Teleport는 Teleport Database Service를 통해 Amazon RDS or Aurora에 대한 안전한 접근을 제공할 수 있습니다. 이는 Teleport의 RBAC를 통해 세부적인 접근 제어를 가능하게 합니다.
이 가이드에서는 다음을 수행합니다:
- Amazon RDS or Aurora 데이터베이스 with IAM authentication를 구성합니다.
- 데이터베이스를 Teleport 클러스터에 추가합니다.
- Teleport를 통해 데이터베이스에 연결합니다.
작동 원리
Teleport 데이터베이스 서비스는 IAM 인증을 사용하여 RDS와 통신합니다. 사용자가 Teleport를 통해 데이터베이스에 연결하면, Teleport 데이터베이스 서비스는 AWS 자격 증명을 얻고 데이터베이스에 접근할 수 있는 권한을 가진 IAM 주체로 AWS에 인증합니다.
다음을 지원하지 않으므로 Teleport와 호환되지 않는 제품입니다: IAM 인증을 지원하지 않습니다:
- Aurora Serverless v1.
- RDS MariaDB 10.6 이하 버전.
IAM 인증을 지원하는 Aurora Serverless v2로 Aurora Serverless v1로 업그레이드할 것을 권장합니다.
이 가이드는 Teleport 클러스터에 단일 RDS을 등록하는 방법을 보여줍니다. 더 확장 가능한 접근 방식을 원하신다면, 데이터베이스 자동 발견을 설정하여 인프라에서 모든 데이터베이스를 자동으로 등록하는 방법을 알아보세요.
전제 조건
-
실행 중인 Teleport 클러스터 버전 이상. Teleport를 시작하려면, 가입하기 위해 무료 평가판에 등록하거나 데모 환경 설정하기를 참조하세요.
-
tctl
관리 도구와tsh
클라이언트 도구.tctl
과tsh
다운로드에 대한 지침은 설치를 방문하세요.
-
RDS 및 Aurora 데이터베이스와 IAM 정책을 생성하고 연결할 수 있는 권한이 있는 AWS 계정.
IAM 인증RDS 및 Aurora 데이터베이스에서는 패스워드와 IAM 인증이 활성화되어 있어야 합니다.
대상 RDS 및 Aurora 데이터베이스에서 IAM 인증이 활성화되어 있지 않으면, 데이터베이스 서비스는 각 API를 사용하여 IAM 인증을 활성화하려고 시도합니다.
-
Teleport 데이터베이스 서비스를 실행할 Linux 호스트 또는 Amazon Elastic Kubernetes Service 클러스터.
-
당신의 Teleport 클러스터에 연결할 수 있는지 확인하려면,
tsh login
으로 로그인한 다음 현재 자격 증명을 사용하여tctl
명령어를 실행할 수 있는지 확인하십시오.예를 들어:
tsh login --proxy=teleport.example.com --user=email@example.comtctl status클러스터 teleport.example.com
버전 16.2.0
CA 핀 sha256:abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678
클러스터에 연결하고
tctl status
명령어를 실행할 수 있다면, 현재 자격 증명을 사용하여 작업대에서 후속tctl
명령어를 실행할 수 있습니다.자신의 Teleport 클러스터를 호스팅하는 경우, Teleport 인증 서비스를 호스팅하는 컴퓨터에서 전체 권한으로
tctl
명령어를 실행할 수도 있습니다.
Kubernetes에서 Teleport 데이터베이스 서비스를 실행할 계획이라면 다음이 필요합니다:
-
PATH에
aws
CLI가 있어야 합니다. AWS 문서를 따라 설치하세요. -
Kubernetes 클러스터에서 실행 중인 IAM OIDC 공급자가 필요합니다. IAM OIDC 공급자를 생성하는 방법은 AWS 문서를 참조하세요.
클러스터에서 IAM OIDC 공급자가 실행 중인지 확인하기 위해 다음
aws
명령을 실행하세요. eks-region에는 EKS 클러스터가 실행 중인 리전을, cluster-name에는 Kubernetes 클러스터의 이름을 입력하세요:aws --region=eks-region eks describe-cluster --name cluster-name --query "cluster.identity.oidc.issuer" --output text클러스터와 연결된 IAM OIDC 공급자가 있을 경우, 이 명령은 해당 ID를 출력합니다.
-
JSON 데이터를 처리하는 데 사용하는
jq
CLI 도구가 필요합니다.
1단계/6. Teleport 사용자 생성
기존 사용자를 수정하여 데이터베이스 서비스에 대한 액세스를 제공하려면 데이터베이스 액세스 제어를 참조하세요.
