Amazon DocumentDB에 대한 데이터베이스 액세스

Teleport는 Teleport Database Service를 통해 Amazon DocumentDB에 대한 안전한 접근을 제공할 수 있습니다. 이는 Teleport의 RBAC를 통해 세부적인 접근 제어를 가능하게 합니다.

이 가이드에서는 다음을 수행합니다:

Amazon DocumentDB 데이터베이스 with IAM authentication를 구성합니다.
데이터베이스를 Teleport 클러스터에 추가합니다.
Teleport를 통해 데이터베이스에 연결합니다.

작동 방식

Teleport 데이터베이스 서비스는 IAM 인증을 사용하여 Amazon DocumentDB와 통신합니다. 사용자가 Teleport를 통해 데이터베이스에 연결하면, Teleport 데이터베이스 서비스는 AWS 자격 증명을 얻고 데이터베이스에 접근할 수 있는 권한을 가진 IAM 주체로 AWS에 인증합니다.

이 가이드는 Teleport 클러스터에 단일 Amazon DocumentDB cluster을 등록하는 방법을 보여줍니다. 더 확장 가능한 접근 방식을 원하신다면, 데이터베이스 자동 발견을 설정하여 인프라에서 모든 데이터베이스를 자동으로 등록하는 방법을 알아보세요.

사전 조건

실행 중인 Teleport 클러스터 버전 이상. Teleport를 시작하려면, 가입하기 위해 무료 평가판에 등록하거나 데모 환경 설정하기를 참조하세요.
tctl 관리 도구와 tsh 클라이언트 도구.

tctl과 tsh 다운로드에 대한 지침은 설치를 방문하세요.

DocumentDB 클러스터가 있는 AWS 계정.

IAM 인증 및 TLS
Teleport는 DocumentDB에 연결하기 위해 IAM 인증을 사용합니다. 이는 DocumentDB 5.0 이상에서만 지원됩니다.
또한 DocumentDB 클러스터에는 전송 계층 보안(TLS)이 활성화되어 있어야 합니다. 기본 매개변수 그룹을 사용할 때 TLS는 기본적으로 활성화되어 있습니다.
시스템의 PATH 환경 변수에 설치되고 추가된 명령줄 클라이언트 mongosh 또는 mongo.
Teleport 데이터베이스 서비스를 실행할 EC2 인스턴스와 같은 호스트.
당신의 Teleport 클러스터에 연결할 수 있는지 확인하려면, tsh login으로 로그인한 다음 현재 자격 증명을 사용하여 tctl 명령어를 실행할 수 있는지 확인하십시오.

예를 들어:
```
tsh login --proxy=teleport.example.com --user=email@example.com
tctl status
클러스터  teleport.example.com
버전  16.2.0
CA 핀   sha256:abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678
```
클러스터에 연결하고 tctl status 명령어를 실행할 수 있다면, 현재 자격 증명을 사용하여 작업대에서 후속 tctl 명령어를 실행할 수 있습니다.

자신의 Teleport 클러스터를 호스팅하는 경우, Teleport 인증 서비스를 호스팅하는 컴퓨터에서 전체 권한으로 tctl 명령어를 실행할 수도 있습니다.

1단계/6. Teleport 사용자 생성

Tip

기존 사용자를 수정하여 데이터베이스 서비스에 대한 액세스를 제공하려면 데이터베이스 액세스 제어를 참조하세요.

내장된 access 역할로 로컬 Teleport 사용자를 생성하세요:

tctl users add \  --roles=access \  --db-users="*" \  --db-names="*" \  alice

내장된 access 및 requester 역할로 로컬 Teleport 사용자를 생성하세요:

tctl users add \  --roles=access,requester \  --db-users="*" \  --db-names="*" \  alice

Flag	Description
`--roles`	사용자에게 할당할 역할 목록입니다. 내장된 `access` 역할은 그들이 Teleport에 등록된 모든 데이터베이스 서버에 연결할 수 있도록 합니다.
`--db-users`	사용자가 데이터베이스에 연결할 때 사용할 수 있는 데이터베이스 사용자 이름 목록입니다. 와일드카드는 모든 사용자를 허용합니다.
`--db-names`	사용자가 데이터베이스 서버 내에서 연결할 수 있는 논리적 데이터베이스(일명 스키마) 목록입니다. 와일드카드는 모든 데이터베이스를 허용합니다.

