Amazon OpenSearch로 데이터베이스 접근

Teleport는 Teleport Database Service를 통해 Amazon OpenSearch에 대한 안전한 접근을 제공할 수 있습니다. 이는 Teleport의 RBAC를 통해 세부적인 접근 제어를 가능하게 합니다.

이 가이드에서는 다음을 수행합니다:

Amazon OpenSearch 데이터베이스 REST API를 통한 IAM 인증 사용를 구성합니다.
데이터베이스를 Teleport 클러스터에 추가합니다.
Teleport를 통해 데이터베이스에 연결합니다.

작동 방식

Teleport 데이터베이스 서비스는 세분화된 접근 제어를 사용하여 IAM 역할을 백엔드 OpenSearch 역할에 매핑합니다. Teleport 사용자는 IAM 역할을 선택하고 로컬 프록시 서버를 통해 OpenSearch에 연결합니다. 로컬 프록시 서버는 요청을 Teleport 프록시 서비스를 통해 Teleport 데이터베이스 서비스로 전달합니다. 데이터베이스 서비스는 사용자가 선택한 IAM 역할을 수용하고, 요청에 AWS 자격 증명을 추가하여 OpenSearch API로 전달합니다.

이 가이드는 Teleport 클러스터에 단일 OpenSearch 데이터베이스을 등록하는 방법을 보여줍니다. 더 확장 가능한 접근 방식을 원하신다면, 데이터베이스 자동 발견을 설정하여 인프라에서 모든 데이터베이스를 자동으로 등록하는 방법을 알아보세요.

전제 조건

Amazon OpenSearch 도메인.
세분화된 접근 제어가 활성화된 Amazon OpenSearch 서비스
IAM 역할 생성을 위한 IAM 권한.
opensearchsql 명령줄 인터페이스(CLI) 도구는 $PATH에 설치되어 있어야 합니다.

실행 중인 Teleport 클러스터 버전 이상. Teleport를 시작하려면, 가입하기 위해 무료 평가판에 등록하거나 데모 환경 설정하기를 참조하세요.
tctl 관리 도구와 tsh 클라이언트 도구.

tctl과 tsh 다운로드에 대한 지침은 설치를 방문하세요.

Teleport 데이터베이스 서비스를 실행할 EC2 인스턴스와 같은 호스트. 이 가이드는 IAM 역할을 생성하고 적용할 때 EC2 인스턴스를 가정하며, 사용자 지정 구성에 따라 조정해야 합니다.
당신의 Teleport 클러스터에 연결할 수 있는지 확인하려면, tsh login으로 로그인한 다음 현재 자격 증명을 사용하여 tctl 명령어를 실행할 수 있는지 확인하십시오. 예를 들어:
```
tsh login --proxy=teleport.example.com --user=email@example.com
tctl status
클러스터  teleport.example.com
버전  16.2.0
CA 핀   sha256:abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678
```
클러스터에 연결하고 tctl status 명령어를 실행할 수 있다면, 현재 자격 증명을 사용하여 작업대에서 후속 tctl 명령어를 실행할 수 있습니다. 자신의 Teleport 클러스터를 호스팅하는 경우, Teleport 인증 서비스를 호스팅하는 컴퓨터에서 전체 권한으로 tctl 명령어를 실행할 수도 있습니다.

이 가이드는 IAM 접근 역할의 예제 구성을 모델로 제공하며, EC2 인스턴스를 사용하여 Teleport 데이터베이스 서비스를 제공합니다. 제공되는 접근 수준이 귀하의 필요에 부합하지 않거나 귀하의 조직의 접근 관행에 맞지 않을 수 있습니다. AWS IAM 권한을 귀하의 필요에 맞게 조정해야 합니다.

1/4 단계. OpenSearch 관리 클러스터 접근을 위한 IAM 역할 생성

이 가이드에서 설명하는 설정은 두 개의 IAM 역할이 필요합니다:

Teleport 데이터베이스 서비스를 실행하는 EC2 인스턴스와 연결된 역할로, 사용자가 부여된 추가 역할을 수용할 수 있도록 합니다.
EC2 인스턴스 역할에 의해 수용될 수 있으며 사용자에게 OpenSearch 관리 클러스터에 대한 접근을 부여하는 역할입니다.

