 변수를 채웁니다.

사용자에게 Azure ID를 할당하려면 다음과 같은 tctl users update 명령을 실행하세요:

tctl users update myuser --set-azure-identities \/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/id1,\/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/id2

이 명령은 사용자의 Azure ID를 추가하기 위해 --set-azure-identities 플래그를 사용합니다. 이 플래그의 값은 Azure ID URI의 쉼표로 구분된 목록입니다.

Azure 관리 ID에 접근하는 방법에 대한 추가 정보는 Azure CLI 가이드를 참조하십시오.

다음 단계

접근 제어를 보려면 시작하기 및 다른 가이드를 확인하세요.
이 가이드에서 설명한 internal 및 external 특성이 Teleport에서 어떻게 채워지는지에 대한 전체 세부정보는 Teleport 접근 제어 참조를 참조하십시오.
접근 제어를 보려면 시작하기 및 다른 가이드를 확인하세요.
애플리케이션에서 접근 제어를 구현하기 위해 JWT 토큰에 대해 알아보세요.
아이덴티티 제공자와 통합하세요:
- OIDC
- ADFS
- Azure AD
- Google Workspace
- Onelogin
- Okta

Teleport 원문 보기