Warning

데이터베이스 이름은 PostgreSQL, MongoDB 및 Cloud Spanner 데이터베이스에 대해서만 적용됩니다.

데이터베이스 액세스 제어와 액세스를 제한하는 방법에 대한 자세한 정보는 RBAC 문서를 참조하세요.

2단계/6. 데이터베이스 서비스 구성 생성

Database 서비스는 Teleport 클러스터에 참여하려면 유효한 조인 토큰이 필요합니다.
다음 tctl 명령을 실행하고 토큰 출력을 /tmp/token에 저장하세요.
Database 서비스가 실행될 서버에서:

tctl tokens add --type=db --format=text
abcd123-insecure-do-not-use-this

AWS에 많은 인프라가 있는 사용자나 많은 인스턴스를 생성하거나 재생성할 수 있는 사용자에게는, 새로운 EC2 인스턴스를 Teleport에 연결하기 위한 대체 방법을 고려하세요:

Linux 서버에 Teleport 설치하기:

Teleport 에디션에 따라 edition을(를) 다음 중 하나로 지정합니다:

에디션 값
Teleport Enterprise Cloud cloud
Teleport Enterprise (자체 호스팅) enterprise
Teleport Community Edition oss

에디션	값
Teleport Enterprise Cloud	`cloud`
Teleport Enterprise (자체 호스팅)	`enterprise`
Teleport Community Edition	`oss`

설치할 Teleport의 버전을 확인합니다. 클러스터에서 자동 에이전트 업데이트가 활성화되어 있는 경우, 업데이터와 호환되는 최신 Teleport 버전을 쿼리합니다:

TELEPORT_DOMAIN=example.teleport.com
TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"

그렇지 않으면, Teleport 클러스터의 버전을 확인합니다:

TELEPORT_DOMAIN=example.teleport.com
TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/ping | jq -r '.server_version')"

Linux 서버에 Teleport를 설치합니다:
```
curl https://cdn.teleport.dev/install-v16.2.0.sh | bash -s ${TELEPORT_VERSION} edition
```
설치 스크립트는 Linux 서버에서 패키지 관리자를 감지하고 이를 사용하여 Teleport 바이너리를 설치합니다. 설치를 사용자 지정하려면 설치 가이드에서 Teleport 패키지 리포지토리에 대해 알아보세요.

데이터베이스 서비스를 실행하는 노드에서 구성 파일을 생성합니다. URI로 DocumentDB 클러스터 엔드포인트와 포트를 사용합니다:

sudo teleport db configure create \   -o file \   --name="my-docdb" \   --proxy=example.teleport.sh:443 \   --protocol=mongodb \   --token=/tmp/token \   --uri="my-docdb.cluster-abcdefghijklm.us-east-1.docdb.amazonaws.com:27017"

이 명령은 AWS DocumentDB 클러스터를 프록시하기 위한 데이터베이스 서비스 구성을 생성하고 구성을 /etc/teleport.yaml 에 저장합니다.

3단계/6. 데이터베이스 서비스에 대한 IAM 역할 생성

먼저, AWS 콘솔의 IAM > 정책 페이지로 이동하여 "정책 생성"을 누릅니다.

