AWS의 Redshift Serverless로 데이터베이스 액세스

Teleport는 Teleport Database Service를 통해 Amazon Redshift Serverless에 대한 안전한 접근을 제공할 수 있습니다. 이는 Teleport의 RBAC를 통해 세부적인 접근 제어를 가능하게 합니다.

이 가이드에서는 다음을 수행합니다:

Amazon Redshift Serverless 데이터베이스 with IAM authentication를 구성합니다.
데이터베이스를 Teleport 클러스터에 추가합니다.
Teleport를 통해 데이터베이스에 연결합니다.

이 가이드에서는 다음을 수행하는 데 도움을 드립니다:

Teleport를 설정하여 Amazon Redshift Serverless 워크그룹에 액세스합니다.
Teleport를 통해 데이터베이스에 연결합니다.

작동 방식

Teleport 데이터베이스 서비스는 IAM 인증을 사용하여 Redshift Serverless와 통신합니다. 사용자가 Teleport를 통해 데이터베이스에 연결하면, Teleport 데이터베이스 서비스는 AWS 자격 증명을 얻고 데이터베이스에 접근할 수 있는 권한을 가진 IAM 주체로 AWS에 인증합니다.

이 가이드는 Teleport 클러스터에 단일 Amazon Redshift Serverless database을 등록하는 방법을 보여줍니다. 더 확장 가능한 접근 방식을 원하신다면, 데이터베이스 자동 발견을 설정하여 인프라에서 모든 데이터베이스를 자동으로 등록하는 방법을 알아보세요.

전제 조건

실행 중인 Teleport 클러스터 버전 이상. Teleport를 시작하려면, 가입하기 위해 무료 평가판에 등록하거나 데모 환경 설정하기를 참조하세요.
tctl 관리 도구와 tsh 클라이언트 도구.

tctl과 tsh 다운로드에 대한 지침은 설치를 방문하세요.

Redshift Serverless 구성 및 IAM 정책을 생성하고 연결할 수 있는 권한이 있는 AWS 계정.
명령줄 클라이언트 psql이 설치되어 시스템의 PATH 환경 변수에 추가되어 있어야 합니다.
Teleport 데이터베이스 서비스를 실행할 호스트. 이 가이드는 EC2 인스턴스를 가정하고, 해당 액세스 제어의 예제를 제공합니다.
당신의 Teleport 클러스터에 연결할 수 있는지 확인하려면, tsh login으로 로그인한 다음 현재 자격 증명을 사용하여 tctl 명령어를 실행할 수 있는지 확인하십시오. 예를 들어:
```
tsh login --proxy=teleport.example.com --user=email@example.com
tctl status
클러스터  teleport.example.com
버전  16.2.0
CA 핀   sha256:abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678
```
클러스터에 연결하고 tctl status 명령어를 실행할 수 있다면, 현재 자격 증명을 사용하여 작업대에서 후속 tctl 명령어를 실행할 수 있습니다. 자신의 Teleport 클러스터를 호스팅하는 경우, Teleport 인증 서비스를 호스팅하는 컴퓨터에서 전체 권한으로 tctl 명령어를 실행할 수도 있습니다.

1단계/4. 사용자 액세스를 위한 IAM 역할 생성

Redshift Serverless에 대한 사용자 액세스를 제공하기 위해 AWS IAM 역할을 생성합니다. 이 역할은 해당 Teleport 역할을 통해 Teleport 사용자에게 부여됩니다. 이 가이드에서는 예제 이름 teleport-redshift-serverless-access를 사용합니다.

신뢰할 수 있는 엔터티 유형에서 "커스텀 신뢰 정책"을 선택합니다. 신뢰 정책을 편집하여 이전 단계에서 생성된 IAM 역할이 이 역할을 가정할 수 있도록 합니다. 즉, Teleport 노드가 이 역할에 의해 부여된 권한을 사용하여 데이터베이스에 접근할 수 있습니다:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::abcd1234-this-is-an-example:role/teleport-redshift-serverless-node",
                "Service": "ec2.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

예제 AWS 계정 ID를 교체하는 것을 잊지 마세요.

