Infograb logo
Amazon Keyspaces (Apache Cassandra)로 데이터베이스 액세스

Teleport는 Teleport Database Service를 통해 Amazon Keyspaces (Apache Cassandra)에 대한 안전한 접근을 제공할 수 있습니다. 이는 Teleport의 RBAC를 통해 세부적인 접근 제어를 가능하게 합니다.

이 가이드에서는 다음을 수행합니다:

  1. Amazon Keyspaces (Apache Cassandra) 데이터베이스 with IAM authentication를 구성합니다.
  2. 데이터베이스를 Teleport 클러스터에 추가합니다.
  3. Teleport를 통해 데이터베이스에 연결합니다.

작동 방식

Teleport 데이터베이스 서비스는 IAM 인증을 사용하여 Amazon Keyspaces와 통신합니다. 사용자가 Teleport를 통해 데이터베이스에 연결하면, Teleport 데이터베이스 서비스는 AWS 자격 증명을 얻고 데이터베이스에 접근할 수 있는 권한을 가진 IAM 주체로 AWS에 인증합니다.

필수 조건

  • 실행 중인 Teleport 클러스터 버전 이상. Teleport를 시작하려면, 가입하기 위해 무료 평가판에 등록하거나 데모 환경 설정하기를 참조하세요.

  • tctl 관리 도구와 tsh 클라이언트 도구.

    tctltsh 다운로드에 대한 지침은 설치를 방문하세요.

  • Amazon Keyspaces 데이터베이스가 있는 AWS 계정과 IAM 정책을 생성하고 연결할 수 있는 권한
  • cqlsh Cassandra 클라이언트가 설치되어 시스템의 PATH 환경 변수에 추가됨.
  • Teleport 데이터베이스 서비스를 실행할 호스트, 예: Amazon EC2 인스턴스.
  • 당신의 Teleport 클러스터에 연결할 수 있는지 확인하려면, tsh login으로 로그인한 다음 현재 자격 증명을 사용하여 tctl 명령어를 실행할 수 있는지 확인하십시오. 예를 들어:
    tsh login --proxy=teleport.example.com --user=email@example.com
    tctl status

    클러스터 teleport.example.com

    버전 16.2.0

    CA 핀 sha256:abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678

    클러스터에 연결하고 tctl status 명령어를 실행할 수 있다면, 현재 자격 증명을 사용하여 작업대에서 후속 tctl 명령어를 실행할 수 있습니다. 자신의 Teleport 클러스터를 호스팅하는 경우, Teleport 인증 서비스를 호스팅하는 컴퓨터에서 전체 권한으로 tctl 명령어를 실행할 수도 있습니다.

1단계/5. Teleport 데이터베이스 서비스 설정

Database 서비스는 Teleport 클러스터에 참여하려면 유효한 조인 토큰이 필요합니다.
다음 tctl 명령을 실행하고 토큰 출력을 /tmp/token에 저장하세요.
Database 서비스가 실행될 서버에서:

tctl tokens add --type=db --format=text
abcd123-insecure-do-not-use-this

AWS에 많은 인프라가 있는 사용자나 많은 인스턴스를 생성하거나 재생성할 수 있는 사용자에게는, 새로운 EC2 인스턴스를 Teleport에 연결하기 위한 대체 방법을 고려하세요:

Linux 서버에 Teleport 설치하기:

  1. Teleport 에디션에 따라 edition을(를) 다음 중 하나로 지정합니다:

    에디션
    Teleport Enterprise Cloudcloud
    Teleport Enterprise (자체 호스팅)enterprise
    Teleport Community Editionoss
  2. 설치할 Teleport의 버전을 확인합니다. 클러스터에서 자동 에이전트 업데이트가 활성화되어 있는 경우, 업데이터와 호환되는 최신 Teleport 버전을 쿼리합니다:

    TELEPORT_DOMAIN=example.teleport.com
    TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"

    그렇지 않으면, Teleport 클러스터의 버전을 확인합니다:

    TELEPORT_DOMAIN=example.teleport.com
    TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/ping | jq -r '.server_version')"
  3. Linux 서버에 Teleport를 설치합니다:

    curl https://cdn.teleport.dev/install-v16.2.0.sh | bash -s ${TELEPORT_VERSION} edition

    설치 스크립트는 Linux 서버에서 패키지 관리자를 감지하고 이를 사용하여 Teleport 바이너리를 설치합니다. 설치를 사용자 지정하려면 설치 가이드에서 Teleport 패키지 리포지토리에 대해 알아보세요.

