Infograb logo
Amazon DynamoDB를 사용한 데이터베이스 접근

Teleport은 Teleport Database Service를 통해 Amazon DynamoDB에 대한 안전한 액세스를 제공할 수 있습니다. 이를 통해 Teleport의 RBAC를 통한 세부적인 액세스 제어가 가능합니다.

이 가이드에서는 다음을 수행합니다:

  1. Amazon DynamoDB 데이터베이스 IAM 인증 사용를 구성합니다.
  2. 데이터베이스를 Teleport 클러스터에 추가합니다.
  3. Teleport를 통해 데이터베이스에 연결합니다.

작동 방식

Teleport 사용자는 로컬 프록시 서버를 사용하여 DynamoDB에 연결하며, 이 프록시 서버는 요청을 Teleport Database Service로 전달합니다. 연결할 때 사용자는 가정할 IAM 역할을 선택합니다. Teleport Database Service는 이 역할과 다른 IAM 역할을 가정할 수 있는 권한을 가지고 있습니다. Teleport Database Service가 사용자 요청을 수신하면, AWS의 자격 증명으로 요청을 재작성한 다음 이를 DynamoDB API로 전달합니다.

전제 조건

  • DynamoDB 데이터베이스가 있는 AWS 계정.
  • IAM 역할을 생성할 수 있는 IAM 권한.
  • $PATH 에 설치된 aws Command Line Interface (CLI) 도구.
  • 실행 중인 Teleport 클러스터 버전 17.0.0-dev 이상. Teleport를 시작하려면 가입하여 무료 평가판을 이용하거나 데모 환경 설정 방법을 확인하십시오.

  • tctl 관리자 도구와 tsh 클라이언트 도구.

    tctltsh 다운로드 방법에 대한 지침은 설치를 방문하십시오.

  • Teleport Database Service를 실행할 호스트(예: EC2 인스턴스). 이 가이드는 IAM 역할 생성 및 적용할 때 EC2 인스턴스를 가정하며, 사용자 정의 구성에 맞게 조정해야 합니다.
  • 연결이 가능한지 확인하기 위해 tsh login 으로 로그인한 다음, 현재 자격 증명을 사용하여 tctl 명령어를 실행할 수 있는지 확인하십시오. 예를 들어:
    tsh login --proxy=teleport.example.com --user=email@example.com
    tctl status

    클러스터 teleport.example.com

    버전 17.0.0-dev

    CA 핀 sha256:abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678

    클러스터에 연결할 수 있고 tctl status 명령어를 실행할 수 있다면, 현재 자격 증명을 사용하여 워크스테이션에서 후속 tctl 명령어를 실행할 수 있습니다.
    자신의 Teleport 클러스터를 호스팅하는 경우, Teleport Auth Service를 호스팅하는 컴퓨터에서 전체 권한으로 tctl 명령어를 실행할 수도 있습니다.

이 가이드는 IAM 접근 역할의 예제 구성을 모델로 제공하며, EC2 인스턴스를 사용하여 Teleport Database Service를 제공합니다. 제공된 접근 수준은 귀하의 요구에 맞지 않거나 귀하의 조직 접근 규칙에 적합하지 않을 수 있습니다. AWS IAM 권한을 귀하의 요구에 맞게 조정해야 합니다.

1/4단계. DynamoDB 접근을 위한 IAM 역할 생성

이 가이드에 설명된 설정은 두 개의 IAM 역할이 필요합니다:

  • Teleport Database Service를 실행하는 EC2 인스턴스에 연결된 하나의 역할로, 사용자가 부여된 추가 역할을 가정할 수 있게 합니다.
  • EC2 인스턴스 역할이 가정할 수 있으며, 사용자가 DynamoDB 서비스에 접근할 수 있도록 부여하는 역할입니다.

EC2 인스턴스 역할

AWS 콘솔의 IAM > 역할 페이지로 이동한 다음, "역할 생성"을 클릭합니다. 신뢰할 수 있는 엔터티 유형에서 "AWS 서비스"를 선택합니다. 용도에서 "EC2"를 선택한 다음 다음을 클릭합니다.