Redshift Serverless에 대한 액세스를 허용하는 권한 정책을 생성하고 적용합니다. 이 정책은 모든 인스턴스에 대한 액세스를 허용할 수 있습니다:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "redshift-serverless:GetCredentials",
            "Resource": "*"
        }
    ]
}

또는 Resource 줄을 특정 Redshift Serverless 워크그룹으로 제한할 수 있습니다:

{
...
      "Resource": "arn:aws:redshift-serverless:us-west-2:1234567890:workgroup/some-workgroup-id"
...
}

2단계/4. Redshift Serverless 액세스를 위한 Teleport 역할 생성

작업 중인 워크스테이션에서 tsh로 Teleport 클러스터에 로그인하고, Redshift Serverless에 대한 액세스를 제공하기 위해 새로운 역할을 정의합니다. 우리의 예제 파일은 redshift-role.yaml입니다:

version: v5
kind: role
metadata:
  name: redshift-serverless-access
spec:
  allow:
    db_labels:
      '*': '*'
    db_names:
    - dev
    db_users:
    - 'teleport-redshift-serverless-access'

db_users의 값은 이전 단계에서 생성된 IAM 역할에 해당합니다. 역할 이름 또는 IAM 역할의 전체 AWS ARN을 제공할 수 있습니다.
db_names의 값은 Redshift Serverless 구성에 따라 다르지만, dev는 AWS에서 적용한 기본 이름입니다. 모든 인스턴스에 대한 액세스를 부여하려면 *를 제공할 수도 있습니다.

이 파일을 저장하고 Teleport 클러스터에 적용합니다:

tctl create -f redshift-role.yaml
role 'redshift-serverless-access'가 생성되었습니다

redshift-serverless-access 역할을 Teleport 사용자에게 할당하려면 인증 제공자에 맞는 적절한 명령어를 실행하세요:

로컬 사용자의 역할을 콤마로 구분된 목록으로 가져옵니다:
```
ROLES=$(tsh status -f json | jq -r '.active.roles | join(",")')
```

로컬 사용자를 편집하여 새로운 역할을 추가합니다:

tctl users update $(tsh status -f json | jq -r '.active.username') \  --set-roles "${ROLES?},redshift-serverless-access"

Teleport 클러스터에서 로그아웃한 후 새로운 역할을 asum 하기 위해 다시 로그인합니다.

github 인증 커넥터를 가져옵니다:
```
tctl get github/github --with-secrets > github.yaml
```
--with-secrets 플래그는 spec.signing_key_pair.private_key의 값을 github.yaml 파일에 추가합니다. 이 키는 민감한 값을 포함하고 있기 때문에, 리소스를 업데이트한 후 즉시 github.yaml 파일을 제거해야 합니다.
github.yaml을 편집하고 teams_to_roles 섹션에 redshift-serverless-access을 추가합니다.

이 역할에 매핑할 팀은 귀하의 조직에서 어떻게 역할 기반 접근 제어(RBAC)를 설계했느냐에 따라 달라집니다. 하지만 팀에는 귀하의 사용자 계정이 포함되어야 하며, 조직 내에서 가능한 한 작은 팀이어야 합니다.

여기에 예시가 있습니다:
```
  teams_to_roles:
    - organization: octocats
      team: admins
      roles:
        - access
+       - redshift-serverless-access
```
변경 사항을 적용합니다:
```
tctl create -f github.yaml
```
Teleport 클러스터에서 로그아웃한 후 새로운 역할을 assum 하기 위해 다시 로그인합니다.

saml 구성 리소스를 가져옵니다:
```
tctl get --with-secrets saml/mysaml > saml.yaml
```
--with-secrets 플래그는 spec.signing_key_pair.private_key의 값을 saml.yaml 파일에 추가합니다. 이 키는 민감한 값을 포함하고 있기 때문에, 리소스를 업데이트한 후 즉시 saml.yaml 파일을 제거해야 합니다.
saml.yaml을 편집하고 attributes_to_roles 섹션에 redshift-serverless-access을 추가합니다.