내장된 access
역할로 로컬 Teleport 사용자를 생성하세요:
tctl users add \ --roles=access \ --db-users="*" \ --db-names="*" \ alice
내장된 access
및 requester
역할로 로컬 Teleport 사용자를 생성하세요:
tctl users add \ --roles=access,requester \ --db-users="*" \ --db-names="*" \ alice
Flag | Description |
---|---|
--roles | 사용자에게 할당할 역할 목록입니다. 내장된 access 역할은 그들이 Teleport에 등록된 모든 데이터베이스 서버에 연결할 수 있도록 합니다. |
--db-users | 사용자가 데이터베이스에 연결할 때 사용할 수 있는 데이터베이스 사용자 이름 목록입니다. 와일드카드는 모든 사용자를 허용합니다. |
--db-names | 사용자가 데이터베이스 서버 내에서 연결할 수 있는 논리적 데이터베이스(일명 스키마) 목록입니다. 와일드카드는 모든 데이터베이스를 허용합니다. |
데이터베이스 이름은 PostgreSQL, MongoDB 및 Cloud Spanner 데이터베이스에 대해서만 적용됩니다.
데이터베이스 액세스 제어와 액세스를 제한하는 방법에 대한 자세한 정보는 RBAC 문서를 참조하세요.
2단계/6. 데이터베이스 서비스 구성 생성
이 섹션에서는 Teleport 데이터베이스 서비스를 구성합니다. 이를 위해:
- Teleport 클러스터와의 신뢰를 입증하기 위해 서비스에 대한 조인 토큰을 생성합니다.
- 데이터베이스 서비스를 설치하고 실행할 수 있도록 패키지 관리자를 설정합니다.
- 데이터베이스 서비스에 대한 구성을 생성합니다.
조인 토큰 생성
Teleport 데이터베이스 서비스와 Teleport 클러스터 사이의 신뢰를 확보하기 위해 조인 토큰을 생성합니다.
다음 명령을 워크스테이션에서 실행하여 조인 토큰을 생성하세요:
tctl tokens add --type=db
다음 단계는 Teleport 데이터베이스 서비스를 실행하는 방법에 따라 다릅니다:
토큰을 데이터베이스 서비스를 실행할 호스트의 /tmp/token
이라는 파일에 저장하세요.
나중에 이 가이드에서 Teleport 데이터베이스 서비스를 구성할 때 이 조인 토큰을 사용할 것입니다.
AWS에 많은 인프라가 있는 사용자나 많은 인스턴스를 생성하거나 재생성할 수 있는 사용자에게는, 새로운 EC2 인스턴스를 Teleport에 연결하기 위한 대체 방법을 고려하세요:
환경 준비
다음으로 Teleport 데이터베이스 서비스를 실행할 수 있도록 환경을 준비합니다:
Linux 서버에 Teleport 설치하기:
-
Teleport 에디션에 따라 edition을(를) 다음 중 하나로 지정합니다:
에디션 값 Teleport Enterprise Cloud cloud
Teleport Enterprise (자체 호스팅) enterprise
Teleport Community Edition oss
-
설치할 Teleport의 버전을 확인합니다. 클러스터에서 자동 에이전트 업데이트가 활성화되어 있는 경우, 업데이터와 호환되는 최신 Teleport 버전을 쿼리합니다:
TELEPORT_DOMAIN=example.teleport.comTELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"그렇지 않으면, Teleport 클러스터의 버전을 확인합니다:
TELEPORT_DOMAIN=example.teleport.comTELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/ping | jq -r '.server_version')" -
Linux 서버에 Teleport를 설치합니다:
curl https://cdn.teleport.dev/install-v16.2.0.sh | bash -s ${TELEPORT_VERSION} edition설치 스크립트는 Linux 서버에서 패키지 관리자를 감지하고 이를 사용하여 Teleport 바이너리를 설치합니다. 설치를 사용자 지정하려면 설치 가이드에서 Teleport 패키지 리포지토리에 대해 알아보세요.
다음 정보를 제공한 후 Teleport 데이터베이스 서비스에 대한 구성 파일을 생성하세요:
- example.teleport.sh:443 Teleport 프록시 서비스 또는 클라우드 호스팅 Teleport 엔터프라이즈 사이트의 호스트 및 포트
- protocol 프록시할 데이터베이스의 프로토콜,
mysql
또는postgres
- endpoint:port 데이터베이스의 엔드포인트 및 포트 - Aurora의 클러스터 엔드포인트 또는 RDS 인스턴스의 인스턴스 엔드포인트, 예:
myrds.us-east-1.rds.amazonaws.com:5432
sudo teleport db configure create \ -o file \ --name=rds-example \ --proxy=example.teleport.sh:443 \ --protocol=protocol \ --uri=endpoint:port \ --labels=env=dev \ --token=/tmp/token
이 명령은 Teleport 데이터베이스 서비스 구성 파일을 생성하고 /etc/teleport.yaml
위치에 배치합니다.
