Amazon ElastiCache 및 Amazon MemoryDB for Redis를 통한 데이터베이스 접근

Teleport은 Teleport Database Service를 통해 Amazon ElastiCache 또는 MemoryDB for Redis에 대한 안전한 액세스를 제공할 수 있습니다. 이를 통해 Teleport의 RBAC를 통한 세부적인 액세스 제어가 가능합니다.

이 가이드에서는 다음을 수행합니다:

Amazon ElastiCache 또는 MemoryDB for Redis 데이터베이스 IAM 인증 사용를 구성합니다.
데이터베이스를 Teleport 클러스터에 추가합니다.
Teleport를 통해 데이터베이스에 연결합니다.

작동 원리

Teleport 데이터베이스 서비스는 사용자로부터 Amazon ElastiCache 또는 MemoryDB for Redis로 트래픽을 프록시합니다. 데이터베이스 서비스와 AWS 호스팅 Redis 데이터베이스 간의 인증은 두 가지 형태 중 하나를 취할 수 있습니다:

IAM 인증 (권장): Teleport 데이터베이스 서비스는 짧은 수명의 AWS IAM 인증 토큰을 사용하여 데이터베이스에 연결합니다. AWS IAM 인증은 Redis 7.0 이상 버전의 ElastiCache 및 MemoryDB에서 사용 가능합니다.
사용자 관리: Teleport 데이터베이스 서비스는 Redis 접근 제어 목록에서 사용자를 관리하고, 15분마다 비밀번호를 회전시키며, 이 비밀번호를 AWS Secrets Manager에 저장합니다. 데이터베이스 서비스는 Redis 서버에 클라이언트를 연결할 때 저장된 비밀번호로 AUTH 명령을 자동으로 전송합니다.

이 가이드는 Teleport 클러스터에 단일 Amazon Elasticache 또는 MemoryDB 클러스터 을 등록하는 방법을 보여줍니다. 더 확장 가능한 방법을 원하신다면, 인프라의 모든 AWS 데이터베이스를 자동으로 등록하는 데이터베이스 자동 검색 설정 방법을 학습하십시오.

전제 조건

실행 중인 Teleport 클러스터 버전 17.0.0-dev 이상. Teleport를 시작하려면 가입하여 무료 평가판을 이용하거나 데모 환경 설정 방법을 확인하십시오.
tctl 관리자 도구와 tsh 클라이언트 도구.

tctl 및 tsh 다운로드 방법에 대한 지침은 설치를 방문하십시오.

최소 하나의 ElastiCache 또는 MemoryDB for Redis 클러스터가 있는 AWS 계정. 전송 중 암호화(TLS)가 활성화되어 있어야 합니다.
IAM 정책을 생성하고 첨부할 수 있는 권한.
redis-cli 버전 6.2 이상이 설치되어 시스템의 PATH 환경 변수에 추가되어 있어야 합니다.
Teleport 데이터베이스 서비스를 실행할 EC2 인스턴스 등 호스트.
ElastiCache 또는 MemoryDB for Redis 클러스터에서 Redis ACL이 활성화되어야 합니다.
Teleport Discovery Service가 실행 중이어야 합니다. 데이터베이스 자동 검색 을 사용하려는 경우입니다.
연결이 가능한지 확인하기 위해 tsh login 으로 로그인한 다음, 현재 자격 증명을 사용하여 tctl 명령어를 실행할 수 있는지 확인하십시오. 예를 들어:
```
tsh login --proxy=teleport.example.com --user=email@example.com
tctl status
클러스터  teleport.example.com
버전  17.0.0-dev
CA 핀   sha256:abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678
```
클러스터에 연결할 수 있고 tctl status 명령어를 실행할 수 있다면, 현재 자격 증명을 사용하여 워크스테이션에서 후속 tctl 명령어를 실행할 수 있습니다.
자신의 Teleport 클러스터를 호스팅하는 경우, Teleport Auth Service를 호스팅하는 컴퓨터에서 전체 권한으로 tctl 명령어를 실행할 수도 있습니다.

1/6단계. Teleport 사용자 만들기

Tip

기존 사용자를 수정하여 데이터베이스 서비스에 대한 액세스를 제공하려면 데이터베이스 액세스 제어를 참조하십시오.