EC2 인스턴스 역할

AWS 콘솔의 IAM > 역할 페이지로 이동한 다음 "역할 생성"을 클릭합니다. 신뢰할 수 있는 엔터티 유형에서 "AWS 서비스"를 선택합니다. 사용 사례에서 "EC2"를 선택한 다음 다음을 클릭합니다.

"권한 추가" 페이지에서 이 역할은 권한이 필요하지 않으므로 그냥 다음을 클릭할 수 있습니다. 이 가이드에서는 이 역할의 예제 이름으로 TeleportDatabaseService를 사용할 것입니다. 이름을 선택했으면 역할 생성을 클릭하여 프로세스를 완료합니다.

OpenSearch 서비스 클러스터 접근 역할

역할 페이지로 돌아가서 새 역할을 생성합니다. "AWS 계정" 옵션을 선택하여 이 계정의 다른 엔터티가 이 역할을 수용할 수 있도록 하는 기본 신뢰 정책을 생성합니다:

다음을 클릭합니다. 다음 페이지에서 역할 이름을 입력합니다. 이 가이드에서는 이 역할의 예제 이름으로 ExampleTeleportOpenSearchRole을 사용할 것입니다.

"신뢰할 수 있는 엔터티 선택"에서 JSON을 업데이트하여 TeleportDatabaseService 역할이 이 역할을 수용하도록 합니다:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::abcd1234-this-is-an-example:role/TeleportDatabaseService"
                ]
            },
            "Action": "sts:AssumeRole",
            "Condition": {}
        }
    ]
}

마지막으로 역할 생성을 클릭합니다.

Amazon OpenSearch 관리 클러스터에서 역할 매핑 구성하기

Teleport Amazon OpenSearch 서비스 통합은 세분화된 접근 제어를 활용하여 IAM 역할 또는 사용자가 OpenSearch 역할에 매핑됩니다.

역할 매핑을 구성하려면, 마스터 사용자로 OpenSearch 도메인 대시보드에 로그인하고 보안 설정으로 이동합니다:

최소 권한으로 역할을 새로 생성하거나 기존 역할을 선택합니다. 이 예제의 경우 readall OpenSearch 역할이 사용됩니다. OpenSearch 역할을 선택하고 매핑된 사용자 탭으로 이동합니다:

OpenSearch 역할과 이전 단계에서 생성된 AWS IAM ExampleTeleportOpenSearchRole 역할 간의 매핑을 추가합니다.

마지막으로 설정을 적용하기 위해 매핑 버튼을 클릭합니다.

2/4 단계. Teleport IAM 역할 매핑 구성하기

다음 단계는 Teleport 사용자가 Teleport 클러스터를 통해 AWS 리소스에 접근할 때 AWS IAM 역할을 수용할 수 있는 권한을 부여하는 것입니다.

이를 위해, 이전 단계에서 생성된 IAM 역할 ARN을 나열하는 db_users 필드를 포함한 Teleport 역할을 생성합니다. aws-opensearch-access.yaml라는 파일을 생성하고 다음 내용을 작성합니다:

kind: role
version: v7
metadata:
  name: aws-opensearch-access
spec:
  allow:
    db_labels:
      'env': 'dev'
    db_users:
    - 'ExampleTeleportOpenSearchRole'

새 역할을 생성합니다:

tctl create -f aws-opensearch-access.yaml

aws-opensearch-access 역할을 Teleport 사용자에게 할당하려면 인증 제공자에 맞는 적절한 명령어를 실행하세요:

로컬 사용자의 역할을 콤마로 구분된 목록으로 가져옵니다:
```
ROLES=$(tsh status -f json | jq -r '.active.roles | join(",")')
```

로컬 사용자를 편집하여 새로운 역할을 추가합니다:

tctl users update $(tsh status -f json | jq -r '.active.username') \  --set-roles "${ROLES?},aws-opensearch-access"

Teleport 클러스터에서 로그아웃한 후 새로운 역할을 asum 하기 위해 다시 로그인합니다.

github 인증 커넥터를 가져옵니다:
```
tctl get github/github --with-secrets > github.yaml
```
--with-secrets 플래그는 spec.signing_key_pair.private_key의 값을 github.yaml 파일에 추가합니다. 이 키는 민감한 값을 포함하고 있기 때문에, 리소스를 업데이트한 후 즉시 github.yaml 파일을 제거해야 합니다.
github.yaml을 편집하고 teams_to_roles 섹션에 aws-opensearch-access을 추가합니다.