정책 편집기로 JSON 옵션을 사용하고 다음 정책을 붙여넣습니다:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "rds:DescribeDBClusters"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {"iam:ResourceTag/TeleportDatabaseService": "Allowed"}
            }
        }
    ]
}

이 정책은 Teleport 데이터베이스 서비스가 DocumentDB 클러스터 메타데이터를 검색하고 DocumentDB 사용자가 되기 위해 IAM 역할을 가정할 수 있도록 허용합니다. sts:AssumeRole에는 Teleport 데이터베이스 서비스가 가정할 수 있는 IAM 역할을 제한하기 위한 리소스 태그 조건이 있습니다.

다음을 클릭하고 정책 이름을 입력합니다. 이 가이드에서는 예시 이름 TeleportDatabaseAccessDocumentDB 를 사용합니다.

이제 AWS 콘솔의 IAM > 역할 페이지로 이동하여 "역할 생성"을 누릅니다. 신뢰할 수 있는 엔터티 유형에서 "AWS 서비스"를 선택합니다. 사용 사례에서 "EC2" 또는 원하는 사용 사례를 선택한 후 다음을 클릭합니다.

"권한 추가" 페이지에서 이전 단계에서 생성한 TeleportDatabaseAccessDocumentDB 정책을 찾아 선택합니다.

"다음"을 클릭하고 역할 이름을 입력합니다. 이 가이드에서는 예시 이름 TeleportDatabaseService 을 사용할 것입니다. 이름을 선택한 후 역할 생성을 클릭하여 프로세스를 완료합니다.

4단계/6. 데이터베이스 서비스 시작

호스트가 부팅될 때 the Database Service가 자동으로 시작되도록 시스템 데몬 서비스를 생성하여 구성합니다. 지침은 the Database Service를 설치한 방법에 따라 다릅니다.

the Database Service를 실행할 호스트에서 Teleport를 활성화하고 시작하십시오:

sudo systemctl enable teleport
sudo systemctl start teleport

the Database Service를 실행할 호스트에서 Teleport에 대한 시스템 데몬 서비스 구성을 생성하고, Teleport 서비스를 활성화한 후 Teleport를 시작하십시오:

sudo teleport install systemd -o /etc/systemd/system/teleport.service
sudo systemctl enable teleport
sudo systemctl start teleport

the Database Service의 상태는 systemctl status teleport로 확인할 수 있으며, 로그는 journalctl -fu teleport로 볼 수 있습니다.

데이터베이스 서비스는 이전에 지정한 URI로 Amazon DocumentDB 클러스터를 프록시합니다. AWS IAM 변경 사항이 즉시 전파되지 않을 수 있으며 몇 분 안에 효과가 나타날 수 있음을 유의하십시오.

5단계/6. DocumentDB 사용자에 대한 IAM 역할 생성

이 단계에서는 Teleport 데이터베이스 서비스가 Teleport 사용자를 대신하여 DocumentDB에 인증하기 위해 가정할 수 있는 IAM 역할을 생성합니다.

IAM 역할 생성

AWS 웹 콘솔의 역할 페이지로 돌아가서 새 역할을 생성합니다. "AWS 계정" 옵션을 선택하여 기본 신뢰 정책을 생성하여 이 계정 내의 다른 엔터티가 이 역할을 가정할 수 있도록 합니다:

"권한 추가" 페이지를 건너뛰고 다음을 클릭하고 역할 이름을 입력합니다. 이 가이드에서는 이 역할에 대해 "teleport-docdb-user"라는 예시 이름을 사용할 것입니다.

이제 3단계에서 새 태그 추가를 클릭하고 키에 TeleportDatabaseService, 값에 Allowed를 입력합니다. 그런 다음 역할 생성을 클릭하여 프로세스를 완료합니다.

DocumentDB 사용자 만들기

네트워크 액세스가 있는 머신에서 마스터 사용자 이름과 비밀번호로 DocumentDB 클러스터에 로그인합니다. IAM 역할 ARN을 사용자 이름으로 사용하고 인증 메커니즘으로 MONGODB-AWS를 지정하여 DocumentDB 사용자를 만듭니다:

use $external;db.createUser(    {        user: "arn:aws:iam::123456789012:role/teleport-docdb-user",        mechanisms: ["MONGODB-AWS"],        roles: [ { role: "root", db: "admin" },  ]    });

이 예시는 루트 권한이 있는 DocumentDB IAM 사용자를 생성합니다. 필요에 따라 권한을 조정할 수 있습니다.