내장된 access 역할을 가진 로컬 Teleport 사용자 생성:

tctl users add \  --roles=access \  --db-users="*" \  --db-names="*" \  alice

내장된 access 및 requester 역할을 가진 로컬 Teleport 사용자 생성:

tctl users add \  --roles=access,requester \  --db-users="*" \  --db-names="*" \  alice

Flag	Description
`--roles`	사용자에게 할당할 역할 목록. 내장된 `access` 역할은 사용자가 Teleport에 등록된 모든 데이터베이스 서버에 연결할 수 있도록 합니다.
`--db-users`	사용자가 데이터베이스에 연결할 때 사용할 수 있는 데이터베이스 사용자 이름 목록. 와일드카드는 모든 사용자를 허용합니다.
`--db-names`	사용자가 데이터베이스 서버 내에서 연결할 수 있는 논리 데이터베이스(즉, 스키마) 목록. 와일드카드는 모든 데이터베이스를 허용합니다.

Warning

데이터베이스 이름은 PostgreSQL, MongoDB 및 Cloud Spanner 데이터베이스에 대해서만 적용됩니다.

데이터베이스 액세스 제어 및 액세스를 제한하는 방법에 대한 자세한 정보는 RBAC 문서를 참조하십시오.

2/6단계. 데이터베이스 서비스 구성 만들기

Database 서비스는 Teleport 클러스터에 조인하기 위해 유효한 조인 토큰이 필요합니다.
다음 tctl 명령어를 실행하고 Database 서비스가 실행될 서버에 /tmp/token 안에 토큰 출력을 저장하세요:

tctl tokens add --type=db --format=text
abcd123-insecure-do-not-use-this

AWS에 많은 인프라를 가진 사용자나 많은 인스턴스를 생성하거나 재생성할 가능성이 있는 사용자에게는 Teleport를 실행하는 새로운 EC2 인스턴스에 조인하기 위한 대체 방법을 고려하십시오:

Linux 서버에 Teleport 설치하기:

Teleport 에디션에 따라 edition를 다음 중 하나로 할당합니다:

에디션 값
Teleport Enterprise Cloud cloud
Teleport Enterprise (자가 호스팅) enterprise
Teleport Community Edition oss
설치할 Teleport 버전을 가져옵니다. 클러스터에서 자동 에이전트 업데이트가 활성화된 경우, 최신 Teleport 버전을 쿼리하여 업데이트된 내용과의 호환성을 확인합니다:
```
TELEPORT_DOMAIN=example.teleport.com
TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"
```
그렇지 않으면, Teleport 클러스터의 버전을 가져옵니다:
```
TELEPORT_DOMAIN=example.teleport.com
TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/ping | jq -r '.server_version')"
```
Linux 서버에 Teleport를 설치합니다:
```
curl https://cdn.teleport.dev/install-v15.4.11.sh | bash -s ${TELEPORT_VERSION} edition
```
설치 스크립트는 Linux 서버에서 패키지 관리자를 감지하고 이를 사용하여 Teleport 바이너리를 설치합니다. 설치를 사용자 정의하려면 설치 가이드에서 Teleport 패키지 리포지토리에 대해 알아보세요.

에디션	값
Teleport Enterprise Cloud	`cloud`
Teleport Enterprise (자가 호스팅)	`enterprise`
Teleport Community Edition	`oss`

데이터베이스 서비스 구성을 만듭니다:

example.teleport.sh:443 을 Teleport Proxy 서비스의 호스트와 포트로 변경합니다. ELASTICACHE_URI 를 ElastiCache 데이터베이스의 도메인 이름과 포트로 설정합니다:

ELASTICACHE_URI=""
sudo teleport db configure create \   -o file \   --name="elasticache" \   --proxy=example.teleport.sh:443 \   --protocol="redis" \   --uri=${ELASTICACHE_URI?} \   --token=/tmp/token

example.teleport.sh:443 을 Teleport Proxy 서비스의 호스트와 포트로 변경합니다. MEMORYDB_URI 를 ElastiCache 데이터베이스의 도메인 이름과 포트로 설정합니다:

MEMORYDB_URI=""
sudo teleport db configure create \   -o file \   --name="memorydb" \   --proxy=example.teleport.sh:443 \   --protocol="redis" \ \   --uri=${MEMORYDB_URI} \   --token=/tmp/token

이 명령은 데이터베이스 서비스 구성을 생성하고 이를 /etc/teleport.yaml 위치에 배치합니다.

3/6단계. Teleport용 IAM 역할 만들기

Teleport 데이터베이스 서비스는 ElastiCache 또는 MemoryDB 데이터베이스 에 대한 액세스를 제공하기 위해 AWS IAM 권한이 필요합니다.