이 역할에 매핑할 속성은 귀하의 조직에서 어떻게 역할 기반 접근 제어(RBAC)를 설계했느냐에 따라 달라집니다. 그러나 그룹에는 귀하의 사용자 계정이 포함되어야 하며, 조직 내에서 가능한 한 작은 그룹이어야 합니다.

여기에 예시가 있습니다:
```
  attributes_to_roles:
    - name: "groups"
      value: "my-group"
      roles:
        - access
+       - redshift-serverless-access
```
변경 사항을 적용합니다:
```
tctl create -f saml.yaml
```
Teleport 클러스터에서 로그아웃한 후 새로운 역할을 asum 하기 위해 다시 로그인합니다.

oidc 구성 리소스를 가져옵니다:
```
tctl get oidc/myoidc --with-secrets > oidc.yaml
```
--with-secrets 플래그는 spec.signing_key_pair.private_key의 값을 oidc.yaml 파일에 추가합니다. 이 키는 민감한 값을 포함하고 있기 때문에, 리소스를 업데이트한 후 즉시 oidc.yaml 파일을 제거해야 합니다.
oidc.yaml을 편집하고 claims_to_roles 섹션에 redshift-serverless-access을 추가합니다.

이 역할에 매핑할 클레임은 귀하의 조직에서 어떻게 역할 기반 접근 제어(RBAC)를 설계했느냐에 따라 달라집니다. 그러나 그룹에는 귀하의 사용자 계정이 포함되어야 하며, 조직 내에서 가능한 한 작은 그룹이어야 합니다.

여기에 예시가 있습니다:
```
  claims_to_roles:
    - name: "groups"
      value: "my-group"
      roles:
        - access
+       - redshift-serverless-access
```
변경 사항을 적용합니다:
```
tctl create -f oidc.yaml
```
Teleport 클러스터에서 로그아웃한 후 새로운 역할을 asum 하기 위해 다시 로그인합니다.

3단계/4. Teleport 데이터베이스 서비스 설치 및 시작

Database 서비스는 Teleport 클러스터에 참여하려면 유효한 조인 토큰이 필요합니다.
다음 tctl 명령을 실행하고 토큰 출력을 /tmp/token에 저장하세요.
Database 서비스가 실행될 서버에서:

tctl tokens add --type=db --format=text
abcd123-insecure-do-not-use-this

AWS에 많은 인프라가 있는 사용자나 많은 인스턴스를 생성하거나 재생성할 수 있는 사용자에게는, 새로운 EC2 인스턴스를 Teleport에 연결하기 위한 대체 방법을 고려하세요:

Linux 서버에 Teleport 설치하기:

Teleport 에디션에 따라 edition을(를) 다음 중 하나로 지정합니다:

에디션 값
Teleport Enterprise Cloud cloud
Teleport Enterprise (자체 호스팅) enterprise
Teleport Community Edition oss

에디션	값
Teleport Enterprise Cloud	`cloud`
Teleport Enterprise (자체 호스팅)	`enterprise`
Teleport Community Edition	`oss`

설치할 Teleport의 버전을 확인합니다. 클러스터에서 자동 에이전트 업데이트가 활성화되어 있는 경우, 업데이터와 호환되는 최신 Teleport 버전을 쿼리합니다:

TELEPORT_DOMAIN=example.teleport.com
TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"

그렇지 않으면, Teleport 클러스터의 버전을 확인합니다:

TELEPORT_DOMAIN=example.teleport.com
TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/ping | jq -r '.server_version')"

Linux 서버에 Teleport를 설치합니다:
```
curl https://cdn.teleport.dev/install-v16.2.0.sh | bash -s ${TELEPORT_VERSION} edition
```
설치 스크립트는 Linux 서버에서 패키지 관리자를 감지하고 이를 사용하여 Teleport 바이너리를 설치합니다. 설치를 사용자 지정하려면 설치 가이드에서 Teleport 패키지 리포지토리에 대해 알아보세요.

