인포레터에서 최신 DevOps 트렌드를 격주로 만나보세요!
AWS에서 Redshift 데이터베이스 접근
Teleport은 Teleport Database Service를 통해 Amazon Redshift에 대한 안전한 액세스를 제공할 수 있습니다. 이를 통해 Teleport의 RBAC를 통한 세부적인 액세스 제어가 가능합니다.
이 가이드에서는 다음을 수행합니다:
- Amazon Redshift 데이터베이스 IAM 인증으로를 구성합니다.
- 데이터베이스를 Teleport 클러스터에 추가합니다.
- Teleport를 통해 데이터베이스에 연결합니다.
작동 방식
Teleport 데이터베이스 서비스는 IAM 인증을 사용하여 Amazon Redshift와 통신합니다. 사용자가 Teleport를 통해 데이터베이스에 연결하면, Teleport 데이터베이스 서비스는 AWS 자격 증명을 얻고 데이터베이스에 액세스할 수 있는 권한을 가진 IAM 주체로 AWS에 인증을 수행합니다.
이 가이드는 Teleport 클러스터에 단일 Amazon Redshift 클러스터 을 등록하는 방법을 보여줍니다. 더 확장 가능한 방법을 원하신다면, 인프라의 모든 AWS 데이터베이스를 자동으로 등록하는 데이터베이스 자동 검색 설정 방법을 학습하십시오.
전제 조건
-
실행 중인 Teleport 클러스터 버전 17.0.0-dev 이상. Teleport를 시작하려면 가입하여 무료 평가판을 이용하거나 데모 환경 설정 방법을 확인하십시오.
-
tctl관리자 도구와tsh클라이언트 도구.tctl및tsh다운로드 방법에 대한 지침은 설치를 방문하십시오.
- Redshift 클러스터가 있는 AWS 계정과 IAM 정책을 생성하고 할당할 수 있는 권한.
- 시스템의
PATH환경 변수에 추가된 명령줄 클라이언트psql설치됨. - Teleport 데이터베이스 서비스를 실행할 호스팅 서비스(예: EC2 인스턴스).
- 연결이 가능한지 확인하기 위해
tsh login으로 로그인한 다음, 현재 자격 증명을 사용하여tctl명령어를 실행할 수 있는지 확인하십시오. 예를 들어:클러스터에 연결할 수 있고tsh login --proxy=teleport.example.com --user=email@example.comtctl status클러스터 teleport.example.com
버전 17.0.0-dev
CA 핀 sha256:abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678
tctl status명령어를 실행할 수 있다면, 현재 자격 증명을 사용하여 워크스테이션에서 후속tctl명령어를 실행할 수 있습니다.
자신의 Teleport 클러스터를 호스팅하는 경우, Teleport Auth Service를 호스팅하는 컴퓨터에서 전체 권한으로tctl명령어를 실행할 수도 있습니다.
1/6단계. Teleport 사용자 생성
Tip
기존 사용자를 수정하여 데이터베이스 서비스에 대한 액세스를 제공하려면 데이터베이스 액세스 제어를 참조하십시오.
내장된 access 역할을 가진 로컬 Teleport 사용자 생성:
tctl users add \ --roles=access \ --db-users="*" \ --db-names="*" \ alice
내장된 access 및 requester 역할을 가진 로컬 Teleport 사용자 생성:
tctl users add \ --roles=access,requester \ --db-users="*" \ --db-names="*" \ alice
| Flag | Description |
|---|---|
--roles | 사용자에게 할당할 역할 목록. 내장된 access 역할은 사용자가 Teleport에 등록된 모든 데이터베이스 서버에 연결할 수 있도록 합니다. |
--db-users | 사용자가 데이터베이스에 연결할 때 사용할 수 있는 데이터베이스 사용자 이름 목록. 와일드카드는 모든 사용자를 허용합니다. |
--db-names | 사용자가 데이터베이스 서버 내에서 연결할 수 있는 논리 데이터베이스(즉, 스키마) 목록. 와일드카드는 모든 데이터베이스를 허용합니다. |
Warning
데이터베이스 이름은 PostgreSQL, MongoDB 및 Cloud Spanner 데이터베이스에 대해서만 적용됩니다.
데이터베이스 액세스 제어 및 액세스를 제한하는 방법에 대한 자세한 정보는 RBAC 문서를 참조하십시오.