비밀번호 인증 피하기

이 단계는 비밀번호 인증을 사용해야 하는 일회성 설정입니다. 그러나, 첫 번째 IAM 사용자를 생성한 후에는 Teleport를 통해 DocumentDB에 액세스하여 첫 번째 IAM 사용자를 사용하여 추가 DocumentDB IAM 사용자를 생성하면 비밀번호 인증을 건너뛰고 진행할 수 있습니다.

6단계/6. 연결

데이터베이스 서비스가 시작되고 클러스터에 조인된 후, 등록된 데이터베이스를 보려면 로그인합니다:

tsh login --proxy=example.teleport.sh:443 --user=alice
tsh db ls
이름     설명 레이블
-------- ----------- --------
my-docdb             env=dev

데이터베이스의 자격 증명을 검색하고 teleport-docdb-user 사용자로 연결합니다:

tsh db connect --db-user=teleport-docdb-user --db-name=test my-docdb

데이터베이스에서 로그아웃하고 자격 증명을 제거합니다:

tsh db logout rds-example

문제 해결

인증서 오류

tsh db connect 오류에 다음 텍스트가 포함되어 있다면, 2020년 7월 28일 이전에 생성된 RDS 또는 DocumentDB 데이터베이스가 있어 Teleport와 호환되지 않는 X.509 인증서를 제공하고 있을 가능성이 있습니다:

x509: certificate relies on legacy Common Name field, use SANs instead

AWS는 SSL/TLS 인증서를 교체하는 방법을 제공합니다.

자격 증명 공급자 오류

로그에 NoCredentialProviders: no valid providers in chain 오류가 표시되면 Database 서비스 로그에서 Teleport가 AWS IAM 권한을 통해 연결하는 데 필요한 자격 증명을 감지하지 못하고 있다는 의미입니다. Teleport Database 서비스가 실행 중인 기계에 자격 증명 또는 보안 역할이 적용되었는지 확인하세요.

EKS에서 실행할 때, Teleport Database 서비스가 PUT 요청의 홉 제한이 1로 설정된 워커 노드 인스턴스에 IMDSv2에 접근할 수 없는 경우 이 오류가 발생할 수 있습니다. 다음 명령어를 사용하여 홉 제한을 확인할 수 있습니다:

aws ec2 describe-instances --instance-ids <node-instance-id> | grep HttpPutResponseHopLimit
                        "HttpPutResponseHopLimit": 1,

자세한 내용을 보려면 IMDSv2 지원 EKS 및 EKS 모범 사례를 참조하세요.

타임아웃 오류

텔레포트 데이터베이스 서비스는 데이터베이스 엔드포인트에 연결할 수 있어야 합니다. 이는 데이터베이스 서비스와 동일한 VPC에서 데이터베이스에 대한 인바운드 트래픽을 활성화하거나 다른 VPC의 라우팅 규칙을 필요로 할 수 있습니다. nc 프로그램을 사용하여 데이터베이스 연결을 확인할 수 있습니다:

nc -zv postgres-instance-1.sadas.us-east-1.rds.amazonaws.com 5432
postgres-instance-1.sadas.us-east-1.rds.amazonaws.com (172.31.24.172) 5432 포트 [tcp/postgresql]에 연결되었습니다!

`sts:AssumeRole` 수행 권한이 없습니다

데이터베이스 서비스는 다음 상황 중 하나에서 IAM 역할을 가정합니다:

텔레포트 사용자가 AWS 서비스에 접근할 때 사용할 데이터베이스 사용자로 IAM 역할을 지정합니다. IAM 역할을 데이터베이스 사용자로 사용할 수 있는 데이터베이스로는 DynamoDB, Keyspaces, Opensearch, Redshift 및 Redshift Serverless가 포함됩니다.
데이터베이스 리소스 또는 동적 리소스 매처에 대해 assume_role_arn 필드가 지정되었습니다.