Teleport용 IAM 역할 생성

데이터베이스 서비스 가 AWS에 인증하는 데 사용할 수 있는 자격 증명에 대한 액세스를 부여하십시오.

데이터베이스 서비스 를 EC2 인스턴스에서 실행 중인 경우, EC2 인스턴스 메타데이터 서비스 방법을 사용할 수 있습니다.
데이터베이스 서비스 를 Kubernetes에서 실행 중인 경우, IAM Roles for Service Accounts (IRSA)를 사용할 수 있습니다.
그렇지 않은 경우, 환경 변수를 사용해야 합니다.

Teleport는 EC2 인스턴스에서 실행 중일 때 이를 감지하고 인스턴스 메타데이터 서비스를 사용하여 자격 증명을 가져옵니다.

EC2 인스턴스는 EC2 인스턴스 프로필을 사용하도록 구성되어야 합니다. 자세한 내용은 인스턴스 프로필 사용을 참조하십시오.

AWS의 IAM Roles for Service Accounts (IRSA)를 참조하여 AWS에서 OIDC 공급자를 설정하고 포드의 서비스 계정이 해당 역할을 맡을 수 있도록 하는 AWS IAM 역할을 구성하십시오.

Teleport의 내장 AWS 클라이언트는 다음 환경 변수에서 자격 증명을 읽습니다:

AWS_ACCESS_KEY_ID
AWS_SECRET_ACCESS_KEY
AWS_DEFAULT_REGION

데이터베이스 서비스 를 시작할 때, 서비스는 /etc/default/teleport 경로에 있는 파일에서 환경 변수를 읽습니다. 이러한 자격 증명을 귀하의 조직에서 확보하십시오. /etc/default/teleport 에는 다음 내용을 포함해야 하며, 각 변수의 값을 교체하십시오:

AWS_ACCESS_KEY_ID=00000000000000000000
AWS_SECRET_ACCESS_KEY=0000000000000000000000000000000000000000
AWS_DEFAULT_REGION=<YOUR_REGION>

Teleport의 AWS 클라이언트는 다음 순서로 다양한 소스에서 자격 증명을 로드합니다:

환경 변수
공유된 자격 증명 파일
공유된 구성 파일 (Teleport는 항상 공유 구성을 활성화함)
EC2 인스턴스 메타데이터 (자격 증명만 해당)

공유 자격 증명 파일 또는 공유 구성 파일을 통해 AWS 자격 증명을 제공할 수 있지만, 데이터베이스 서비스 를 선택한 프로필 이름에 할당된 AWS_PROFILE 환경 변수를 사용하여 실행해야 합니다.

위 지침에 설명되지 않은 특정 사용 사례가 있는 경우, AWS SDK for Go의 문서를 참조하여 자격 증명 로드 동작에 대한 자세한 설명을 확인하십시오.

권한 부여

다음 AWS IAM 권한을 데이터베이스 서비스 IAM 역할에 연결합니다:

{/* this comment is here to make the include below it render */}

(!docs/pages/includes/database-access/reference/aws-iam/redis/access-policy.mdx dbType="ElastiCache" permissionType="elasticache"!)

다음 링크를 참조하십시오.  
[ElastiCache에 대한 IAM 인증](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/auth-iam.html)  
자세한 내용은 여기를 클릭하십시오.

MemoryDB는 Redis 엔진 버전 7.0 이상에서 IAM 인증을 지원합니다. 이는 MemoryDB에 대한 Teleport 액세스를 구성하는 권장 방법입니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "MemoryDBDescribeUsers",
            "Effect": "Allow",
            "Action": "memorydb:DescribeUsers",
            "Resource": "*"
        },
        {
            "Sid": "MemoryDBConnect",
            "Effect": "Allow",
            "Action": "memorydb:Connect",
            "Resource": [
                "arn:aws:memorydb:us-east-2:aws-account-id:replicationgroup:replication-group",
                "arn:aws:memorydb:us-east-2:aws-account-id:user:*"
            ]
        }
    ]
}

Statement	Purpose
`MemoryDBDescribeUsers`	사용자가 IAM 인증과 호환되는지 확인합니다.
`MemoryDBConnect`	IAM 인증을 사용하여 연결합니다.

자세한 내용은
MemoryDB에 대한 IAM 인증 를 참조하십시오.