이 역할에 매핑할 팀은 귀하의 조직에서 어떻게 역할 기반 접근 제어(RBAC)를 설계했느냐에 따라 달라집니다. 하지만 팀에는 귀하의 사용자 계정이 포함되어야 하며, 조직 내에서 가능한 한 작은 팀이어야 합니다.

여기에 예시가 있습니다:
```
  teams_to_roles:
    - organization: octocats
      team: admins
      roles:
        - access
+       - aws-opensearch-access
```
변경 사항을 적용합니다:
```
tctl create -f github.yaml
```
Teleport 클러스터에서 로그아웃한 후 새로운 역할을 assum 하기 위해 다시 로그인합니다.

saml 구성 리소스를 가져옵니다:
```
tctl get --with-secrets saml/mysaml > saml.yaml
```
--with-secrets 플래그는 spec.signing_key_pair.private_key의 값을 saml.yaml 파일에 추가합니다. 이 키는 민감한 값을 포함하고 있기 때문에, 리소스를 업데이트한 후 즉시 saml.yaml 파일을 제거해야 합니다.
saml.yaml을 편집하고 attributes_to_roles 섹션에 aws-opensearch-access을 추가합니다.

이 역할에 매핑할 속성은 귀하의 조직에서 어떻게 역할 기반 접근 제어(RBAC)를 설계했느냐에 따라 달라집니다. 그러나 그룹에는 귀하의 사용자 계정이 포함되어야 하며, 조직 내에서 가능한 한 작은 그룹이어야 합니다.

여기에 예시가 있습니다:
```
  attributes_to_roles:
    - name: "groups"
      value: "my-group"
      roles:
        - access
+       - aws-opensearch-access
```
변경 사항을 적용합니다:
```
tctl create -f saml.yaml
```
Teleport 클러스터에서 로그아웃한 후 새로운 역할을 asum 하기 위해 다시 로그인합니다.

oidc 구성 리소스를 가져옵니다:
```
tctl get oidc/myoidc --with-secrets > oidc.yaml
```
--with-secrets 플래그는 spec.signing_key_pair.private_key의 값을 oidc.yaml 파일에 추가합니다. 이 키는 민감한 값을 포함하고 있기 때문에, 리소스를 업데이트한 후 즉시 oidc.yaml 파일을 제거해야 합니다.
oidc.yaml을 편집하고 claims_to_roles 섹션에 aws-opensearch-access을 추가합니다.

이 역할에 매핑할 클레임은 귀하의 조직에서 어떻게 역할 기반 접근 제어(RBAC)를 설계했느냐에 따라 달라집니다. 그러나 그룹에는 귀하의 사용자 계정이 포함되어야 하며, 조직 내에서 가능한 한 작은 그룹이어야 합니다.

여기에 예시가 있습니다:
```
  claims_to_roles:
    - name: "groups"
      value: "my-group"
      roles:
        - access
+       - aws-opensearch-access
```
변경 사항을 적용합니다:
```
tctl create -f oidc.yaml
```
Teleport 클러스터에서 로그아웃한 후 새로운 역할을 asum 하기 위해 다시 로그인합니다.

3/4 단계. Teleport 데이터베이스 서비스 설치하기

EC2 인스턴스를 생성하여 Teleport 데이터베이스 서비스를 호스트하고, TeleportDatabaseService AWS IAM 역할을 부여합니다. 다른 방법으로 서비스를 호스팅하는 경우, 서비스에 AWS 자격 증명을 제공해야 합니다 - 자세한 내용은 AWS 자격 증명 구성을 참조하십시오.

비표준 AWS 지역

AWS GovCloud(미국) 지역 및 AWS 중국 지역과 같은 비표준 AWS 지역의 경우, 데이터베이스 서비스가 올바른 STS 엔드포인트를 사용할 수 있도록 해당 지역을 AWS_REGION 환경 변수 또는 AWS 자격 증명 파일에 설정해야 합니다.