Teleport Helm 리포지토리를 설정하세요. Teleport Helm 리포지토리에 호스팅된 차트를 설치하도록 Helm을 허용하세요:
helm repo add teleport https://charts.releases.teleport.dev
원격 리포지토리의 차트 캐시를 업데이트하여 모든 사용 가능한 릴리즈로 업그레이드할 수 있습니다:
helm repo update
3단계/6. Teleport를 위한 IAM 정책 생성
Teleport 데이터베이스 서비스는 RDS 인스턴스 및 Aurora 클러스터에 대한 IAM 인증을 구성할 수 있는 AWS IAM 권한이 필요합니다.
이 단계에서는 Teleport 데이터베이스 서비스에 AWS 자격 증에 대한 접근 권한을 제공하는 방법을 보여줍니다:
Linux 호스트에서 다음 지침을 따르세요.
the Database Service에 AWS에 인증하는 데 사용할 수 있는 자격 증명에 대한 액세스를 부여합니다.
the Database Service를 EC2 인스턴스에서 실행하는 경우 EC2 인스턴스 메타데이터 서비스 방법을 사용할 수 있습니다. 그렇지 않은 경우 환경 변수를 사용해야 합니다:
Teleport는 EC2 인스턴스에서 실행될 때 이를 감지하고 인스턴스 메타데이터 서비스를 사용하여 자격 증명을 가져옵니다.
EC2 인스턴스는 EC2 인스턴스 프로파일을 사용하도록 구성되어 있어야 합니다. 자세한 내용은 인스턴스 프로파일 사용하기를 참조하세요.
Teleport의 내장 AWS 클라이언트는 다음 환경 변수에서 자격 증명을 읽습니다:
AWS_ACCESS_KEY_ID
AWS_SECRET_ACCESS_KEY
AWS_DEFAULT_REGION
the Database Service를 시작하면 서비스는 /etc/default/teleport
경로의 파일에서 환경 변수를 읽습니다. 이 자격 증명은 귀하의 조직에서 가져오십시오. /etc/default/teleport
에 다음 내용을 포함하고 각 변수의 값을 대체해야 합니다:
AWS_ACCESS_KEY_ID=00000000000000000000
AWS_SECRET_ACCESS_KEY=0000000000000000000000000000000000000000
AWS_DEFAULT_REGION=<YOUR_REGION>
Teleport의 AWS 클라이언트는 자격 증명을 다음 순서로 다양한 출처에서 로드합니다:
- 환경 변수
- 공유 자격 증명 파일
- 공유 구성 파일 (Teleport는 항상 공유 구성을 활성화합니다)
- EC2 인스턴스 메타데이터 (자격 증명 전용)
공유 자격 증명 파일 또는 공유 구성 파일을 통해 AWS 자격 증명을 제공할 수 있지만, the Database Service를 실행할 때 AWS_PROFILE
환경 변수를 선택한 프로파일의 이름으로 지정해야 합니다.
위의 지침이 고려하지 않은 특정 사용 사례가 있는 경우, 자격 증명 로딩 동작에 대한 자세한 설명을 보려면 AWS SDK for Go의 문서를 참조하십시오.
Teleport는 teleport db configure bootstrap
명령어를 사용하여 데이터베이스 서비스의 IAM 권한을 기반으로 설정을 부트스트랩할 수 있습니다. 자동 모드 또는 수동 모드에서 이 명령어를 사용할 수 있습니다:
- 자동 모드에서는 Teleport가 적절한 IAM 정책을 생성하고 지정된 IAM 정체성 역할에 연결하려고 시도합니다. 이는 IAM 정책을 생성하고 연결할 수 있는 IAM 권한이 필요합니다.
- 수동 모드에서는 Teleport가 필요한 IAM 정책을 출력합니다. 그런 다음 AWS 관리 콘솔을 사용하여 수동으로 생성하고 연결할 수 있습니다.
Teleport 데이터베이스 서비스가 IAM 역할로 실행될 때 권한을 자동으로 부트스트랩하기 위해 이 명령어를 사용하세요 (예: 연결된 IAM 역할이 있는 EC2 인스턴스에서).
teleport db configure bootstrap -c /etc/teleport.yaml --attach-to-role TeleportRole
AWS 콘솔에서 생성할 수 있는 필요한 IAM 정책을 표시하기 위해 이 명령어를 사용하세요:
teleport db configure bootstrap -c /etc/teleport.yaml --manual --attach-to-role arn:aws:iam::123456789012:role/TeleportRole
assume_role_arn
이 데이터베이스 또는 AWS 매처에 대해 설정되어 있는 경우, teleport db configure bootstrap
은 부트스트랩 대상 AWS IAM 정체성에 필요한 권한을 다음 로직을 사용하여 결정합니다:
- 대상이 구성 파일의 데이터베이스 리소스 또는 AWS 매처에서
assume_role_arn
과 일치하지 않을 때, 대상은 Teleport 데이터베이스 서비스의 AWS IAM 정체성으로 간주되며 모든 구성된 정적 데이터베이스 및 AWS 매처에 대한 권한이 부트스트랩됩니다. --attach-to-role
대상이 구성 파일의 정적 데이터베이스 또는 AWS 매처에 대한assume_role_arn
설정과 일치할 때, 해당 정적 데이터베이스 또는 AWS 매처에 대해서만 권한이 부트스트랩됩니다.