위의 두 조건이 모두 데이터베이스 연결에 대해 참일 경우, 데이터베이스 서비스는 먼저 assume_role_arn에 지정된 IAM 역할을 가정하고, 그 다음 해당 IAM 역할을 사용하여 데이터베이스 사용자에 대한 IAM 역할을 가정합니다.

IAM 역할 간의 신뢰 관계가 올바르게 구성되지 않은 경우 다음 오류를 만날 수 있습니다:

AccessDenied: User: arn:aws:sts::111111111111:assumed-role/teleport-db-service-role/i-*는 리소스: arn:aws:iam::111111111111:role/db-user-role에 대해 sts:AssumeRole을 수행할 권한이 없습니다.

IAM 역할 teleport-db-service-role이 IAM 역할 db-user-role를 가정할 수 있도록 허용하려면 일반적으로 다음이 필요합니다:

1. db-user-role의 신뢰 관계 구성

teleport-db-service-role 또는 그 AWS 계정은 db-user-role의 신뢰 정책에서 Principal로 설정되어야 합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::aws-account-id:role/teleport-db-service-role"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::aws-account-id:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::external-aws-account-id:role/teleport-db-service-role"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "sts:ExternalId": "example-external-id"
        }
      }
    }
  ]
}

2. teleport-db-service-role의 권한 정책 구성

teleport-db-service-role은 sts:AssumeRole 권한이 필요합니다. 예:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Resource": "arn:aws:iam::aws-account-id:role/db-user-role"
        }
    ]
}

이 정책은 teleport-db-service-role과 db-user-role가 동일한 AWS 계정에 있고 teleport-db-service-role의 전체 ARN이 db-user-role의 신뢰 정책에 Principal로 설정되어 있으면 생략할 수 있습니다.

3. teleport-db-service-role의 권한 경계 구성

teleport-db-service-role에 연결된 권한 경계가 없는 경우 이 단계를 건너뛸 수 있습니다. 그렇지 않으면 teleport-db-service-role에 연결된 경계 정책에는 sts:AssumeRole 권한이 포함되어야 하며, 예시는 다음과 같습니다:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

신뢰 관계를 테스트하려면 teleport-db-service-role로 다음 AWS CLI 명령을 실행하십시오:

aws sts assume-role --role-arn arn:aws:iam::111111111111:role/db-user-role --role-session-name test-trust-relationship

IAM 역할과 함께 신뢰 정책을 사용하는 방법에 대해 더 알아보세요.

"MONGODB-AWS" 메커니즘을 사용하여 인증할 수 없음 오류

IAM 인증이 실패할 경우 다음 오류가 발생할 수 있습니다:

tsh db connect --db-user=teleport-docdb-user --db-name=test my-docdb
...MongoServerSelectionError: 데이터베이스에 연결하는 중 오류	connection() 오류: 인증 오류: sasl 대화 오류: "MONGODB-AWS" 메커니즘을 사용하여 인증할 수 없음: 인증 실패.ERROR: exit status 1

대상 DocumentDB 클러스터의 "$external" 데이터베이스에 DocumentDB 사용자로 IAM 역할이 존재하며 DocumentDB 사용자가 인증을 위해 MONGODB-AWS 메커니즘으로 구성되었는지 확인하십시오.

자세한 내용은 IAM ID를 사용한 인증을 참조하십시오.

다음 단계

특정 사용자와 데이터베이스에 대한 액세스를 제한하는 방법을 알아보세요.
고가용성(HA) 가이드를 확인하세요.
YAML 구성 참조를 살펴보세요.
전체 CLI 참조를 확인하세요.

DocumentDB에서 IAM ID를 사용한 인증에 대해 자세히 알아보세요.

Teleport 원문 보기