"권한 추가" 페이지에서 이 역할은 권한이 필요하지 않으므로 다음을 클릭할 수 있습니다. 본 가이드에서는 이 역할에 대해 TeleportDatabaseService 라는 예제 이름을 사용할 것입니다. 이름을 선택한 후 역할 생성을 클릭하여 프로세스를 완료합니다.

DynamoDB 접근 역할

역할 페이지로 돌아가서 새 역할을 생성합니다. "AWS 계정" 옵션을 선택하면 이 계정의 다른 엔터티가 이 역할을 가정할 수 있도록 기본 신뢰 정책이 생성됩니다:

다음을 클릭합니다. AWS 관리 정책 AmazonDynamoDBFullAccess 를 찾아 선택합니다:

최소 권한 적용

AmazonDynamoDBFullAccess 정책은 원치 않는 권한을 더 부여할 수 있습니다. 권한을 줄이기 위해 다른 IAM 정책을 사용하려는 경우, Amazon DynamoDB 리소스에 대한 접근 권한 관리 를 참조하시기 바랍니다.

다음을 클릭합니다. 다음 페이지에서 역할 이름을 입력합니다. 본 가이드에서는 이 역할에 대해 ExampleTeleportDynamoDBRole 이라는 예제 이름을 사용할 것입니다.

"신뢰할 수 있는 엔터티 선택" 아래의 JSON을 업데이트하여 TeleportDatabaseService 역할이 이 역할을 가정할 수 있도록 합니다:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::abcd1234-this-is-an-example:role/TeleportDatabaseService"
        ]
      },
      "Action": "sts:AssumeRole",
      "Condition": {}
    }
  ]
}

마지막으로 역할 생성을 클릭합니다.

2/4단계. Teleport IAM 역할 매핑 구성

다음 단계는 Teleport 사용자가 Teleport 클러스터를 통해 AWS 리소스에 접근할 때 AWS IAM 역할을 사용할 수 있는 권한을 부여하는 것입니다.

이를 위해 이전 단계에서 생성한 IAM 역할 ARN을 나열하는 db_users 필드를 가진 Teleport 역할을 생성하면 됩니다. 다음 내용을 포함하는 aws-dynamodb-access.yaml 파일을 생성하십시오:

kind: role
version: v7
metadata:
  name: aws-dynamodb-access
spec:
  allow:
    db_labels:
      "*": "*"
    db_users:
      - "ExampleTeleportDynamoDBRole"

새 역할을 생성하십시오:

tctl create -f aws-dynamodb-access.yaml

aws-dynamodb-access 역할을 Teleport 사용자에게 할당하려면, 인증 제공자에 맞는 적절한 명령어를 실행하십시오:

  1. 로컬 사용자의 역할을 쉼표로 구분된 목록으로 가져옵니다:

    ROLES=$(tsh status -f json | jq -r '.active.roles | join(",")')
  2. 새로운 역할을 추가하기 위해 로컬 사용자를 수정합니다:

    tctl users update $(tsh status -f json | jq -r '.active.username') \ --set-roles "${ROLES?},aws-dynamodb-access"
  3. Teleport 클러스터에서 로그아웃한 후 다시 로그인하여 새로운 역할을 가집니다.

  1. 텍스트 편집기에서 github 인증 커넥터를 엽니다:

    tctl edit github/github
  2. github 커넥터를 수정하여 teams_to_roles 섹션에 aws-dynamodb-access 을 추가합니다.

    이 역할에 매핑해야 하는 팀은 조직의 역할 기반 액세스 제어(RBAC) 설계에 따라 다릅니다. 그러나 팀은 귀하의 사용자 계정을 포함해야 하며, 조직 내에서 가장 작은 팀이어야 합니다.

    예시는 다음과 같습니다:

      teams_to_roles:
        - organization: octocats
          team: admins
          roles:
            - access
    +       - aws-dynamodb-access
    
  3. 파일을 편집하고 저장하여 변경 사항을 적용합니다.

  4. Teleport 클러스터에서 로그아웃한 후 다시 로그인하여 새로운 역할을 가집니다.

  1. saml 구성 리소스를 가져옵니다:

    tctl get --with-secrets saml/mysaml > saml.yaml

    --with-secrets 플래그는 spec.signing_key_pair.private_key 의 값을 saml.yaml 파일에 추가합니다. 이 키는 민감한 값을 포함하므로, 리소스를 업데이트한 후 즉시 saml.yaml 파일을 삭제해야 합니다.