Teleport 데이터베이스 서비스의 IAM 정체성을 정책 첨부 대상으로 하여 부트스트랩 명령어를 한 번 실행해야 하며, assume_role_arn
에 사용되는 각 AWS IAM 역할에 대해 한 번씩 실행해야 합니다.
Teleport는 rds:ModifyDBInstance
및 rds:ModifyDBCluster
를 사용하여 RDS 인스턴스와 Aurora 클러스터에서 IAM 인증을 자동으로 활성화합니다. IAM 인증이 이미 활성화되어 있는 경우 이러한 권한은 생략할 수 있습니다.
로컬 워크스테이션에서 다음 지침을 따르세요.
RDS 데이터베이스에 연결할 수 있도록 IAM 정체성에 허용하는 IAM 정책 문서를 생성하세요. rds-region에는 RDS 데이터베이스가 실행 중인 AWS 리전의 이름을, aws-account에는 AWS 계정 번호를, resource-id에는 RDS 데이터베이스의 리소스 ID 또는 Aurora 클러스터의 클러스터 ID (예: db-AAAAAAAAAAAAAAAAAAAAAAAAAA
)를 입력하세요:
cat > connect.json << EOF{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rds-db:connect" ], "Resource": [ "arn:aws:rds-db:rds-region:aws-account:dbuser:resource-id/*" ] } ]}EOF
IAM 정책을 생성하세요:
aws iam create-policy --policy-name teleport-rds-policy --policy-document file://connect.json{ "Policy": { "PolicyName": "teleport-rds-policy", "PolicyId": "000000000000000000000", "Arn": "arn:aws:iam::000000000000:policy/teleport-rds-policy", "Path": "/", "DefaultVersionId": "v1", "AttachmentCount": 0, "PermissionsBoundaryUsageCount": 0, "IsAttachable": true, "CreateDate": "2023-07-13T18:03:08+00:00", "UpdateDate": "2023-07-13T18:03:08+00:00" }}
teleport-rds-role
에 대한 신뢰 정책을 생성하여 역할이 IAM OIDC 공급자를 통해 임시 자격 증명을 얻을 수 있도록 합니다.
OIDC 공급자 ID를 검색하여 cluster-name에는 EKS 클러스터의 이름을, eks-region에는 EKS 클러스터가 실행 중인 AWS 리전을 입력하세요:
aws eks describe-cluster --name cluster-name --region eks-region | jq -r .cluster.identity.oidc.issuer | grep -Eo "[A-Z0-9]+$"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
다음 내용을 포함한 trustpolicy.json
이라는 파일을 생성하세요. oidc-issuer에는 이전에 검색한 발급자 문자열을 입력하세요:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::aws-account:oidc-provider/oidc.eks.eks-region.amazonaws.com/id/oidc-issuer" }, "Action": "sts:AssumeRoleWithWebIdentity", "Condition": { "StringEquals": { "oidc.eks.eks-region.amazonaws.com/id/oidc-issuer:aud": "sts.amazonaws.com" } } } ]}
신뢰 정책을 사용하여 IAM 역할을 생성하세요. 성공적으로 생성되면 명령은 생성된 IAM 리소스를 표시합니다:
aws iam create-role --role-name teleport-rds-role --assume-role-policy-document file://trustpolicy.json
이전에 생성한 정책에 역할을 연결하세요. 성공적으로 연결되면 이 명령은 출력이 표시되지 않습니다:
aws iam attach-role-policy --policy-arn arn:aws:iam::aws-account:policy/teleport-rds-policy --role-name teleport-rds-role
4단계/6. 데이터베이스 서비스 시작
환경에서 Teleport 데이터베이스 서비스를 시작합니다:
호스트가 부팅될 때 the Database Service가 자동으로 시작되도록 시스템 데몬 서비스를 생성하여 구성합니다. 지침은 the Database Service를 설치한 방법에 따라 다릅니다.
the Database Service를 실행할 호스트에서 Teleport를 활성화하고 시작하십시오:
sudo systemctl enable teleportsudo systemctl start teleport
the Database Service를 실행할 호스트에서 Teleport에 대한 시스템 데몬 서비스 구성을 생성하고, Teleport 서비스를 활성화한 후 Teleport를 시작하십시오:
sudo teleport install systemd -o /etc/systemd/system/teleport.servicesudo systemctl enable teleportsudo systemctl start teleport
the Database Service의 상태는 systemctl status teleport
로 확인할 수 있으며, 로그는 journalctl -fu teleport
로 볼 수 있습니다.