2/6단계. 데이터베이스 서비스 구성 생성
Database 서비스는 Teleport 클러스터에 조인하기 위해 유효한 조인 토큰이 필요합니다.
다음 tctl 명령어를 실행하고 Database 서비스가 실행될 서버에 /tmp/token 안에 토큰 출력을 저장하세요:
tctl tokens add --type=db --format=textabcd123-insecure-do-not-use-this
AWS에 많은 인프라를 가진 사용자나 많은 인스턴스를 생성하거나 재생성할 가능성이 있는 사용자에게는 Teleport를 실행하는 새로운 EC2 인스턴스에 조인하기 위한 대체 방법을 고려하십시오:
Linux 서버에 Teleport 설치하기:
-
Teleport 에디션에 따라 edition를 다음 중 하나로 할당합니다:
에디션 값 Teleport Enterprise Cloud cloudTeleport Enterprise (자가 호스팅) enterpriseTeleport Community Edition oss -
설치할 Teleport 버전을 가져옵니다. 클러스터에서 자동 에이전트 업데이트가 활성화된 경우, 최신 Teleport 버전을 쿼리하여 업데이트된 내용과의 호환성을 확인합니다:
TELEPORT_DOMAIN=example.teleport.comTELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"그렇지 않으면, Teleport 클러스터의 버전을 가져옵니다:
TELEPORT_DOMAIN=example.teleport.comTELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/ping | jq -r '.server_version')" -
Linux 서버에 Teleport를 설치합니다:
curl https://cdn.teleport.dev/install-v15.4.11.sh | bash -s ${TELEPORT_VERSION} edition설치 스크립트는 Linux 서버에서 패키지 관리자를 감지하고 이를 사용하여 Teleport 바이너리를 설치합니다. 설치를 사용자 정의하려면 설치 가이드에서 Teleport 패키지 리포지토리에 대해 알아보세요.
데이터베이스 서비스가 실행 중인 노드에서 구성 파일을 만듭니다. CLUSTER_URI 를 클러스터의 도메인 이름과 포트에 할당합니다:
sudo teleport db configure create \ -o file \ --name="redshift-postgres" \ --proxy=teleport.example.com:3080 \ --protocol=postgres \ --token=/tmp/token \ --uri=${CLUSTER_URI?}
sudo teleport db configure create \ -o file \ --name="redshift-postgres" \ --proxy=mytenant.teleport.sh:443 \ --protocol=postgres \ --token=/tmp/token \ --uri=${CLUSTER_URI?}
명령은 AWS Redshift 클러스터에 대한 프록시를 설정하기 위해 데이터베이스 서비스 구성을 생성하며 /etc/teleport.yaml 위치에 배치됩니다.
3/6단계. 사용자 접근을 위한 IAM 역할 생성 (선택 사항)
Redshift는 Teleport가 지원하는 두 가지 IAM 인증 방법을 지원합니다.
첫 번째 방법은 데이터베이스 사용자로서 IAM 인증입니다. 이 방법에서는 Teleport 데이터베이스 서비스가 Redshift 데이터베이스에 이미 존재하는 데이터베이스 사용자에 대한 임시 IAM 인증 토큰을 생성합니다. 이 방법을 사용하려는 경우, 추가 IAM 역할이 필요하지 않으므로 이 단계를 건너뛸 수 있습니다.
두 번째 방법은 IAM 역할로 인증하는 것입니다. 이 경우 Teleport 데이터베이스 서비스가 Redshift와 인증하기 위해 IAM 역할을 가정합니다. 그러면 Redshift는 해당 IAM 역할을 데이터베이스 사용자 이름에 매핑하고 데이터베이스에 존재하지 않는 경우 해당 데이터베이스 사용자를 생성합니다.
두 번째 방법을 선택하는 경우, Redshift 데이터베이스에 대한 사용자 접근을 제공하는 AWS IAM 역할을 생성합니다. IAM -> 액세스 관리 -> Roles로 이동하고 "Create Role"을 클릭합니다.
현재로서는 "Add permissions"를 건너뛰고, 역할 이름을 입력한 후 "Create role"을 클릭합니다.
역할이 생성되면 해당 역할을 찾아 다음 인라인 정책을 IAM 역할에 추가합니다:
또는 JSON 형식으로:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "redshift:GetClusterCredentialsWithIAM",
"Resource": "arn:aws:redshift:us-east-1:123456789012:dbname:my-redshift/*"
}
]
}
123456789012 및 my-redshift 를 귀하의 AWS 계정 ID와 Redshift 데이터베이스의 클러스터 ID로 바꿉니다.