토큰 생성

AWS에 많은 인프라가 있는 사용자나 많은 인스턴스를 생성하거나 재생성할 수 있는 사용자는 새로운 EC2 인스턴스를 Teleport에 참여시키기 위한 대체 방법을 고려해 보세요:

Database 서비스는 Teleport 클러스터에 참여하려면 유효한 조인 토큰이 필요합니다.
다음 tctl 명령을 실행하고 토큰 출력을 /tmp/token에 저장하세요.
Database 서비스가 실행될 서버에서:

tctl tokens add --type=db --format=text
abcd123-insecure-do-not-use-this

다음 단계에서 이 명령의 출력으로 제공된 토큰을 사용하십시오.

Teleport 설치 및 시작하기

Linux 서버에 Teleport 설치하기:

Teleport 에디션에 따라 edition을(를) 다음 중 하나로 지정합니다:

에디션 값
Teleport Enterprise Cloud cloud
Teleport Enterprise (자체 호스팅) enterprise
Teleport Community Edition oss

에디션	값
Teleport Enterprise Cloud	`cloud`
Teleport Enterprise (자체 호스팅)	`enterprise`
Teleport Community Edition	`oss`

설치할 Teleport의 버전을 확인합니다. 클러스터에서 자동 에이전트 업데이트가 활성화되어 있는 경우, 업데이터와 호환되는 최신 Teleport 버전을 쿼리합니다:

TELEPORT_DOMAIN=example.teleport.com
TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"

그렇지 않으면, Teleport 클러스터의 버전을 확인합니다:

TELEPORT_DOMAIN=example.teleport.com
TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/ping | jq -r '.server_version')"

Linux 서버에 Teleport를 설치합니다:
```
curl https://cdn.teleport.dev/install-v16.2.0.sh | bash -s ${TELEPORT_VERSION} edition
```
설치 스크립트는 Linux 서버에서 패키지 관리자를 감지하고 이를 사용하여 Teleport 바이너리를 설치합니다. 설치를 사용자 지정하려면 설치 가이드에서 Teleport 패키지 리포지토리에 대해 알아보세요.

Teleport 데이터베이스 서비스를 실행할 호스트에서 적절한 구성으로 Teleport를 시작합니다.

하나의 Teleport 프로세스에서 여러 다른 서비스를 실행할 수 있다는 점에 유의하십시오. 예를 들어 여러 데이터베이스 서비스 에이전트뿐만 아니라 SSH 서비스 또는 애플리케이션 서비스도 실행할 수 있습니다. 아래 단계는 기존 구성 파일을 덮어쓰므로, 여러 서비스를 실행 중인 경우 --output=stdout를 추가하여 구성 내용을 터미널에 출력하고 /etc/teleport.yaml를 수동으로 조정하십시오.

데이터베이스 서비스를 위한 구성 파일을 /etc/teleport.yaml에 생성합니다. --proxy 명령줄 옵션을 Teleport 클러스터의 주소와 AWS 환경의 데이터베이스 매개변수로 설정합니다.

sudo teleport db configure create \   -o file \   --token=/tmp/token \   --proxy=teleport.example.com:443 \   --name=example-opensearch \   --protocol=opensearch \   --uri=opensearch-uri:443 \   --aws-account-id=abcd1234-this-is-an-example  \   --labels=env=dev

호스트가 부팅될 때 Teleport 데이터베이스 서비스가 자동으로 시작되도록 시스템 데몬 서비스를 생성하여 구성합니다. 지침은 Teleport 데이터베이스 서비스를 설치한 방법에 따라 다릅니다.

Teleport 데이터베이스 서비스를 실행할 호스트에서 Teleport를 활성화하고 시작하십시오:

sudo systemctl enable teleport
sudo systemctl start teleport

Teleport 데이터베이스 서비스를 실행할 호스트에서 Teleport에 대한 시스템 데몬 서비스 구성을 생성하고, Teleport 서비스를 활성화한 후 Teleport를 시작하십시오:

sudo teleport install systemd -o /etc/systemd/system/teleport.service
sudo systemctl enable teleport
sudo systemctl start teleport

Teleport 데이터베이스 서비스의 상태는 systemctl status teleport로 확인할 수 있으며, 로그는 journalctl -fu teleport로 볼 수 있습니다.