  2. saml.yaml 을 수정하여 attributes_to_roles 섹션에 aws-dynamodb-access 을 추가합니다.

    이 역할에 매핑해야 하는 속성은 조직의 역할 기반 액세스 제어(RBAC) 설계에 따라 다릅니다. 그러나 그룹은 귀하의 사용자 계정을 포함해야 하며, 조직 내에서 가장 작은 그룹이어야 합니다.

    예시는 다음과 같습니다:

      attributes_to_roles:
        - name: "groups"
          value: "my-group"
          roles:
            - access
    +       - aws-dynamodb-access
    
  3. 변경 사항을 적용합니다:

    tctl create -f saml.yaml
  4. Teleport 클러스터에서 로그아웃한 후 다시 로그인하여 새로운 역할을 가집니다.

  1. oidc 구성 리소스를 가져옵니다:

    tctl get oidc/myoidc --with-secrets > oidc.yaml

    --with-secrets 플래그는 spec.signing_key_pair.private_key 의 값을 oidc.yaml 파일에 추가합니다. 이 키는 민감한 값을 포함하므로, 리소스를 업데이트한 후 즉시 oidc.yaml 파일을 삭제해야 합니다.

  2. oidc.yaml 을 수정하여 claims_to_roles 섹션에 aws-dynamodb-access 을 추가합니다.

    이 역할에 매핑해야 하는 클레임은 조직의 역할 기반 액세스 제어(RBAC) 설계에 따라 다릅니다. 그러나 그룹은 귀하의 사용자 계정을 포함해야 하며, 조직 내에서 가장 작은 그룹이어야 합니다.

    예시는 다음과 같습니다:

      claims_to_roles:
        - name: "groups"
          value: "my-group"
          roles:
            - access
    +       - aws-dynamodb-access
    
  3. 변경 사항을 적용합니다:

    tctl create -f oidc.yaml
  4. Teleport 클러스터에서 로그아웃한 후 다시 로그인하여 새로운 역할을 가집니다.

3/4단계. Teleport 데이터베이스 서비스 설치

Teleport 데이터베이스 서비스를 호스팅할 EC2 인스턴스를 생성하고 TeleportDatabaseService AWS IAM 역할을 이를 연결하십시오. 서비스가 다른 방식으로 호스팅되고 있는 경우, 서비스에 AWS 자격 증명을 제공해야 합니다. 자세한 내용은 AWS 자격 증명 구성을 참조하십시오.

비표준 AWS 리전

AWS GovCloud (US) 리전 및 AWS 중국 리전과 같은 비표준 AWS 리전의 경우, 데이터베이스 서비스가 올바른 STS 엔드포인트를 사용할 수 있도록 AWS_REGION 환경 변수 또는 AWS 자격 증명 파일에 해당 리전을 설정하십시오.

토큰 생성

AWS에 많은 인프라를 가진 사용자나 많은 인스턴스를 생성하거나 재생성할 가능성이 있는 사용자에게는 Teleport를 실행하는 새로운 EC2 인스턴스에 조인하기 위한 대체 방법을 고려하십시오:

Database 서비스는 Teleport 클러스터에 조인하기 위해 유효한 조인 토큰이 필요합니다.
다음 tctl 명령어를 실행하고 Database 서비스가 실행될 서버에 /tmp/token 안에 토큰 출력을 저장하세요:

tctl tokens add --type=db --format=text
abcd123-insecure-do-not-use-this

Teleport 설치 및 시작

Linux 서버에 Teleport 설치하기:

  1. Teleport 에디션에 따라 edition를 다음 중 하나로 할당합니다:

    에디션
    Teleport Enterprise Cloudcloud
    Teleport Enterprise (자가 호스팅)enterprise
    Teleport Community Editionoss
  2. 설치할 Teleport 버전을 가져옵니다. 클러스터에서 자동 에이전트 업데이트가 활성화된 경우, 최신 Teleport 버전을 쿼리하여 업데이트된 내용과의 호환성을 확인합니다:

    TELEPORT_DOMAIN=example.teleport.com
    TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"