4/6단계. 데이터베이스 서비스 시작하기

호스트가 부팅될 때 데이터베이스 서비스가 자동으로 시작되도록 systemd 서비스를 생성하여 구성합니다. 지침은 데이터베이스 서비스를 설치한 방법에 따라 다릅니다.

데이터베이스 서비스를 실행할 호스트에서 Teleport를 활성화하고 시작합니다:

sudo systemctl enable teleport
sudo systemctl start teleport

데이터베이스 서비스를 실행할 호스트에서 Teleport의 systemd 서비스 구성을 만들고, Teleport 서비스를 활성화한 후 Teleport를 시작합니다:

sudo teleport install systemd -o /etc/systemd/system/teleport.service
sudo systemctl enable teleport
sudo systemctl start teleport

systemctl status teleport 로 데이터베이스 서비스의 상태를 확인하고, journalctl -fu teleport 로 로그를 볼 수 있습니다.

5/6단계. ElastiCache 또는 MemoryDB 사용자에 대한 인증 구성

AWS에서 호스팅되는 Redis 데이터베이스에 대한 인증을 구성합니다. 따라야 할 단계는 Teleport 데이터베이스 서비스가 ElastiCache와 IAM 인증을 사용하도록 설정할지, MemoryDB와 IAM 인증을 사용할지 또는 AWS Secrets Manager를 통해 비밀번호를 관리하는 기반으로 인증할지에 따라 다릅니다:

Redis ACL을 활성화하려면 ElastiCache에 대한 역할 기반 액세스 제어로 사용자 인증하기를 참조하십시오.

IAM 인증을 사용할 때 몇 가지 추가 제한이 적용됩니다. 자세한 내용은: ElastiCache Auth IAM 한계를 참조하십시오.

ElastiCache IAM 사용자를 구성하기 위한 몇 가지 요구 사항이 있습니다:

사용자는 동일한 사용자 이름과 사용자 ID 속성을 가져야 합니다.
사용자는 인증 모드가 "IAM"으로 설정되어야 합니다.
사용자는 ElastiCache 사용자 그룹에 첨부되어야 합니다.

ElastiCache IAM 사용자를 생성합니다. 다음 예는 모든 사용 가능한 키와 명령에 대한 액세스를 나타내는 액세스 문자열 on ~* +@all 을 가진 ElastiCache 사용자를 생성합니다:

aws elasticache create-user \  --user-name iam-user-01 \  --user-id iam-user-01 \  --authentication-mode Type=iam \  --engine redis \  --access-string "on ~* +@all"

액세스 문자열

ElastiCache 사용자에 대한 덜 허용적인 액세스 문자열을 선호할 수 있습니다. ElastiCache 액세스 문자열에 대한 자세한 내용은: ElastiCache 클러스터 RBAC 액세스 문자열을 참조하십시오.

ElastiCache 사용자 그룹을 생성하고 ElastiCache 복제 그룹에 첨부합니다:

aws elasticache create-user-group \  --user-group-id iam-user-group-01 \  --engine redis \  --user-ids default iam-user-01
aws elasticache modify-replication-group \  --replication-group-id replication-group-01 \  --user-group-ids-to-add iam-user-group-01

ElastiCache 사용자가 생성된 후, 사용자가 IAM 인증 요구 사항을 충족하도록 구성되었는지 확인합니다:

미리 설정된 open-access ACL을 사용하는 대신 다른 ACL을 사용하는 것이 강력히 권장됩니다. 이 ACL은 default 사용자로 모든 액세스를 허용합니다.

또한 MemoryDB ACL이 없으면 생성하십시오:

aws memorydb create-acl --acl-name my-acl

ACL이 MemoryDB 클러스터에 연결되어 있는지 확인하십시오:

aws memorydb update-cluster --cluster-name my-memorydb --acl-name my-acl

MemoryDB IAM 사용자를 생성합니다:

aws memorydb create-user \  --user-name iam-user-01 \  --authentication-mode Type=iam \  --access-string "on ~* +@all"

액세스 문자열

위의 예는 모든 사용 가능한 키와 명령에 대한 액세스를 가진 활성 사용자와 함께 on ~* +@all 액세스 문자열을 가진 MemoryDB 사용자를 생성합니다.

MemoryDB 사용자에 대한 덜 허용적인 액세스 문자열을 선호할 수 있습니다. 액세스 문자열에 대한 자세한 내용은: 액세스 문자열을 사용한 권한 지정을 참조하십시오.