Teleport 데이터베이스 서비스를 위한 구성을 생성하고, --proxy 플래그를 Teleport Proxy 서비스의 주소로 설정합니다:

sudo teleport db configure create \ -o file \ --token=/tmp/token \ --proxy=teleport.example.com:443 \ --name=keyspaces \ --protocol=cassandra \ --aws-account-id=12345678912 \ --aws-region=us-east-1 \ --labels=env=dev

Teleport 데이터베이스 서비스를 위한 구성을 생성하고, --proxy 플래그를 Teleport Proxy 서비스의 주소로 설정합니다:

sudo teleport db configure create \ -o file \ --token=/tmp/token \ --proxy=mytenant.teleport.sh:443 \ --name=keyspaces \ --protocol=cassandra \ --aws-account-id=12345678912 \ --aws-region=us-east-1 \ --labels=env=dev

Teleport 데이터베이스 서비스에 AWS에 인증하는 데 사용할 수 있는 자격 증명에 대한 액세스를 부여합니다.

Teleport 데이터베이스 서비스를 EC2 인스턴스에서 실행하는 경우 EC2 인스턴스 메타데이터 서비스 방법을 사용할 수 있습니다. 그렇지 않은 경우 환경 변수를 사용해야 합니다:

Teleport는 EC2 인스턴스에서 실행될 때 이를 감지하고 인스턴스 메타데이터 서비스를 사용하여 자격 증명을 가져옵니다.

EC2 인스턴스는 EC2 인스턴스 프로파일을 사용하도록 구성되어 있어야 합니다. 자세한 내용은 인스턴스 프로파일 사용하기를 참조하세요.

Teleport의 내장 AWS 클라이언트는 다음 환경 변수에서 자격 증명을 읽습니다:

  • AWS_ACCESS_KEY_ID
  • AWS_SECRET_ACCESS_KEY
  • AWS_DEFAULT_REGION

Teleport 데이터베이스 서비스를 시작하면 서비스는 /etc/default/teleport 경로의 파일에서 환경 변수를 읽습니다. 이 자격 증명은 귀하의 조직에서 가져오십시오. /etc/default/teleport에 다음 내용을 포함하고 각 변수의 값을 대체해야 합니다:

AWS_ACCESS_KEY_ID=00000000000000000000
AWS_SECRET_ACCESS_KEY=0000000000000000000000000000000000000000
AWS_DEFAULT_REGION=<YOUR_REGION>

Teleport의 AWS 클라이언트는 자격 증명을 다음 순서로 다양한 출처에서 로드합니다:

  • 환경 변수
  • 공유 자격 증명 파일
  • 공유 구성 파일 (Teleport는 항상 공유 구성을 활성화합니다)
  • EC2 인스턴스 메타데이터 (자격 증명 전용)

공유 자격 증명 파일 또는 공유 구성 파일을 통해 AWS 자격 증명을 제공할 수 있지만, Teleport 데이터베이스 서비스를 실행할 때 AWS_PROFILE 환경 변수를 선택한 프로파일의 이름으로 지정해야 합니다.

위의 지침이 고려하지 않은 특정 사용 사례가 있는 경우, 자격 증명 로딩 동작에 대한 자세한 설명을 보려면 AWS SDK for Go의 문서를 참조하십시오.

호스트가 부팅될 때 Teleport 데이터베이스 서비스가 자동으로 시작되도록 시스템 데몬 서비스를 생성하여 구성합니다. 지침은 Teleport 데이터베이스 서비스를 설치한 방법에 따라 다릅니다.

Teleport 데이터베이스 서비스를 실행할 호스트에서 Teleport를 활성화하고 시작하십시오:

sudo systemctl enable teleport
sudo systemctl start teleport

Teleport 데이터베이스 서비스를 실행할 호스트에서 Teleport에 대한 시스템 데몬 서비스 구성을 생성하고, Teleport 서비스를 활성화한 후 Teleport를 시작하십시오:

sudo teleport install systemd -o /etc/systemd/system/teleport.service
sudo systemctl enable teleport
sudo systemctl start teleport

Teleport 데이터베이스 서비스의 상태는 systemctl status teleport로 확인할 수 있으며, 로그는 journalctl -fu teleport로 볼 수 있습니다.

2단계/5. Teleport 사용자 생성

Tip

기존 사용자를 수정하여 데이터베이스 서비스에 대한 액세스를 제공하려면 데이터베이스 액세스 제어를 참조하세요.