4/6단계. 데이터베이스 서비스에 대한 IAM 권한 구성
Teleport 데이터베이스 서비스는 Redshift databases 에 대한 액세스를 제공하기 위해 AWS IAM 권한이 필요합니다.
Teleport용 IAM 역할 생성
the Database Service 가 AWS에 인증하는 데 사용할 수 있는 자격 증명에 대한 액세스를 부여하십시오.
- the Database Service 를 EC2 인스턴스에서 실행 중인 경우, EC2 인스턴스 메타데이터 서비스 방법을 사용할 수 있습니다.
- the Database Service 를 Kubernetes에서 실행 중인 경우, IAM Roles for Service Accounts (IRSA)를 사용할 수 있습니다.
- 그렇지 않은 경우, 환경 변수를 사용해야 합니다.
Teleport는 EC2 인스턴스에서 실행 중일 때 이를 감지하고 인스턴스 메타데이터 서비스를 사용하여 자격 증명을 가져옵니다.
EC2 인스턴스는 EC2 인스턴스 프로필을 사용하도록 구성되어야 합니다. 자세한 내용은 인스턴스 프로필 사용을 참조하십시오.
AWS의 IAM Roles for Service Accounts (IRSA)를 참조하여 AWS에서 OIDC 공급자를 설정하고 포드의 서비스 계정이 해당 역할을 맡을 수 있도록 하는 AWS IAM 역할을 구성하십시오.
Teleport의 내장 AWS 클라이언트는 다음 환경 변수에서 자격 증명을 읽습니다:
AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEYAWS_DEFAULT_REGION
the Database Service 를 시작할 때, 서비스는 /etc/default/teleport 경로에 있는 파일에서 환경 변수를 읽습니다. 이러한 자격 증명을 귀하의 조직에서 확보하십시오. /etc/default/teleport 에는 다음 내용을 포함해야 하며, 각 변수의 값을 교체하십시오:
AWS_ACCESS_KEY_ID=00000000000000000000
AWS_SECRET_ACCESS_KEY=0000000000000000000000000000000000000000
AWS_DEFAULT_REGION=<YOUR_REGION>
Teleport의 AWS 클라이언트는 다음 순서로 다양한 소스에서 자격 증명을 로드합니다:
- 환경 변수
- 공유된 자격 증명 파일
- 공유된 구성 파일 (Teleport는 항상 공유 구성을 활성화함)
- EC2 인스턴스 메타데이터 (자격 증명만 해당)
공유 자격 증명 파일 또는 공유 구성 파일을 통해 AWS 자격 증명을 제공할 수 있지만, the Database Service 를 선택한 프로필 이름에 할당된 AWS_PROFILE 환경 변수를 사용하여 실행해야 합니다.
위 지침에 설명되지 않은 특정 사용 사례가 있는 경우, AWS SDK for Go의 문서를 참조하여 자격 증명 로드 동작에 대한 자세한 설명을 확인하십시오.
권한 부여
다음 AWS IAM 권한을 데이터베이스 서비스 IAM 역할에 연결하세요:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "RedshiftConnectAsDBUser",
"Effect": "Allow",
"Action": "redshift:GetClusterCredentials",
"Resource": "*"
},
{
"Sid": "RedshiftConnectAsIAMRole",
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": [
"arn:aws:iam::aws-account-id:role/example-iam-role"
]
},
{
"Sid": "RedshiftFetchMetadata",
"Effect": "Allow",
"Action": "redshift:DescribeClusters",
"Resource": "*"
}
]
}
| Statement | 목적 |
|---|---|
RedshiftConnectAsDBUser | 기존 데이터베이스 사용자로 데이터베이스에 연결합니다. |
RedshiftConnectAsIAMRole | IAM 역할을 가정하여 역할의 IAM 권한에서 1:1로 매핑된 권한으로 데이터베이스에 연결합니다. |
RedshiftFetchMetadata | AWS 태그를 데이터베이스 레이블로 자동으로 가져오거나 데이터베이스의 AWS 리전과 같은 누락된 정보를 찾습니다. |
RedshiftConnectAsDBUser 문장의 범위를 줄이려면 특정 사용자, 데이터베이스 및 데이터베이스 그룹만 허용하도록 업데이트할 수 있습니다.