같은 호스트에서 다음 명령을 실행합니다:

sudo teleport db configure create \   -o file \   --name="redshift-serverless" \   --proxy=example.teleport.sh:443  \   --protocol=postgres \   --uri=REDSHIFT_SERVERLESS_URI \   --token=/tmp/token

example.teleport.sh:443를 Teleport 프록시 서비스의 호스트 및 포트로 교체합니다. REDSHIFT_SERVERLESS_URI를 Redshift Serverless 데이터베이스의 도메인 이름 및 포트로 교체합니다.

Redshift Serverless에 대한 부트스트랩 액세스

the Database Service에 AWS에 인증하는 데 사용할 수 있는 자격 증명에 대한 액세스를 부여합니다.

the Database Service를 EC2 인스턴스에서 실행하는 경우 EC2 인스턴스 메타데이터 서비스 방법을 사용할 수 있습니다. 그렇지 않은 경우 환경 변수를 사용해야 합니다:

Teleport는 EC2 인스턴스에서 실행될 때 이를 감지하고 인스턴스 메타데이터 서비스를 사용하여 자격 증명을 가져옵니다.

EC2 인스턴스는 EC2 인스턴스 프로파일을 사용하도록 구성되어 있어야 합니다. 자세한 내용은 인스턴스 프로파일 사용하기를 참조하세요.

Teleport의 내장 AWS 클라이언트는 다음 환경 변수에서 자격 증명을 읽습니다:

AWS_ACCESS_KEY_ID
AWS_SECRET_ACCESS_KEY
AWS_DEFAULT_REGION

the Database Service를 시작하면 서비스는 /etc/default/teleport 경로의 파일에서 환경 변수를 읽습니다. 이 자격 증명은 귀하의 조직에서 가져오십시오. /etc/default/teleport에 다음 내용을 포함하고 각 변수의 값을 대체해야 합니다:

AWS_ACCESS_KEY_ID=00000000000000000000
AWS_SECRET_ACCESS_KEY=0000000000000000000000000000000000000000
AWS_DEFAULT_REGION=<YOUR_REGION>

Teleport의 AWS 클라이언트는 자격 증명을 다음 순서로 다양한 출처에서 로드합니다:

환경 변수
공유 자격 증명 파일
공유 구성 파일 (Teleport는 항상 공유 구성을 활성화합니다)
EC2 인스턴스 메타데이터 (자격 증명 전용)

공유 자격 증명 파일 또는 공유 구성 파일을 통해 AWS 자격 증명을 제공할 수 있지만, the Database Service를 실행할 때 AWS_PROFILE 환경 변수를 선택한 프로파일의 이름으로 지정해야 합니다.

위의 지침이 고려하지 않은 특정 사용 사례가 있는 경우, 자격 증명 로딩 동작에 대한 자세한 설명을 보려면 AWS SDK for Go의 문서를 참조하십시오.

Teleport는 teleport db configure bootstrap 명령어를 사용하여 데이터베이스 서비스의 IAM 권한을 기반으로 설정을 부트스트랩할 수 있습니다. 자동 모드 또는 수동 모드에서 이 명령어를 사용할 수 있습니다:

자동 모드에서는 Teleport가 적절한 IAM 정책을 생성하고 지정된 IAM 정체성 역할에 연결하려고 시도합니다. 이는 IAM 정책을 생성하고 연결할 수 있는 IAM 권한이 필요합니다.
수동 모드에서는 Teleport가 필요한 IAM 정책을 출력합니다. 그런 다음 AWS 관리 콘솔을 사용하여 수동으로 생성하고 연결할 수 있습니다.