이 가이드에서 이전에 생성한 조인 토큰을 검색하여 다음 명령을 실행하고 Db
유형의 토큰을 복사합니다:
tctl tokens lsToken Type Labels Expiry Time (UTC)-------------------------------- ---- ------ ----------------------------abcd123-insecure-do-not-use-this Db 14 Jun 23 21:21 UTC (20m15s)
values.yaml
이라는 Helm 값 파일을 생성하여 위에서 검색한 조인 토큰의 값을 token에, Teleport 프록시 서비스의 호스트 및 포트를 example.teleport.sh:443에, RDS 데이터베이스의 호스트 및 포트를 endpoint:port에 할당합니다:
authToken: tokenproxyAddr: example.teleport.sh:443roles: dbdatabases:- name: example uri: "endpoint:port" protocol: protocol static_labels: env: devannotations: serviceAccount: eks.amazonaws.com/role-arn: arn:aws:iam::aws-account:role/teleport-rds-role
Teleport 에이전트 서비스용 Helm 차트를 설치합니다, teleport-kube-agent
:
helm -n teleport-agent install teleport-kube-agent teleport/teleport-kube-agent \ --values values.yaml --create-namespace
Teleport 에이전트 Pod가 실행 중인지 확인하세요. 하나의 teleport-kube-agent
Pod와 단일 준비된 컨테이너가 있어야 합니다:
kubectl -n teleport-agent get podsNAME READY STATUS RESTARTS AGEteleport-kube-agent-0 1/1 Running 0 32s
5단계/6. 데이터베이스 IAM 사용자 생성
데이터베이스 사용자들은 RDS의 데이터베이스 접근에 사용하기 위해 IAM 인증을 허용해야 합니다. 데이터베이스 엔진에서 alice
사용자에 대해 이를 활성화하는 방법은 다음과 같습니다. 다음 단계에서는 사용자 Teleport 계정을 통해 alice
사용자로 인증할 것입니다.
PostgreSQL 사용자는 rds_iam
역할을 가져야 합니다:
CREATE USER alice;
GRANT rds_iam TO alice;
MySQL 및 MariaDB 사용자는 RDS 인증 플러그인이 활성화되어야 합니다:
CREATE USER alice IDENTIFIED WITH AWSAuthenticationPlugin AS 'RDS';
생성된 사용자는 기본적으로 아무런 접근 권한이 없으므로 몇 가지 권한을 부여합시다:
GRANT ALL ON `%`.* TO 'alice'@'%';
IAM 인증을 사용하여 데이터베이스 계정을 생성하는 방법에 대한 자세한 내용은 IAM 인증을 사용하는 데이터베이스 계정 생성을 참조하세요.
6단계/6. 연결하기
데이터베이스 서비스가 시작되고 클러스터에 조인된 후, 앞서 생성한 alice
사용자로 로그인하여 등록된 데이터베이스를 확인하세요:
tsh login --proxy=example.teleport.sh:443 --user=alicetsh db ls이름 설명 라벨
----------- ----------- --------
rds-example env=dev
데이터베이스의 자격 증명을 검색하고 alice
사용자로 연결하세요:
tsh db connect --db-user=postgres --db-name=postgres rds-example
적절한 데이터베이스 명령줄 클라이언트(psql
, mysql
, mariadb
)가 연결할 수 있도록 PATH
에 있어야 합니다.
데이터베이스에서 로그아웃하고 자격 증명을 제거하세요:
tsh db logout rds-example
문제 해결
인증서 오류
tsh db connect
오류에 다음 텍스트가 포함되어 있다면, 2020년 7월 28일 이전에 생성된 RDS 또는 DocumentDB 데이터베이스가 있어 Teleport와 호환되지 않는 X.509 인증서를 제공하고 있을 가능성이 있습니다:
x509: certificate relies on legacy Common Name field, use SANs instead
AWS는 SSL/TLS 인증서를 교체하는 방법을 제공합니다.
자격 증명 공급자 오류
로그에 NoCredentialProviders: no valid providers in chain
오류가 표시되면 Database 서비스 로그에서 Teleport가
AWS IAM 권한을 통해 연결하는 데 필요한 자격 증명을 감지하지 못하고 있다는 의미입니다. Teleport Database 서비스가 실행 중인
기계에 자격 증명 또는 보안 역할이 적용되었는지 확인하세요.
EKS에서 실행할 때, Teleport Database 서비스가 PUT 요청의 홉 제한이 1로 설정된 워커 노드 인스턴스에 IMDSv2에 접근할 수 없는 경우 이 오류가 발생할 수 있습니다. 다음 명령어를 사용하여 홉 제한을 확인할 수 있습니다:
aws ec2 describe-instances --instance-ids <node-instance-id> | grep HttpPutResponseHopLimit"HttpPutResponseHopLimit": 1,
자세한 내용을 보려면 IMDSv2 지원 EKS 및 EKS 모범 사례를 참조하세요.