지정할 수 있는 리소스 ARN은 다음 형식을 가집니다:
arn:aws:redshift:{Region}:{AccountID}:dbuser:{ClusterName}/{UserName}arn:aws:redshift:{Region}:{AccountID}:dbname:{ClusterName}/{DatabaseName}arn:aws:redshift:{Region}:{AccountID}:dbgroup:{ClusterName}/{DatabaseGroupName}
redshift:GetClusterCredentials 권한 부여 구문에 대한 자세한 내용은 GetClusterCredentials를 호출할 수 있는 권한이 있는 IAM 역할 또는 사용자 생성하기를 참조하세요.
기존 데이터베이스 사용자로 인증하거나 자동으로 데이터베이스에 매핑될 IAM 역할로 인증할 수 있습니다.
해당 IAM 문장은 사용하고자 하는 방법에 대해서만 필요합니다.
IAM 역할이 데이터베이스 서비스의 신원을 신뢰할 수 있는 주체로 지정하고, 두 신원이 동일한 AWS 계정에 있는 경우,
RedshiftConnectAsIAMRole 문장도 생략할 수 있습니다.
텔레포트 검색 서비스에 의해 발견된 데이터베이스는 완전한 메타데이터로 등록해야 하므로, 모든 AWS 데이터베이스가 자동 검색되는 경우 RedshiftFetchMetadata 권한을 생략할 수도 있습니다.
5/6단계. 데이터베이스 서비스 시작
호스트가 부팅될 때 the Database Service가 자동으로 시작되도록 systemd 서비스를 생성하여 구성합니다. 지침은 the Database Service를 설치한 방법에 따라 다릅니다.
the Database Service를 실행할 호스트에서 Teleport를 활성화하고 시작합니다:
sudo systemctl enable teleportsudo systemctl start teleport
the Database Service를 실행할 호스트에서 Teleport의 systemd 서비스 구성을 만들고, Teleport 서비스를 활성화한 후 Teleport를 시작합니다:
sudo teleport install systemd -o /etc/systemd/system/teleport.servicesudo systemctl enable teleportsudo systemctl start teleport
systemctl status teleport 로 the Database Service의 상태를 확인하고, journalctl -fu teleport 로 로그를 볼 수 있습니다.
데이터베이스 서비스는 이전에 지정한 ID를 가진 Amazon Redshift 클러스터를 프록시합니다. AWS IAM 변경 사항이 즉시 전파되지 않을 수 있으며 적용되는 데 몇 분이 걸릴 수 있습니다.
6/6단계. 연결
데이터베이스 서비스가 시작되고 클러스터에 조인한 후, 등록된 데이터베이스를 보려면 로그인하세요. --proxy 를 귀하의 Teleport Proxy Service 주소로 교체하세요.
tsh login --proxy=teleport.example.com --user=alicetsh db ls이름 설명 라벨
----------- ------------------------------ --------
my-redshift ...
데이터베이스 서비스가 시작되고 클러스터에 조인한 후, 등록된 데이터베이스를 보려면 로그인하세요. --proxy 를 귀하의 Teleport Cloud 테넌트 주소로 교체하세요.
tsh login --proxy=mytenant.teleport.sh --user=alicetsh db ls이름 설명 라벨
----------- ------------------------------ --------
my-redshift ...
데이터베이스에 대한 자격 증명을 검색하고 연결하려면:
tsh db connect --db-user=alice --db-name=dev my-redshift
데이터베이스 사용자는 반드시 존재해야 합니다
Teleport는 현재 Redshift 데이터베이스용 토큰을 생성할 때 자동 생성 옵션을 사용하지 않습니다. 사용자는 데이터베이스에 존재해야 합니다.
tsh db connect --db-user=role/example-iam-role --db-name=dev my-redshift
데이터베이스에서 로그아웃하고 자격 증명을 제거하려면:
tsh db logout my-redshift
문제 해결
인증서 오류
tsh db connect 오류에 다음 텍스트가 포함되어 있다면, 2020년 7월 28일 이전에 생성된 RDS 또는 DocumentDB 데이터베이스가 있을 수 있으며, 이는 Teleport와 호환되지 않는 X.509 인증서를 제공합니다:
x509: certificate relies on legacy Common Name field, use SANs instead
AWS는 SSL/TLS 인증서 회전을 위한 지침을 제공합니다.