Teleport 데이터베이스 서비스가 IAM 역할로 실행될 때 권한을 자동으로 부트스트랩하기 위해 이 명령어를 사용하세요 (예: 연결된 IAM 역할이 있는 EC2 인스턴스에서).

teleport db configure bootstrap -c /etc/teleport.yaml --attach-to-role teleport-redshift-serverless-node

AWS 콘솔에서 생성할 수 있는 필요한 IAM 정책을 표시하기 위해 이 명령어를 사용하세요:

teleport db configure bootstrap -c /etc/teleport.yaml --manual --attach-to-role arn:aws:iam::123456789012:role/teleport-redshift-serverless-node

assume_role_arn이 데이터베이스 또는 AWS 매처에 대해 설정되어 있는 경우, teleport db configure bootstrap은 부트스트랩 대상 AWS IAM 정체성에 필요한 권한을 다음 로직을 사용하여 결정합니다:

대상이 구성 파일의 데이터베이스 리소스 또는 AWS 매처에서 assume_role_arn과 일치하지 않을 때, 대상은 Teleport 데이터베이스 서비스의 AWS IAM 정체성으로 간주되며 모든 구성된 정적 데이터베이스 및 AWS 매처에 대한 권한이 부트스트랩됩니다.
--attach-to-role 대상이 구성 파일의 정적 데이터베이스 또는 AWS 매처에 대한 assume_role_arn 설정과 일치할 때, 해당 정적 데이터베이스 또는 AWS 매처에 대해서만 권한이 부트스트랩됩니다.

Teleport 데이터베이스 서비스의 IAM 정체성을 정책 첨부 대상으로 하여 부트스트랩 명령어를 한 번 실행해야 하며, assume_role_arn에 사용되는 각 AWS IAM 역할에 대해 한 번씩 실행해야 합니다.

데이터베이스 서비스 시작

호스트가 부팅될 때 the Teleport Database Service가 자동으로 시작되도록 시스템 데몬 서비스를 생성하여 구성합니다. 지침은 the Teleport Database Service를 설치한 방법에 따라 다릅니다.

the Teleport Database Service를 실행할 호스트에서 Teleport를 활성화하고 시작하십시오:

sudo systemctl enable teleport
sudo systemctl start teleport

the Teleport Database Service를 실행할 호스트에서 Teleport에 대한 시스템 데몬 서비스 구성을 생성하고, Teleport 서비스를 활성화한 후 Teleport를 시작하십시오:

sudo teleport install systemd -o /etc/systemd/system/teleport.service
sudo systemctl enable teleport
sudo systemctl start teleport

the Teleport Database Service의 상태는 systemctl status teleport로 확인할 수 있으며, 로그는 journalctl -fu teleport로 볼 수 있습니다.

4단계/4. 연결하기

데이터베이스 서비스가 시작되고 클러스터에 가입한 후, 로그인을 하여 등록된 데이터베이스를 확인합니다. --proxy를 Teleport 프록시 서비스 또는 클라우드 테넌트의 주소로 교체합니다:

tsh login --proxy=mytenant.teleport.sh --user=alice
tsh db ls
이름        설명                      레이블----------- ------------------------------ --------my-redshift                                ...

Redshift Serverless 인스턴스에 연결하려면:

tsh db connect my-redshift --db-user=teleport-redshift-serverless-access --db-name=dev
psql (15.1, server 8.0.2)WARNING: psql 주요 버전 15, 서버 주요 버전 8.0.         일부 psql 기능이 작동하지 않을 수 있습니다.SSL 연결 (프로토콜: TLSv1.3, 암호: TLS_CHACHA20_POLY1305_SHA256, 압축: 해제됨)"help"를 입력하여 도움을 요청하세요.
dev=>

데이터베이스에서 로그아웃하고 자격 증명을 제거하려면:

tsh db logout my-redshift

문제 해결

사용자 권한 오류

IAM 역할 teleport-redshift-serverless-access는 Redshift Serverless 데이터베이스 내에서 자동으로 IAMR:teleport-redshift-serverless-access로 매핑됩니다.