    그렇지 않으면, Teleport 클러스터의 버전을 가져옵니다:

    TELEPORT_DOMAIN=example.teleport.com
    TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/ping | jq -r '.server_version')"
  3. Linux 서버에 Teleport를 설치합니다:

    curl https://cdn.teleport.dev/install-v15.4.11.sh | bash -s ${TELEPORT_VERSION} edition

    설치 스크립트는 Linux 서버에서 패키지 관리자를 감지하고 이를 사용하여 Teleport 바이너리를 설치합니다. 설치를 사용자 정의하려면 설치 가이드에서 Teleport 패키지 리포지토리에 대해 알아보세요.

다음 내용을 포함하는 /etc/teleport.yaml 파일을 생성하십시오:

version: v3
teleport:
  nodename: CHANGEME
  data_dir: /var/lib/teleport
  proxy_server: teleport.example.com:443
  auth_token: /tmp/token
db_service:
  enabled: "yes"
  # 이 에이전트에 의해 프록시된 정적으로 등록된 데이터베이스 목록.
  databases:
    - name: "example-dynamodb"
      protocol: "dynamodb"
      # 선택적 URI, URI가 설정된 경우 AWS 리전을 이로부터 추출할 수 있습니다.
      # 또는 AWS 리전이 이미 설정된 경우 리전이 일치해야 합니다.
      # uri: "dynamodb.us-east-1.amazonaws.com:443"
      static_labels:
        env: "dev"
      aws:
        region: "us-east-1"
        account_id: "abcd1234-this-is-an-example"

teleport.example.com 을 Teleport Proxy 서비스의 주소로 바꾸십시오. (Teleport Cloud 고객의 경우, 이는 mytenant.teleport.sh 와 유사할 것입니다.) 생성된 토큰은 /tmp/token 파일에 있어야 합니다.

호스트가 부팅될 때 the Teleport Database Service가 자동으로 시작되도록 systemd 서비스를 생성하여 구성합니다. 지침은 the Teleport Database Service를 설치한 방법에 따라 다릅니다.

the Teleport Database Service를 실행할 호스트에서 Teleport를 활성화하고 시작합니다:

sudo systemctl enable teleport
sudo systemctl start teleport

the Teleport Database Service를 실행할 호스트에서 Teleport의 systemd 서비스 구성을 만들고, Teleport 서비스를 활성화한 후 Teleport를 시작합니다:

sudo teleport install systemd -o /etc/systemd/system/teleport.service
sudo systemctl enable teleport
sudo systemctl start teleport

systemctl status teleport 로 the Teleport Database Service의 상태를 확인하고, journalctl -fu teleport 로 로그를 볼 수 있습니다.

4/4단계 연결

데이터베이스 서비스가 시작되고 클러스터에 조인되면, DynamoDB 데이터베이스에 연결을 시작할 수 있습니다.

프록시 터널을 생성하십시오:

tsh proxy db --tunnel --port 8000 --db-user=ExampleTeleportDynamoDBRole example-dynamodb

aws CLI를 통해 데이터베이스에 연결을 테스트할 수 있습니다:

aws dynamodb list-tables --endpoint-url=http://localhost:8000
{ "TableNames": [ "table1", "table2", "table3" ]}

또한 Database Access GUI Clients 가이드에 문서화된 대로 AWS NoSQL Workbench에서 이 데이터베이스에 연결할 수 있습니다.

이 터널을 프로그래밍 방식으로 접근하는 데도 사용할 수 있습니다. 아래 예시는 AWS의 boto3 SDK를 사용합니다:

$ python3
Python 3.10.4 (main, Mar 31 2022, 03:37:37) [Clang 12.0.0 ] on darwin
Type "help", "copyright", "credits" or "license" for more information.
>>> import boto3
>>> clt = boto3.client('dynamodb', endpoint_url='http://localhost:8000')
>>> res = clt.list_tables()
>>> print(res)
{'TableNames': *snip output*}
>>>

다음 단계

  • 동적 데이터베이스 등록 을 참고하여 리소스 레이블을 사용하여 Teleport를 귀하의 인프라에서 접근 가능한 데이터베이스와 최신 상태로 유지하는 방법을 알아보세요.
Teleport 원문 보기