Infograb logo
MySQL 자동 사용자 프로비저닝

사전 준비 사항

  • 구성된 자체 호스팅 MySQL 또는 RDS MySQL 데이터베이스가 있는 Teleport 클러스터 v14.1 이상.
  • 대상 데이터베이스에 연결하고 사용자 계정을 생성할 수 있는 능력.
  • 자동 사용자 프로비저닝은 8.0 미만의 MySQL 버전과 호환되지 않습니다.
  • 자동 사용자 프로비저닝은 RDS Aurora 리더 엔드포인트와 호환되지 않습니다.

1단계/3. 데이터베이스 관리자 구성

텔레포트는 다음을 생성할 수 있는 사용자로서 데이터베이스에 연결할 수 있어야 합니다 다른 사용자를 지정하고 역할을 할당합니다. 별도의 사용자를 생성하는 것이 좋습니다 텔레포트 자동 사용자 프로비저닝을 위해 특별히 지정되었습니다 teleport 관리자.

Teleport는 관리 사용자로 연결할 때 일반 사용자 연결과 동일한 인증 메커니즘을 사용합니다: 자체 호스팅 데이터베이스의 경우 X.509, RDS의 경우 AWS IAM입니다.

관리 사용자는 사용자를 생성하고 권한을 부여하기 위해 데이터베이스 내에서 권한이 있어야 합니다. 또한, 관리 사용자는 사용자 프로세스와 역할 할당을 모니터링할 수 있는 권한이 있어야 합니다.

또한, 기본적으로 관리 사용자가 로그인할 스키마가 필요합니다. 저장 프로시저도 이 스키마에서 생성되고 실행됩니다.

RDS MySQL 관리자 사용자는 IAM 인증을 허용하기 위해 AWSAuthenticationPlugin을 사용해야 합니다:

CREATE USER 'teleport-admin' IDENTIFIED WITH AWSAuthenticationPlugin AS 'RDS';
GRANT SELECT ON mysql.role_edges TO 'teleport-admin' ;
GRANT PROCESS, ROLE_ADMIN, CREATE USER ON *.* TO 'teleport-admin' ;

CREATE DATABASE IF NOT EXISTS `teleport`;
GRANT ALTER ROUTINE, CREATE ROUTINE, EXECUTE ON `teleport`.* TO 'teleport-admin' ;

자체 호스팅 MySQL 관리자 사용자는 X.509 인증이 구성되어 있어야 합니다:

CREATE USER "teleport-admin" REQUIRE SUBJECT "/CN=teleport-admin";
GRANT SELECT ON mysql.role_edges TO 'teleport-admin' ;
GRANT PROCESS, ROLE_ADMIN, CREATE USER ON *.* TO 'teleport-admin' ;

CREATE DATABASE IF NOT EXISTS `teleport`;
GRANT ALTER ROUTINE, CREATE ROUTINE, EXECUTE ON `teleport`.* TO 'teleport-admin' ;

Teleport에 의해 생성된 사용자는 데이터베이스에서 teleport-auto-user 역할이 할당되며, 이 역할은 존재하지 않을 경우 자동으로 생성됩니다.

그런 다음 텔레포트 데이터베이스 구성에서 데이터베이스 관리 사용자를 구성합니다:

db_service:
  enabled: "yes"
  databases:
  - name: "example"
    protocol: "mysql"
    uri: "localhost:3306"
    admin_user:
      name: "teleport-admin"
kind: db
version: v3
metadata:
  name: example
spec:
  protocol: "mysql"
  uri: "localhost:3306"
  admin_user:
    name: "teleport-admin"
Auto-discovered databases

자동 검색된 클라우드 데이터베이스의 경우 관리 사용자의 이름은 다음에서 가져옵니다 teleport.dev/db-admin 라벨.

2단계/3. Teleport 역할 구성

데이터베이스 내에서 사용자에게 할당해야 하는 데이터베이스 역할을 지정하려면, db_roles 역할 옵션을 사용합니다:

kind: role
version: v7
metadata:
  name: auto-db-users
spec:
  options:
    # create_db_user_mode enables automatic user provisioning for matching databases
    create_db_user_mode: keep
  allow:
    db_labels:
      "*": "*"
    db_names:
    - "*"
    # db_roles is a list of roles the database user will be assigned
    db_roles:
    - reader
    - "{{internal.db_roles}}"
    - "{{external.db_roles}}"

자동 사용자 프로비저닝을 통해 사용자는 항상 자신의 Teleport 사용자 이름으로 데이터베이스에 연결하므로, 데이터베이스 사용자 프로비저닝이 활성화된 역할에 대해서는 db_users 역할 필드가 무시됩니다.

사용 가능한 프로비저닝 모드는 다음과 같습니다:

  • off: 사용자 프로비저닝을 비활성화합니다.

  • keep: 사용자 프로비저닝을 활성화하고 세션 종료 시 사용자를 비활성화합니다. 사용자는 모든 역할이 제거되고 사용자 계정은 잠깁니다.

  • best_effort_drop: 사용자 프로비저닝을 활성화하고, 세션 종료 시 해당 사용자에게 의존하는 리소스가 없으면 사용자를 삭제합니다. 사용자가 의존하는 리소스가 있는 경우, keep 모드의 동작을 따라 사용자를 비활성화합니다.

데이터베이스 내에서 생성된 사용자는:

  • teleport-auto-user 역할이 할당됩니다.
  • 데이터베이스와 일치하는 Teleport 사용자의 역할 세트에서 모든 역할이 할당됩니다. 역할 이름은 유효해야 하며 데이터베이스에 존재해야 합니다.