그런 다음 이 사용자를 MemoryDB 클러스터에 연결된 ACL에 추가합니다:

aws memorydb update-acl --user-names-to-add iam-user-01 --acl-name my-acl

Redis ACL을 활성화하려면 ElastiCache에 대한 역할 기반 액세스 제어로 사용자 인증하기 및 MemoryDB에 대한 액세스 제어 목록으로 사용자 인증하기를 참조하십시오.

원하는 액세스 권한으로 ElastiCache 또는 MemoryDB 사용자가 생성되면, 이 사용자에게 값이 true 인 AWS 리소스 태그 teleport.dev/managed 를 추가하십시오:

데이터베이스 서비스는 등록된 데이터베이스와 연결된 경우 이 사용자를 자동으로 발견합니다. 태그가 추가된 후, 데이터베이스 서비스가 이 사용자를 발견하는 데 시간이 걸릴 수 있습니다(최대 20분).

위의 옵션을 사용하지 않는 경우, Teleport는 Redis 서버에 자동으로 인증되지 않습니다.

ElastiCache 또는 MemoryDB 사용자에 대해 "비밀번호 없음" 구성을 설정하거나, 성공적인 클라이언트 연결 후 구성한 비밀번호로 AUTH 명령을 수동으로 입력할 수 있습니다. 그러나 보안을 위해 처음 두 옵션 중 하나 또는 강력한 비밀번호를 사용하는 것이 강력히 권장됩니다.

6/6단계. 연결

데이터베이스 서비스가 시작되고 클러스터에 가입하면, 등록된 데이터베이스를 보기 위해 로그인합니다:

tsh login --proxy=teleport.example.com --user=alice
tsh db ls
이름                          설명                                                   라벨
--------------------------- --------------------------------------------------------- --------
my-cluster-mode-elasticache                                                           ...
my-elasticache                                                                        ...
my-elasticache-reader                                                                 ...
my-memorydb                                                                           ...

tsh login --proxy=mytenant.teleport.sh --user=alice
tsh db ls
이름                          설명                                                   라벨
--------------------------- --------------------------------------------------------- --------
my-cluster-mode-elasticache                                                           ...
my-elasticache                                                                        ...
my-elasticache-reader                                                                 ...
my-memorydb                                                                           ...

데이터베이스의 자격 증명을 검색하고 연결하려면:

tsh db connect --db-user=my-database-user my-elasticache

--db-user 플래그가 제공되지 않으면, Teleport는 default 사용자로 로그인합니다.

이제 인증 구성에 따라 Redis 서버와 인증하기 위해 AUTH 명령을 전송해야 할 수 있습니다:

데이터베이스 서비스는 Teleport에서 관리되는 사용자와 IAM 사용자가 Redis 서버와 자동으로 인증됩니다. 성공적인 연결 후 AUTH 명령은 필요하지 않습니다.

Teleport에서 관리되지 않고 IAM 기능이 없는 사용자로 연결하는 경우, 연결은 일반적으로 default 사용자로 시작됩니다. 이제 데이터베이스 사용자를 비밀번호로 인증할 수 있습니다:

AUTH my-database-user <USER_PASSWORD>

이제 공유 AUTH 토큰으로 인증할 수 있습니다:

AUTH <SHARED_AUTH_TOKEN>

데이터베이스에서 로그아웃하고 자격 증명을 제거하려면:

특정 데이터베이스 인스턴스의 자격 증명 제거.
tsh db logout my-elasticache
모든 데이터베이스 인스턴스의 자격 증명 제거.
tsh db logout

문제 해결

인증서 오류

tsh db connect 오류에 다음 텍스트가 포함되어 있다면, 2020년 7월 28일 이전에 생성된 RDS 또는 DocumentDB 데이터베이스가 있을 수 있으며, 이는 Teleport와 호환되지 않는 X.509 인증서를 제공합니다:

x509: certificate relies on legacy Common Name field, use SANs instead

AWS는 SSL/TLS 인증서 회전을 위한 지침을 제공합니다.

자격 증명 제공자 없음 오류

NoCredentialProviders: no valid providers in chain 오류가 Database 서비스 로그에 표시되면 Teleport는 AWS IAM 권한을 통해 연결하는 데 필요한 자격 증명을 감지하지 못하고 있습니다. Teleport Database 서비스가 실행되고 있는 머신에 자격 증명 또는 보안 역할이 적용되었는지 확인하십시오.