자격 증명 제공자 없음 오류
NoCredentialProviders: no valid providers in chain 오류가 Database 서비스 로그에 표시되면 Teleport는 AWS IAM 권한을 통해 연결하는 데 필요한 자격 증명을 감지하지 못하고 있습니다. Teleport Database 서비스가 실행되고 있는 머신에 자격 증명 또는 보안 역할이 적용되었는지 확인하십시오.
EKS에서 실행할 때, Teleport Database 서비스가 PUT 요청의 홉 수 제한이 1로 설정된 워커 노드 인스턴스에서 IMDSv2에 접근할 수 없는 경우 이 오류가 발생할 수 있습니다. 홉 수 제한을 확인하려면 다음 명령어를 사용할 수 있습니다:
aws ec2 describe-instances --instance-ids <node-instance-id> | grep HttpPutResponseHopLimit"HttpPutResponseHopLimit": 1,
자세한 내용은 EKS에 대한 IMDSv2 지원 및 EKS 모범 사례를 참조하십시오.
타임아웃 오류
Teleport Database Service는 데이터베이스 엔드포인트와의 연결이 필요합니다. 이는 동일한 VPC 내에서 Database Service로부터 데이터베이스로의 수신 트래픽을 활성화하거나 다른 VPC에서의 라우팅 규칙을 필요로 할 수 있습니다. nc 프로그램을 사용하여 데이터베이스에 대한 연결을 확인할 수 있습니다:
nc -zv postgres-instance-1.sadas.us-east-1.rds.amazonaws.com 5432Connection to postgres-instance-1.sadas.us-east-1.rds.amazonaws.com (172.31.24.172) 5432 port [tcp/postgresql] succeeded!
sts:AssumeRole 실행 권한 없음
Database Service는 다음과 같은 상황에서 IAM 역할을 가정합니다:
- Teleport 사용자가 AWS 서비스에 액세스할 때 사용할 데이터베이스 사용자로서 IAM 역할을 지정하는 경우, IAM 역할을 데이터베이스 사용자로 사용하는 것을 지원하는 데이터베이스에는 DynamoDB, Keyspaces, Opensearch, Redshift 및 Redshift Serverless가 포함됩니다.
- 데이터베이스 리소스 또는 동적 리소스 일치자에 대해
assume_role_arn필드가 지정된 경우.
위 두 조건이 모두 데이터베이스 연결에 해당하는 경우, Database Service는 먼저
assume_role_arn 에 지정된 IAM 역할을 가정한 후, 해당 IAM 역할을 사용하여
데이터베이스 사용자에 대한 IAM 역할을 가정합니다.
IAM 역할 간의 신뢰 관계가 올바르게 구성되지 않으면 다음 오류가 발생할 수 있습니다:
AccessDenied: User: arn:aws:sts::111111111111:assumed-role/teleport-db-service-role/i-* is not authorized to perform: sts:AssumeRole on resource: arn:aws:iam::111111111111:role/db-user-role
IAM 역할 teleport-db-service-role 이 IAM 역할 db-user-role 를 가정할 수 있도록 허용하려면, 일반적으로 다음이 필요합니다:
1. db-user-role의 신뢰 관계 구성
teleport-db-service-role 또는 해당 AWS 계정은 db-user-role의 신뢰 정책에서 Principal 로 설정되어야 합니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::aws-account-id:role/teleport-db-service-role"
},
"Action": "sts:AssumeRole"
}
]
}
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::aws-account-id:root"
},
"Action": "sts:AssumeRole"
}
]
}
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::external-aws-account-id:role/teleport-db-service-role"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "example-external-id"
}
}
}
]
}
2. teleport-db-service-role의 권한 정책 구성
teleport-db-service-role 에는 sts:AssumeRole 권한이 필요합니다. 예를 들면:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::aws-account-id:role/db-user-role"
}
]
}
이 정책은 teleport-db-service-role과 db-user-role가 같은 AWS 계정에 있고 teleport-db-service-role의 전체 ARN이 db-user-role의 신뢰 정책에 Principal로 구성되어 있을 때 생략할 수 있습니다.
3. teleport-db-service-role의 권한 경계 구성
teleport-db-service-role에 부착된
권한 경계 가 없는 경우 이 단계를 건너뛸 수 있습니다.