데이터베이스는 사용자 이름을 32자로 제한합니다. Teleport 사용자 이름이 이 제한 내에 있을 경우, 데이터베이스 내에 생성되는 사용자는 Teleport 사용자 이름과 동일한 이름을 갖게 됩니다. Teleport 사용자 이름이 32자 제한을 초과할 경우, 데이터베이스 내에 생성되는 사용자는 tp-<base64-sha1-teleport-username> 형식의 이름을 갖게 됩니다.

원래 Teleport 사용자 이름은 데이터베이스 내의 사용자 속성으로 저장됩니다.

사용자는 자동 프로비저닝된 데이터베이스 세션에서 다음과 같이 자신의 속성을 찾을 수 있습니다:

SELECT * FROM INFORMATION_SCHEMA.USER_ATTRIBUTES WHERE CONCAT(USER, '@', HOST) = current_user();

데이터베이스 관리자는 특정 Teleport 사용자 이름을 다음과 같이 검색할 수 있습니다:

SELECT * FROM INFORMATION_SCHEMA.USER_ATTRIBUTES WHERE ATTRIBUTE->"$.user" = "teleport-user-name";

추가로, 데이터베이스 쿼리에서 Teleport 사용자 이름이 32자를 초과할 경우 "hashed"된 데이터베이스 내 이름은 Teleport 감사 로그의 db_user로 기록됩니다.

데이터베이스에 동일한 이름을 가진 사용자가 이미 존재하고 그 사용자가 Teleport에 의해 관리되지 않는 경우(즉, teleport-auto-user 역할이 할당되지 않은 경우), 연결이 중단될 수 있습니다.

3단계/3. 데이터베이스에 연결

이제 Teleport 클러스터에 로그인하고 데이터베이스에 연결하세요:

tsh login --proxy=teleport.example.com
tsh db connect --db-name <database> example
데이터베이스 사용자 이름

사용자 프로비저닝이 활성화된 데이터베이스에 연결할 때, 데이터베이스 서비스는 Teleport 사용자 이름을 데이터베이스 사용자 이름으로 사용할 것으로 예상합니다.

MySQL Workbench 와 같은 GUI 데이터베이스 클라이언트를 사용하는 경우, Teleport 사용자 이름을 데이터베이스 사용자 이름으로 사용해야 합니다. tsh db connect 명령은 사용자 프로비저닝이 활성화된 데이터베이스에 연결할 때 자동으로 Teleport 사용자 이름을 기본값으로 사용합니다.

사용자 프로비저닝이 활성화된 리프 클러스터 데이터베이스에 연결할 때, 데이터베이스 서비스는 데이터베이스 사용자 이름을 remote-<your-teleport-username>-<root-cluster-name>. 형식으로 예상합니다.

각 데이터베이스에 허용된 데이터베이스 역할 목록을 보려면 tsh db ls -v 명령을 사용할 수 있습니다. 기본적으로 모든 데이터베이스 역할이 자동 프로비저닝된 데이터베이스 사용자에게 할당됩니다. --db-roles 옵션을 사용하여 선택적으로 데이터베이스 역할의 하위 집합을 선택할 수 있습니다:

tsh db connect --db-name <database> --db-roles reader example

이제 Teleport 클러스터에 로그인하고 데이터베이스에 연결하세요:

tsh login --proxy=teleport.example.com
tsh db connect --db-name <database> example

문제 해결

데이터베이스 접근 거부 오류

기본적으로 새로 생성된 사용자는 특정 데이터베이스에 접근할 권한이 없습니다. 이러한 권한은 reader와 같은 데이터베이스별 역할을 통해 부여해야 합니다.

그렇지 않으면 다음과 같은 오류가 발생할 수 있습니다:

$ tsh db connect --db-name <database> example
ERROR 1105 (HY000): ERROR 1044 (42000): Access denied for user '<your-teleport-username>'@'%' to database '<database>'

테이블은 읽기 전용 오류

Amazon RDS Aurora 리더 엔드포인트에 연결할 때 다음과 같은 오류가 발생할 수 있습니다:

$ tsh db connect --db-name <database> example
ERROR 3501 (HY000): The ACL operation failed due to the following error from SE: errcode 165 - Table is read only

데이터베이스 자동 사용자 프로비저닝은 RDS Aurora 리더 엔드포인트와 호환되지 않습니다. 자동 사용자 프로비저닝은 기본 엔드포인트에서 사용해야 합니다.

매핑된 원격 사용자 이름 사용 오류

다음은 원격 클러스터의 데이터베이스에 연결할 때 발생할 수 있는 오류에 대한 설명입니다: cluster:

> tsh db connect --db-name <database> example
ERROR: please use your mapped remote username ("remote-<your-teleport-username>-<root-cluster-name>") to connect instead of "<database-user>"

원격 클러스터의 리소스에 접근할 때, 원격 클러스터는 로컬 클러스터로부터 remote-<your-teleport-username>-<root-cluster-name>이라는 이름을 받게 됩니다. 이는 원격 클러스터 내 사용자와의 이름 충돌을 방지하기 위한 것입니다. 따라서 tsh 또는 GUI 클라이언트를 통해 연결할 때 오류 메시지에 표시된 사용자 이름을 데이터베이스 사용자 이름으로 사용해야 합니다[2][3].

다음 단계

Teleport 원문 보기