타임아웃 오류
텔레포트 데이터베이스 서비스는 데이터베이스 엔드포인트에 연결할 수 있어야 합니다. 이는 데이터베이스 서비스와 동일한 VPC에서 데이터베이스에 대한 인바운드 트래픽을 활성화하거나 다른 VPC의 라우팅 규칙을 필요로 할 수 있습니다. nc
프로그램을 사용하여 데이터베이스 연결을 확인할 수 있습니다:
nc -zv postgres-instance-1.sadas.us-east-1.rds.amazonaws.com 5432postgres-instance-1.sadas.us-east-1.rds.amazonaws.com (172.31.24.172) 5432 포트 [tcp/postgresql]에 연결되었습니다!
sts:AssumeRole
수행 권한이 없습니다
데이터베이스 서비스는 다음 상황 중 하나에서 IAM 역할을 가정합니다:
- 텔레포트 사용자가 AWS 서비스에 접근할 때 사용할 데이터베이스 사용자로 IAM 역할을 지정합니다. IAM 역할을 데이터베이스 사용자로 사용할 수 있는 데이터베이스로는 DynamoDB, Keyspaces, Opensearch, Redshift 및 Redshift Serverless가 포함됩니다.
- 데이터베이스 리소스 또는 동적 리소스 매처에 대해
assume_role_arn
필드가 지정되었습니다.
위의 두 조건이 모두 데이터베이스 연결에 대해 참일 경우,
데이터베이스 서비스는 먼저 assume_role_arn
에 지정된 IAM 역할을 가정하고,
그 다음 해당 IAM 역할을 사용하여 데이터베이스 사용자에 대한 IAM 역할을 가정합니다.
IAM 역할 간의 신뢰 관계가 올바르게 구성되지 않은 경우 다음 오류를 만날 수 있습니다:
AccessDenied: User: arn:aws:sts::111111111111:assumed-role/teleport-db-service-role/i-*는 리소스: arn:aws:iam::111111111111:role/db-user-role에 대해 sts:AssumeRole을 수행할 권한이 없습니다.
IAM 역할 teleport-db-service-role
이 IAM 역할 db-user-role
를 가정할 수 있도록 허용하려면 일반적으로 다음이 필요합니다:
1. db-user-role의 신뢰 관계 구성
teleport-db-service-role
또는 그 AWS 계정은 db-user-role
의 신뢰 정책에서 Principal
로 설정되어야 합니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::aws-account-id:role/teleport-db-service-role"
},
"Action": "sts:AssumeRole"
}
]
}
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::aws-account-id:root"
},
"Action": "sts:AssumeRole"
}
]
}
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::external-aws-account-id:role/teleport-db-service-role"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "example-external-id"
}
}
}
]
}
2. teleport-db-service-role의 권한 정책 구성
teleport-db-service-role
은 sts:AssumeRole
권한이 필요합니다. 예:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::aws-account-id:role/db-user-role"
}
]
}
이 정책은 teleport-db-service-role
과 db-user-role
가 동일한 AWS 계정에 있고 teleport-db-service-role
의 전체 ARN이 db-user-role
의 신뢰 정책에 Principal로 설정되어 있으면 생략할 수 있습니다.
3. teleport-db-service-role
의 권한 경계 구성
teleport-db-service-role
에 연결된 권한 경계가 없는 경우 이 단계를 건너뛸 수 있습니다. 그렇지 않으면 teleport-db-service-role
에 연결된 경계 정책에는 sts:AssumeRole
권한이 포함되어야 하며, 예시는 다음과 같습니다:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Resource": "*"
}
]
}
신뢰 관계를 테스트하려면 teleport-db-service-role
로 다음 AWS CLI 명령을 실행하십시오:
aws sts assume-role --role-arn arn:aws:iam::111111111111:role/db-user-role --role-session-name test-trust-relationship
IAM 역할과 함께 신뢰 정책을 사용하는 방법에 대해 더 알아보세요.
최대 정책 크기 초과 오류
IAM 및 STS 문자 한도로 인해 많은 수의 데이터베이스가 등록될 때 Database Service 로그에서 다음 오류 중 하나를 만날 수 있습니다:
LimitExceeded: Maximum policy size of 2048 bytes exceeded for user <iam-user>
LimitExceeded: Maximum policy size of 10240 bytes exceeded for role <iam-role>
참고로, 사용자 정책은 IAM 정책 문자 한도로 인해 약 6개의 Redshift 데이터베이스 또는 20개의 RDS 데이터베이스에 대한 권한을 유지할 수 있습니다. 역할 정책은 약 30개의 Redshift 데이터베이스 또는 100개의 RDS 데이터베이스에 대한 권한을 유지할 수 있습니다.
이 한도를 우회하기 위해 다음 방법 중 하나 또는 조합을 사용해 보십시오:
정책 크기를 줄이기 위해 여러 IAM 역할로 분리할 수 있습니다. 데이터베이스에 접근하기 위한
다양한 IAM 역할을 지정하기 위해 assume_role_arn
을 사용하십시오:
Discovery Service의 구성에서 AWS 매처에 assume_role_arn
을 지정할 수 있습니다:
discovery_service:
enabled: "yes"
aws:
- types: ["rds"]
regions: ["us-west-1", "us-west-2"]
assume_role_arn: "arn:aws:iam::123456789012:role/example-role-rds-env-prod-discovery"
tags:
"env": "prod"
- types: ["redshift", "redshift-serverless"]
regions: ["us-west-2"]
assume_role_arn: "arn:aws:iam::123456789012:role/example-role-redshift-env-dev"
tags:
"env": "dev"
Discovery Service는 assume_role_arn
에 지정된 IAM 역할을 사용하여 검색을 수행하며, 기본적으로
Database Service는 동일한 IAM 역할을 인증에 사용합니다.