그렇지 않으면 teleport-db-service-role에 부착된 경계 정책은 sts:AssumeRole 권한을 포함해야 합니다. 예를 들면:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Resource": "*"
}
]
}
다음 AWS CLI 명령을 teleport-db-service-role 로 실행하여 신뢰 관계를 테스트할 수 있습니다:
aws sts assume-role --role-arn arn:aws:iam::111111111111:role/db-user-role --role-session-name test-trust-relationship
신뢰 정책을 IAM 역할과 함께 사용하는 방법에 대해 자세히 알아보세요.
최대 정책 크기 초과 오류
여러 데이터베이스가 등록될 때 IAM 및 STS 문자 제한으로 인해 데이터베이스 서비스 로그에서 다음 오류 중 하나를 만날 수 있습니다:
LimitExceeded: 사용자 <iam-user>에 대한 최대 정책 크기 2048 바이트 초$1LimitExceeded: 역할 <iam-role>에 대한 최대 정책 크기 10240 바이트 초$1
참고로, 사용자 정책은 IAM 정책 문자 제한으로 인해 대략 6개의 Redshift 데이터베이스 또는 20개의 RDS 데이터베이스에 대한 권한을 유지할 수 있습니다. 역할 정책은 대략 30개의 Redshift 데이터베이스 또는 100개의 RDS 데이터베이스에 대한 권한을 유지할 수 있습니다.
이 제한을 우회하려면 다음 방법 중 하나 또는 조합을 사용해 보십시오:
정책 크기를 줄이기 위해 여러 IAM 역할로 분리할 수 있습니다. 데이터베이스에 접근하기 위해 서로 다른 IAM 역할을 지정하려면 assume_role_arn 을 사용하십시오:
검색 서비스 구성의 AWS 매처에서 assume_role_arn 을 지정할 수 있습니다:
Discovery Service는 발견된 리소스를 서로 다른 집합으로 그룹화할 수 있는 구성 매개변수 - discovery_service.discovery_group - 를 노출합니다. 이 매개변수는 서로 다른 클라우드 리소스 집합을 감시하는 Discovery Agents들이 충돌하여 다른 서비스에 의해 생성된 리소스를 삭제하는 것을 방지하는 데 사용됩니다.
여러 Discovery Services를 실행할 때, 동일한 클라우드 리소스를 감시하는 경우 각 서비스가 동일한 discovery_group 값으로 구성되어야 하며, 서로 다른 클라우드 리소스를 감시하는 경우에는 다른 값으로 구성해야 합니다.
동일한 Teleport 클러스터 내에서 혼합된 구성을 실행하는 것이 가능하므로 일부 Discovery Services는 동일한 클라우드 리소스를 감시하도록 구성할 수 있고, 다른 서비스는 서로 다른 리소스를 감시하도록 할 수도 있습니다. 예를 들어, 두 개의 서로 다른 클라우드 계정에서 데이터를 분석하는 4-agent 고가용성 구성은 다음과 같이 구성됩니다.
- Production 계정에서 데이터를 폴링하기 위해
discovery_group: "prod"로 구성된 2개의 Discovery Services. - Staging 계정에서 데이터를 폴링하기 위해
discovery_group: "staging"로 구성된 2개의 Discovery Services.
discovery_service:
discovery_group: "prod"
enabled: "yes"
aws:
- types: ["rds"]
regions: ["us-west-1", "us-west-2"]
assume_role_arn: "arn:aws:iam::123456789012:role/example-role-rds-env-prod-discovery"
tags:
"env": "prod"
- types: ["redshift", "redshift-serverless"]
regions: ["us-west-2"]
assume_role_arn: "arn:aws:iam::123456789012:role/example-role-redshift-env-dev"
tags:
"env": "dev"
검색 서비스는 발견을 위해 assume_role_arn 에 지정된 IAM 역할을 사용하고, 기본적으로 데이터베이스 서비스는 인증을 위해 동일한 IAM 역할을 사용합니다.