사용자(데이터베이스 관리자)는 이 새로운 IAM 역할로 로그인하기 전에 이 데이터베이스 사용자 권한을 설정하여 사용자 권한 문제를 피하거나 해결할 수 있습니다:

관리 사용자로 Redshift Serverless 워크그룹에 연결하고 다음을 실행합니다:
```
CREATE USER "IAMR:teleport-redshift-serverless-access" WITH PASSWORD DISABLE;
```
이 사용자에게 적절한 데이터베이스 내 권한을 부여합니다. 예를 들어:
```
GRANT SELECT ON TABLE users  TO "IAMR:teleport-redshift-serverless-access";
```

인증서 오류

tsh db connect 오류에 다음 텍스트가 포함되어 있다면, 2020년 7월 28일 이전에 생성된 RDS 또는 DocumentDB 데이터베이스가 있어 Teleport와 호환되지 않는 X.509 인증서를 제공하고 있을 가능성이 있습니다:

x509: certificate relies on legacy Common Name field, use SANs instead

AWS는 SSL/TLS 인증서를 교체하는 방법을 제공합니다.

자격 증명 공급자 오류

로그에 NoCredentialProviders: no valid providers in chain 오류가 표시되면 Database 서비스 로그에서 Teleport가 AWS IAM 권한을 통해 연결하는 데 필요한 자격 증명을 감지하지 못하고 있다는 의미입니다. Teleport Database 서비스가 실행 중인 기계에 자격 증명 또는 보안 역할이 적용되었는지 확인하세요.

EKS에서 실행할 때, Teleport Database 서비스가 PUT 요청의 홉 제한이 1로 설정된 워커 노드 인스턴스에 IMDSv2에 접근할 수 없는 경우 이 오류가 발생할 수 있습니다. 다음 명령어를 사용하여 홉 제한을 확인할 수 있습니다:

aws ec2 describe-instances --instance-ids <node-instance-id> | grep HttpPutResponseHopLimit
                        "HttpPutResponseHopLimit": 1,

자세한 내용을 보려면 IMDSv2 지원 EKS 및 EKS 모범 사례를 참조하세요.

타임아웃 오류

텔레포트 데이터베이스 서비스는 데이터베이스 엔드포인트에 연결할 수 있어야 합니다. 이는 데이터베이스 서비스와 동일한 VPC에서 데이터베이스에 대한 인바운드 트래픽을 활성화하거나 다른 VPC의 라우팅 규칙을 필요로 할 수 있습니다. nc 프로그램을 사용하여 데이터베이스 연결을 확인할 수 있습니다:

nc -zv postgres-instance-1.sadas.us-east-1.rds.amazonaws.com 5432
postgres-instance-1.sadas.us-east-1.rds.amazonaws.com (172.31.24.172) 5432 포트 [tcp/postgresql]에 연결되었습니다!

`sts:AssumeRole` 수행 권한이 없습니다

데이터베이스 서비스는 다음 상황 중 하나에서 IAM 역할을 가정합니다:

텔레포트 사용자가 AWS 서비스에 접근할 때 사용할 데이터베이스 사용자로 IAM 역할을 지정합니다. IAM 역할을 데이터베이스 사용자로 사용할 수 있는 데이터베이스로는 DynamoDB, Keyspaces, Opensearch, Redshift 및 Redshift Serverless가 포함됩니다.
데이터베이스 리소스 또는 동적 리소스 매처에 대해 assume_role_arn 필드가 지정되었습니다.

위의 두 조건이 모두 데이터베이스 연결에 대해 참일 경우, 데이터베이스 서비스는 먼저 assume_role_arn에 지정된 IAM 역할을 가정하고, 그 다음 해당 IAM 역할을 사용하여 데이터베이스 사용자에 대한 IAM 역할을 가정합니다.

IAM 역할 간의 신뢰 관계가 올바르게 구성되지 않은 경우 다음 오류를 만날 수 있습니다:

AccessDenied: User: arn:aws:sts::111111111111:assumed-role/teleport-db-service-role/i-*는 리소스: arn:aws:iam::111111111111:role/db-user-role에 대해 sts:AssumeRole을 수행할 권한이 없습니다.