Teleport 데이터베이스 서비스의 정적 구성 파일을 수정합니다:

db_service:
  enabled: "yes"
  databases:
  - name: example-opensearch
    aws:
      account_id: "abcd1234-this-is-an-example"
    protocol: opensearch
    uri: opensearch-uri:443
    static_labels:
      env: dev

구성 파일 변경 사항이 적용되도록 Teleport 데이터베이스 서비스를 다시 시작합니다.

외부 계정에서 AWS 데이터베이스를 동적으로 등록하고 이를 프록시 연결로 만드는 동적 데이터베이스 리소스를 생성합니다.

kind: db
version: v3
metadata:
  name: "example-opensearch"
  description: "예제 동적 데이터베이스 리소스"
  labels:
    env: "dev"
spec:
  protocol: "opensearch"
  uri: opensearch-uri:443
  aws:
    account_id: "abcd1234-this-is-an-example"

구성을 database.yaml과 같은 파일에 저장하고 tctl로 생성합니다:

tctl create database.yaml

동적 데이터베이스 리소스를 이용한 데이터베이스 등록에 대한 자세한 내용은 동적 등록을 참조하십시오.

4/4 단계. 연결하기

데이터베이스 서비스가 시작되고 클러스터에 참여하면 Amazon OpenSearch API에 접근할 수 있습니다:

프록시 터널을 생성합니다:

tsh proxy db --tunnel --port=8000 --db-user=ExampleTeleportOpenSearchRole example-opensearch
인증된 터널이 "example-opensearch" OpenSearch 데이터베이스를 위한 "teleport.example.com" 클러스터의 127.0.0.1:8000에서 시작되었습니다.
다음 명령 중 하나를 사용하여 데이터베이스에 연결하거나 다른 데이터베이스 GUI/CLI 클라이언트를 사용하여 위 주소를 통해 연결할 수 있습니다:
  * opensearchsql로 대화형 세션 시작:
  $ opensearchsql http://localhost:8000
  * opensearch-cli로 요청 실행:
  $ opensearch-cli --profile teleport --config /Users/alice/.tsh/teleport.example.dev/example-opensearch/opensearch-cli/8a5ce249.yml curl get --path /
  * curl로 요청 실행:
  $ curl http://localhost:8000/

이제 tsh proxy db 명령으로 생성된 로컬 터널을 통해 Amazon OpenSearch API와 상호작용할 수 있습니다:

curl http://localhost:8000/movies/_search \   -H 'Content-Type: application/json'  \   -d '{ "query": { "match_all": {} } }'

{"took":170,"timed_out":false,"_shards":{"total":5,"successful":5,"skipped":0,"failed":0},"hits":{"total":{"value":1,"relation":"eq"},"max_score":1.0,"hits":[{"_index":"movies","_id":"1","_score":1.0,"_source":{"director": "Burton, Tim", "genre": ["Comedy","Sci-Fi"], "year": 1996, "actor": ["Jack Nicholson","Pierce Brosnan","Sarah Jessica Parker"], "title": "Mars Attacks!"}}]}}

대화형 세션은 tsh db connect 명령을 사용하여 시작할 수 있으며, 이는 내부적으로 대화형 모드에서 opensearchsql 바이너리를 호출합니다:

tsh db connect example-opensearch --db-user=ExampleTeleportOpenSearchRole
____                  _____                      __
/ __ \____  ___  ____ / ___/___  ____ ___________/ /_
/ / / / __ \/ _ \/ __ \\__ \/ _ \/ __ `/ ___/ ___/ __ \
/ /_/ / /_/ /  __/ / / /__/ /  __/ /_/ / /  / /__/ / / /
\____/ .___/\___/_/ /_/____/\___/\__,_/_/   \___/_/ /_/
/_/
서버: OpenSearch 2.5.0
CLI 버전: 1.0.0
엔드포인트: http://localhost:56766
쿼리 언어: sql
opensearchsql> select * from movies;가져온 행 / 전체 행 = 1/1
+----------------+---------+---------------+--------+-------------+
| actor          | genre   | title         | year   | director    |
|----------------+---------+---------------+--------+-------------|
| Jack Nicholson | Comedy  | Mars Attacks! | 1996   | Burton, Tim |
+----------------+---------+---------------+--------+-------------+
opensearchsql>

Teleport 원문 보기