그러나 다른 역할을 사용하고 싶은 경우 데이터베이스 서비스에서 인증을 위한 IAM 역할을 덮어쓸 수도 있습니다:
db_service:
enabled: "yes"
resources:
# Discovery Service에서 us-west-1 env=prod RDS 데이터베이스를 일치시키고
# assume_role_arn을 덮어씁니다.
- labels:
"env": "prod"
"region": "us-west-1"
aws:
assume_role_arn: "arn:aws:iam::123456789012:role/example-role-rds-env-prod-us-west-1-access"
# Discovery Service에서 us-west-2 env=prod RDS 데이터베이스를 일치시키고
# assume_role_arn을 덮어씁니다.
- labels:
"env": "prod"
"region": "us-west-2"
aws:
assume_role_arn: "arn:aws:iam::123456789012:role/example-role-rds-env-prod-us-west-2-access"
# Discovery Service에서 env=dev Redshift 데이터베이스를 일치시키고
# "arn:aws:iam::123456789012:role/example-role-redshift-env-dev"를 상속받습니다.
- labels:
"env": "dev"
다음 명령어로 필요한 IAM 정책을 생성하거나 인쇄하고, 이를 각각의 IAM 역할에 연결하십시오:
teleport db configure aws create-iam --types redshift,redshift-serverless --name teleport-redshift-accessteleport db configure aws print-iam --types redshift,redshift-serverless
--types 옵션으로 지원되는 데이터베이스 유형의 전체 목록은 명령어 사용법을 참조하십시오.
데이터베이스 서비스 구성의 AWS 매처에서 assume_role_arn 을 지정할 수 있습니다:
db_service:
enabled: "yes"
aws:
- types: ["rds"]
regions: ["us-west-1", "us-west-2"]
assume_role_arn: "arn:aws:iam::123456789012:role/example-role-rds-env-prod"
tags:
"env": "prod"
- types: ["redshift", "redshift-serverless"]
regions: ["us-west-2"]
assume_role_arn: "arn:aws:iam::123456789012:role/example-role-redshift-env-dev"
tags:
"env": "dev"
데이터베이스 서비스는 발견 및 인증 모두에 대해 assume_role_arn 에 지정된 IAM 역할을 사용합니다.
IAM 권한을 부트스트랩하려면 각 assume_role_arn 에 대해 부트스트랩 명령을 실행하십시오:
teleport db configure bootstrap \ -c /etc/teleport.yaml \ --policy-name teleport-policy-rds-env-prod \ --attach-to-role "arn:aws:iam::123456789012:role/example-role-rds-env-prod"
데이터베이스 서비스 구성에서 데이터베이스를 정의할 때 aws.assume_role_arn 을 지정할 수 있습니다:
db_service:
enabled: "yes"
databases:
- name: "rds-postgres"
protocol: "postgres"
uri: "rds-postgres.abcdef012345.us-west-1.rds.amazonaws.com:5432"
aws:
assume_role_arn: "arn:aws:iam::123456789012:role/example-rds-access-role"
IAM 권한을 부트스트랩하려면 각 assume_role_arn 에 대해 부트스트랩 명령을 실행하십시오:
teleport db configure bootstrap \ -c /etc/teleport.yaml \ --policy-name teleport-policy-rds-access \ --attach-to-role "arn:aws:iam::123456789012:role/example-rds-access-role"
데이터베이스를 정의할 때 aws.assume_role_arn 을 지정할 수 있습니다:
kind: db
version: v3
metadata:
name: "rds-postgres"
labels:
env: "dev"
spec:
protocol: "postgres"
uri: "rds-postgres.abcdef012345.us-west-1.rds.amazonaws.com:5432"
aws:
assume_role_arn: "arn:aws:iam::123456789012:role/example-rds-access-role"
또는 데이터베이스 서비스에서 인증을 위한 IAM 역할을 덮어쓸 수 있습니다:
db_service:
enabled: "yes"
resources:
# env=dev 데이터베이스와 일치시키고 assume_role_arn을 덮어씁니다.
- labels:
"env": "dev"
aws:
assume_role_arn: "arn:aws:iam::123456789012:role/example-env-dev-access"
# env=prod 데이터베이스와 일치시키고 데이터베이스 정의에서 assume_role_arn을 사용하거나
# assume_role_arn이 비어있는 경우 호스트 IAM 신원을 사용합니다.
- labels:
"env": "prod"
다음 명령어로 필요한 IAM 정책을 생성하거나 인쇄하고, 이를 각각의 IAM 역할에 연결하십시오:
teleport db configure aws create-iam --types rds --name teleport-rds-accessteleport db configure aws print-iam --types rds
--types 옵션으로 지원되는 데이터베이스 유형의 전체 목록은 명령어 사용법을 참조하십시오.
assume_role_arn 에 지정된 IAM 역할은 데이터베이스 서비스가 실행 중인 호스트의 IAM 신원을 신뢰해야 합니다.
assume_role_arn 은 동일한 AWS 계정에 국한되지 않으므로 AWS 교차 계정 액세스 기능도 사용할 수 있습니다.