내장된 access 역할로 로컬 Teleport 사용자를 생성하세요:

tctl users add \ --roles=access \ --db-users="*" \ --db-names="*" \ alice

내장된 accessrequester 역할로 로컬 Teleport 사용자를 생성하세요:

tctl users add \ --roles=access,requester \ --db-users="*" \ --db-names="*" \ alice
FlagDescription
--roles사용자에게 할당할 역할 목록입니다. 내장된 access 역할은 그들이 Teleport에 등록된 모든 데이터베이스 서버에 연결할 수 있도록 합니다.
--db-users사용자가 데이터베이스에 연결할 때 사용할 수 있는 데이터베이스 사용자 이름 목록입니다. 와일드카드는 모든 사용자를 허용합니다.
--db-names사용자가 데이터베이스 서버 내에서 연결할 수 있는 논리적 데이터베이스(일명 스키마) 목록입니다. 와일드카드는 모든 데이터베이스를 허용합니다.
Warning

데이터베이스 이름은 PostgreSQL, MongoDB 및 Cloud Spanner 데이터베이스에 대해서만 적용됩니다.

데이터베이스 액세스 제어와 액세스를 제한하는 방법에 대한 자세한 정보는 RBAC 문서를 참조하세요.

3단계/5. Amazon Keyspaces 역할 생성

AWS IAM 역할을 생성하여 Keyspaces 사용자로 사용합니다. IAM -> 액세스 관리 -> 역할로 이동합니다. 역할 생성 버튼을 눌러주세요.

AWS는 AmazonKeyspacesReadOnlyAccessAmazonKeyspacesFullAccess IAM 정책을 제공하며, 이를 Keyspaces 사용자의 역할에 통합할 수 있습니다. Amazon Keyspaces에 대한 읽기 전용 액세스를 원하시면 AmazonKeyspacesReadOnlyAccess를 선택하거나 전체 액세스를 원하시면 AmazonKeyspacesFullAccess를 선택하실 수 있습니다.

Tip

AmazonKeyspacesReadOnlyAccessAmazonKeyspacesFullAccess 정책은 의도한 접근 권한보다 너무 많거나 너무 적을 수 있습니다. 이를 사용할 계획이라면 기대하는 결과와 일치하는지 확인하십시오. 또한 사용자 정의 Amazon Keyspaces 권한 정책을 생성할 수도 있습니다: Amazon Keyspaces 기반 정책 예제.

역할 이름을 입력하고 "역할 생성"을 누르세요.

4단계/5. Teleport에 역할 전환 권한 부여

다음으로, Teleport 데이터베이스 서비스 인스턴스가 사용하고 있는 IAM 역할 또는 IAM 사용자에 다음 정책을 연결하여 데이터베이스 서비스가 IAM 역할을 전환할 수 있도록 허용합니다:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Resource": "*"
    }
  ]
}
Tip

와일드카드를 사용하는 대신 "리소스" 필드에 특정 IAM 역할 리소스 ARN을 제공하여 정책을 더 엄격하게 만들 수 있습니다.

5단계/5. 연결

데이터베이스 서비스가 클러스터에 조인한 후, 로그인하여 사용 가능한 데이터베이스를 확인합니다:

tsh login --proxy=teleport.example.com --user=alice
tsh db ls

이름 설명 허용 사용자 레이블 연결

--------- ----------- ------------- ------- -------

keyspaces [*] env=dev

tsh login --proxy=mytenant.teleport.sh --user=alice
tsh db ls

이름 설명 허용 사용자 레이블 연결

--------- ----------- ------------- ------- -------

keyspaces [*] env=dev

특정 데이터베이스 인스턴스에 KeyspacesReader AWS IAM Keyspaces 역할을 데이터베이스 사용자로 사용하여 연결하려면:

tsh db connect --db-user=KeyspacesReader keyspaces

Amazon Keyspaces에 연결됨: localhost:55084

[cqlsh 6.0.0 | Cassandra 3.11.2 | CQL 사양 3.4.4 | 기본 프로토콜 v4]

도움말을 보려면 HELP를 사용하십시오.

KeyspacesReader@cqlsh>

데이터베이스에서 로그아웃하고 자격 증명을 제거하려면:

특정 데이터베이스 인스턴스에 대한 자격 증명 제거.

tsh db logout keyspaces

모든 데이터베이스 인스턴스에 대한 자격 증명 제거.

tsh db logout

추가 자료

다음 단계

Teleport 원문 보기