그러나 다른 역할을 사용하고 싶다면 Database Service에 의해 인증을 위한 IAM 역할을 덮어쓸 수도 있습니다:
db_service:
enabled: "yes"
resources:
# Discovery Service에서 us-west-1 env=prod RDS 데이터베이스를 일치시키고
# assume_role_arn을 덮어씁니다.
- labels:
"env": "prod"
"region": "us-west-1"
aws:
assume_role_arn: "arn:aws:iam::123456789012:role/example-role-rds-env-prod-us-west-1-access"
# Discovery Service에서 us-west-2 env=prod RDS 데이터베이스를 일치시키고
# assume_role_arn을 덮어씁니다.
- labels:
"env": "prod"
"region": "us-west-2"
aws:
assume_role_arn: "arn:aws:iam::123456789012:role/example-role-rds-env-prod-us-west-2-access"
# Discovery Service에서 env=dev Redshift 데이터베이스와 일치하고
# "arn:aws:iam::123456789012:role/example-role-redshift-env-dev"를 상속합니다.
- labels:
"env": "dev"
Teleport는 검색 중 클라우드 리소스 속성에서 파생된 특정 레이블을 생성합니다. 더 많은 세부정보는 자동 검색 레이블 / labels/#auto-discovery)을 참조하십시오.
다음 명령어로 필요한 IAM 정책을 생성하거나 인쇄하고 해당 IAM 역할에 연결하십시오:
teleport db configure aws create-iam --types redshift,redshift-serverless --name teleport-redshift-accessteleport db configure aws print-iam --types redshift,redshift-serverless
--types
옵션으로 지원되는 데이터베이스 유형의 전체 목록은 명령어 사용법을 참조하십시오.
Database Service의 구성에서 AWS 매처에 assume_role_arn
을 지정할 수 있습니다:
db_service:
enabled: "yes"
aws:
- types: ["rds"]
regions: ["us-west-1", "us-west-2"]
assume_role_arn: "arn:aws:iam::123456789012:role/example-role-rds-env-prod"
tags:
"env": "prod"
- types: ["redshift", "redshift-serverless"]
regions: ["us-west-2"]
assume_role_arn: "arn:aws:iam::123456789012:role/example-role-redshift-env-dev"
tags:
"env": "dev"
Database Service는 검색 및 인증을 위해 assume_role_arn
에 지정된 IAM 역할을 모두 사용합니다.
IAM 권한을 부트스트랩하려면 각 assume_role_arn
에 대한 부트스트랩 명령을 실행하십시오:
teleport db configure bootstrap \ -c /etc/teleport.yaml \ --policy-name teleport-policy-rds-env-prod \ --attach-to-role "arn:aws:iam::123456789012:role/example-role-rds-env-prod"
Database Service의 구성에서 데이터베이스 정의 시 aws.assume_role_arn
을 지정할 수 있습니다:
db_service:
enabled: "yes"
databases:
- name: "rds-postgres"
protocol: "postgres"
uri: "rds-postgres.abcdef012345.us-west-1.rds.amazonaws.com:5432"
aws:
assume_role_arn: "arn:aws:iam::123456789012:role/example-rds-access-role"
IAM 권한을 부트스트랩하려면 각 assume_role_arn
에 대한 부트스트랩 명령을 실행하십시오:
teleport db configure bootstrap \ -c /etc/teleport.yaml \ --policy-name teleport-policy-rds-access \ --attach-to-role "arn:aws:iam::123456789012:role/example-rds-access-role"
데이터베이스를 정의할 때 aws.assume_role_arn
을 지정할 수 있습니다:
kind: db
version: v3
metadata:
name: "rds-postgres"
labels:
env: "dev"
spec:
protocol: "postgres"
uri: "rds-postgres.abcdef012345.us-west-1.rds.amazonaws.com:5432"
aws:
assume_role_arn: "arn:aws:iam::123456789012:role/example-rds-access-role"
또는 Database Service에 의해 인증을 위한 IAM 역할을 덮어쓸 수 있습니다:
db_service:
enabled: "yes"
resources:
# env=dev 데이터베이스와 일치하고 assume_role_arn을 덮어씁니다.
- labels:
"env": "dev"
aws:
assume_role_arn: "arn:aws:iam::123456789012:role/example-env-dev-access"
# env=prod 데이터베이스와 일치하고 데이터베이스 정의의 assume_role_arn을 사용하거나 assume_role_arn이 비어 있을 경우
# 호스트 IAM ID를 사용합니다.
- labels:
"env": "prod"
다음 명령어로 필요한 IAM 정책을 생성하거나 인쇄하고 해당 IAM 역할에 연결하십시오:
teleport db configure aws create-iam --types rds --name teleport-rds-accessteleport db configure aws print-iam --types rds
--types
옵션으로 지원되는 데이터베이스 유형의 전체 목록은 명령어 사용법을 참조하십시오.