데이터베이스 연결에 대한 IAM 정책을 수동으로 관리할 수 있으며, 데이터베이스 서비스에 의존하여 업데이트하지 않아도 됩니다.
예를 들어, "Resource" 에 대해 와일드카드 "*"가 있는 정책을 첨부하여 문자 크기를 제한할 수 있습니다:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "rds-db:connect",
"Resource": "*"
}
]
}
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "redshift:GetClusterCredentials",
"Resource": "*"
}
]
}
데이터베이스 서비스에 의해 생성된 인라인 정책과 데이터베이스 서비스에 대한 IAM 사용자가 Get/Put/Delete 할 수 있는 권한을 안전하게 제거할 수 있습니다.
데이터베이스를 서로 다른 IAM 역할을 가진 별도의 데이터베이스 서비스로 분할할 수 있는 고가용성(HA) 구성에서 데이터베이스 서비스를 배포할 수 있습니다.
IAM 사용자는 IAM 역할에 비해 문자 제한이 낮습니다. 사용자 정책의 한계를 초과하는 경우 데이터베이스 서비스에 IAM 역할을 사용하는 것이 권장됩니다.
쿼리를 취소할 수 없습니다
psql 과 같은 PostgreSQL cli 클라이언트를 사용하고 ctrl+c 로 쿼리를 취소하려고 하지만 쿼리를 취소할 수 없는 경우, 대신 tsh 로컬 프록시를 사용하여 연결해야 합니다.
psql 이 쿼리를 취소하면 TLS 인증서 없이 새로운 연결을 설정하지만, Teleport는 인증 뿐만 아니라 데이터베이스 연결을 라우팅하기 위해 TLS 인증서를 필요로 합니다.
만약에
Teleport에서 TLS 라우팅을 활성화하면 tsh db connect 가 자동으로 각 연결에 대해 로컬 프록시를 시작합니다.
또는 로컬 프록시를 사용하는
Teleport Connect를 통해 연결할 수 있습니다.
그렇지 않으면, tsh proxy db 를 사용하여 로컬 프록시를 수동으로 시작하고 로컬 프록시를 통해 연결해야 합니다.
이미 psql 세션에서 취소할 수 없는 장기 실행 쿼리를 시작한 경우, 해당 쿼리를 수동으로 취소하기 위해 새 클라이언트 세션을 시작할 수 있습니다:
먼저 쿼리의 프로세스 식별자(PID)를 찾습니다:
SELECT pid,starttime,duration,trim(user_name) AS user,trim(query) AS query FROM stv_recents WHERE status = 'Running';
다음으로, 해당 PID를 사용하여 쿼리를 정상적으로 취소합니다.
이렇게 하면 해당 쿼리의 postgres 백엔드 프로세스에 SIGINT 신호가 전송됩니다:
SELECT pg_cancel_backend(<PID>);
항상 쿼리를 정상적으로 종료하려고 시도해야 하지만, 정상적인 취소에 시간이 너무 오래 걸리는 경우, 대신 쿼리를 강제로 종료할 수 있습니다.
이렇게 하면 해당 쿼리의 postgres 백엔드 프로세스에 SIGTERM 신호가 전송됩니다:
SELECT pg_terminate_backend(<PID>);
pg_cancel_backend 및 pg_terminate_backend 함수에 대한
PostgreSQL 문서를 참조하십시오.
SSL SYSCALL 오류
로컬 psql 이 최신 버전의 OpenSSL과 호환되지 않을 때 다음 오류가 발생할 수 있습니다:
tsh db connect --db-user postgres --db-name postgres postgrespsql: error: connection to server at "localhost" (::1), port 12345 failed: Connection refused Is the server running on that host and accepting TCP/IP connections?connection to server at "localhost" (127.0.0.1), port 12345 failed: SSL SYSCALL error: Undefined error: 0
로컬 psql 을 최신 버전으로 업그레이드하십시오.
다음 단계
- Amazon Redshift에 대한 데이터베이스 사용자 자격 증명을 생성하기 위해 IAM 인증 사용에 대해 알아보기.
- 특정 사용자 및 데이터베이스에 대한 액세스 제한 방법 알아보기.
- 고가용성(HA) 가이드를 참조하십시오.
- YAML 구성 참조를 확인하세요.