EKS에서 실행할 때, Teleport Database 서비스가 PUT 요청의 홉 수 제한이 1로 설정된 워커 노드 인스턴스에서 IMDSv2에 접근할 수 없는 경우 이 오류가 발생할 수 있습니다. 홉 수 제한을 확인하려면 다음 명령어를 사용할 수 있습니다:

aws ec2 describe-instances --instance-ids <node-instance-id> | grep HttpPutResponseHopLimit
                        "HttpPutResponseHopLimit": 1,

자세한 내용은 EKS에 대한 IMDSv2 지원 및 EKS 모범 사례를 참조하십시오.

타임아웃 오류

Teleport Database Service는 데이터베이스 엔드포인트와의 연결이 필요합니다. 이는 동일한 VPC 내에서 Database Service로부터 데이터베이스로의 수신 트래픽을 활성화하거나 다른 VPC에서의 라우팅 규칙을 필요로 할 수 있습니다. nc 프로그램을 사용하여 데이터베이스에 대한 연결을 확인할 수 있습니다:

nc -zv postgres-instance-1.sadas.us-east-1.rds.amazonaws.com 5432
Connection to postgres-instance-1.sadas.us-east-1.rds.amazonaws.com (172.31.24.172) 5432 port [tcp/postgresql] succeeded!

`sts:AssumeRole` 실행 권한 없음

Database Service는 다음과 같은 상황에서 IAM 역할을 가정합니다:

Teleport 사용자가 AWS 서비스에 액세스할 때 사용할 데이터베이스 사용자로서 IAM 역할을 지정하는 경우, IAM 역할을 데이터베이스 사용자로 사용하는 것을 지원하는 데이터베이스에는 DynamoDB, Keyspaces, Opensearch, Redshift 및 Redshift Serverless가 포함됩니다.
데이터베이스 리소스 또는 동적 리소스 일치자에 대해 assume_role_arn 필드가 지정된 경우.

위 두 조건이 모두 데이터베이스 연결에 해당하는 경우, Database Service는 먼저 assume_role_arn 에 지정된 IAM 역할을 가정한 후, 해당 IAM 역할을 사용하여 데이터베이스 사용자에 대한 IAM 역할을 가정합니다.

IAM 역할 간의 신뢰 관계가 올바르게 구성되지 않으면 다음 오류가 발생할 수 있습니다:

AccessDenied: User: arn:aws:sts::111111111111:assumed-role/teleport-db-service-role/i-* is not authorized to perform: sts:AssumeRole on resource: arn:aws:iam::111111111111:role/db-user-role

IAM 역할 teleport-db-service-role 이 IAM 역할 db-user-role 를 가정할 수 있도록 허용하려면, 일반적으로 다음이 필요합니다:

1. db-user-role의 신뢰 관계 구성

teleport-db-service-role 또는 해당 AWS 계정은 db-user-role의 신뢰 정책에서 Principal 로 설정되어야 합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::aws-account-id:role/teleport-db-service-role"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::aws-account-id:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::external-aws-account-id:role/teleport-db-service-role"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "sts:ExternalId": "example-external-id"
        }
      }
    }
  ]
}

2. teleport-db-service-role의 권한 정책 구성

teleport-db-service-role 에는 sts:AssumeRole 권한이 필요합니다. 예를 들면:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Resource": "arn:aws:iam::aws-account-id:role/db-user-role"
        }
    ]
}

이 정책은 teleport-db-service-role과 db-user-role가 같은 AWS 계정에 있고 teleport-db-service-role의 전체 ARN이 db-user-role의 신뢰 정책에 Principal로 구성되어 있을 때 생략할 수 있습니다.

3. teleport-db-service-role의 권한 경계 구성

teleport-db-service-role에 부착된 권한 경계 가 없는 경우 이 단계를 건너뛸 수 있습니다. 그렇지 않으면 teleport-db-service-role에 부착된 경계 정책은 sts:AssumeRole 권한을 포함해야 합니다. 예를 들면:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

다음 AWS CLI 명령을 teleport-db-service-role 로 실행하여 신뢰 관계를 테스트할 수 있습니다:

aws sts assume-role --role-arn arn:aws:iam::111111111111:role/db-user-role --role-session-name test-trust-relationship

신뢰 정책을 IAM 역할과 함께 사용하는 방법에 대해 자세히 알아보세요.

다음 단계

특정 사용자와 데이터베이스에 대한 액세스 제한하기 방법을 배우십시오.

고가용성(HA) 가이드를 확인하십시오.

YAML 구성 참조를 살펴보십시오.

전체 CLI 참조를 확인하십시오.

Teleport 원문 보기