assume_role_arn
에 지정된 IAM 역할은 신뢰를
호스팅 Database Service를 실행하는 IAM ID에 제공해야 합니다.
assume_role_arn
은 동일한 AWS 계정에 국한되지 않으므로 AWS 크로스 계정 액세스
기능을 사용할 수도 있습니다.
Database Service가 이를 업데이트하도록 의존하는 대신 데이터베이스 연결을 위한 IAM 정책을 수동으로 관리할 수 있습니다.
예를 들어, "리소스"에 대해 와일드카드 "*"가 있는 정책을 첨부하여 문자 크기를 제한할 수 있습니다:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "rds-db:connect",
"Resource": "*"
}
]
}
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "redshift:GetClusterCredentials",
"Resource": "*"
}
]
}
Database Service에 의해 생성된 인라인 정책과 Database Service의 사용자 또는 역할 정책에 대한 IAM 권한을 안전하게 제거할 수 있습니다.
고가용성(HA) 구성을 통한 Database Service 배포로 데이터베이스를 여러 IAM 역할이 있는 서로 다른 Database Service로 샤딩할 수 있습니다.
IAM 사용자는 IAM 역할에 비해 문자 한도가 낮습니다. 사용자 정책에 대한 한도가 초과되는 경우, Database Service에 IAM 역할을 사용하는 것이 좋습니다.
쿼리를 취소할 수 없습니다
psql
과 같은 PostgreSQL CLI 클라이언트를 사용하고 ctrl+c
로 쿼리를 취소하려고 시도했지만 쿼리가 취소되지 않는 경우, 대신 tsh
로컬 프록시를 사용하여 연결해야 합니다.
psql
이 쿼리를 취소할 때 TLS 인증서 없이 새 연결을 설정하지만, Teleport는 인증을 위해뿐만 아니라 데이터베이스 연결을 라우팅하기 위해서도 TLS 인증서를 필요로 합니다.
만약 당신이
Teleport에서 TLS 라우팅을 활성화하면 tsh db connect
는 모든 연결에 대해 자동으로 로컬 프록시를 시작합니다.
대안으로, 로컬 프록시를 사용하는
Teleport Connect를 통해 연결할 수 있습니다.
그렇지 않으면 tsh proxy db
를 사용하여 수동으로 tsh
로컬 프록시를 시작하고 로컬 프록시를 통해 연결해야 합니다.
psql
세션에서 ctrl+c
로 취소할 수 없는 장기 실행 쿼리를 이미 시작한 경우, 해당 쿼리를 수동으로 취소하기 위해 새 클라이언트 세션을 시작할 수 있습니다:
먼저, 쿼리의 프로세스 식별자(PID)를 찾습니다:
{{ PIDQuery }}
다음으로, PID를 사용하여 쿼리를 정상적으로 취소합니다. 이것은 해당 쿼리에 대한 postgres 백엔드 프로세스에 SIGINT 신호를 보냅니다:
SELECT pg_cancel_backend(<PID>);
항상 먼저 쿼리를 정상 종료하려고 시도해야 하지만, 정상 취소가 너무 오래 걸리는 경우, 대신 쿼리를 강제로 종료할 수 있습니다. 이것은 해당 쿼리에 대한 postgres 백엔드 프로세스에 SIGTERM 신호를 보냅니다:
SELECT pg_terminate_backend(<PID>);
pg_cancel_backend
및 pg_terminate_backend
함수에 대한 더 많은 정보는
PostgreSQL 문서의 관리자 함수를 참조하십시오.
SSL SYSCALL error
다음은 로컬 psql
이 최신 버전의 OpenSSL과 호환되지 않을 때 발생할 수 있는 오류 메시지입니다:
$ tsh db connect --db-user postgres --db-name postgres postgres
psql: error: connection to server at "localhost" (::1), port 12345 failed: Connection refused
Is the server running on that host and accepting TCP/IP connections?
connection to server at "localhost" (127.0.0.1), port 12345 failed: SSL SYSCALL error: Undefined error: 0
이 문제를 해결하려면 로컬 psql
을 최신 버전으로 업그레이드하세요.
다음 단계
-
특정 사용자와 데이터베이스에 대한 액세스를 제한하는 방법을 알아보세요.
-
고가용성(HA) 가이드를 확인하세요.
-
YAML 구성 참조를 살펴보세요.
-
전체 CLI 참조를 확인하세요.
- 자동 데이터베이스 사용자 프로비저닝 설정을 설정하세요.