IAM 역할 teleport-db-service-role이 IAM 역할 db-user-role를 가정할 수 있도록 허용하려면 일반적으로 다음이 필요합니다:

1. db-user-role의 신뢰 관계 구성

teleport-db-service-role 또는 그 AWS 계정은 db-user-role의 신뢰 정책에서 Principal로 설정되어야 합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::aws-account-id:role/teleport-db-service-role"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::aws-account-id:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::external-aws-account-id:role/teleport-db-service-role"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "sts:ExternalId": "example-external-id"
        }
      }
    }
  ]
}

2. teleport-db-service-role의 권한 정책 구성

teleport-db-service-role은 sts:AssumeRole 권한이 필요합니다. 예:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Resource": "arn:aws:iam::aws-account-id:role/db-user-role"
        }
    ]
}

이 정책은 teleport-db-service-role과 db-user-role가 동일한 AWS 계정에 있고 teleport-db-service-role의 전체 ARN이 db-user-role의 신뢰 정책에 Principal로 설정되어 있으면 생략할 수 있습니다.

3. teleport-db-service-role의 권한 경계 구성

teleport-db-service-role에 연결된 권한 경계가 없는 경우 이 단계를 건너뛸 수 있습니다. 그렇지 않으면 teleport-db-service-role에 연결된 경계 정책에는 sts:AssumeRole 권한이 포함되어야 하며, 예시는 다음과 같습니다:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

신뢰 관계를 테스트하려면 teleport-db-service-role로 다음 AWS CLI 명령을 실행하십시오:

aws sts assume-role --role-arn arn:aws:iam::111111111111:role/db-user-role --role-session-name test-trust-relationship

IAM 역할과 함께 신뢰 정책을 사용하는 방법에 대해 더 알아보세요.

쿼리를 취소할 수 없습니다

psql과 같은 PostgreSQL CLI 클라이언트를 사용하고 ctrl+c로 쿼리를 취소하려고 시도했지만 쿼리가 취소되지 않는 경우, 대신 tsh 로컬 프록시를 사용하여 연결해야 합니다. psql이 쿼리를 취소할 때 TLS 인증서 없이 새 연결을 설정하지만, Teleport는 인증을 위해뿐만 아니라 데이터베이스 연결을 라우팅하기 위해서도 TLS 인증서를 필요로 합니다.

만약 당신이 Teleport에서 TLS 라우팅을 활성화하면 tsh db connect는 모든 연결에 대해 자동으로 로컬 프록시를 시작합니다. 대안으로, 로컬 프록시를 사용하는 Teleport Connect를 통해 연결할 수 있습니다. 그렇지 않으면 tsh proxy db를 사용하여 수동으로 tsh 로컬 프록시를 시작하고 로컬 프록시를 통해 연결해야 합니다.

psql 세션에서 ctrl+c로 취소할 수 없는 장기 실행 쿼리를 이미 시작한 경우, 해당 쿼리를 수동으로 취소하기 위해 새 클라이언트 세션을 시작할 수 있습니다:

먼저, 쿼리의 프로세스 식별자(PID)를 찾습니다:

SELECT session_id AS pid, database_name,start_time,trim(query_text) AS query FROM SYS_QUERY_HISTORY WHERE status = 'running';

다음으로, PID를 사용하여 쿼리를 정상적으로 취소합니다. 이것은 해당 쿼리에 대한 postgres 백엔드 프로세스에 SIGINT 신호를 보냅니다:

SELECT pg_cancel_backend(<PID>);

항상 먼저 쿼리를 정상 종료하려고 시도해야 하지만, 정상 취소가 너무 오래 걸리는 경우, 대신 쿼리를 강제로 종료할 수 있습니다. 이것은 해당 쿼리에 대한 postgres 백엔드 프로세스에 SIGTERM 신호를 보냅니다:

SELECT pg_terminate_backend(<PID>);

pg_cancel_backend 및 pg_terminate_backend 함수에 대한 더 많은 정보는 PostgreSQL 문서의 관리자 함수를 참조하십시오.

다음 단계

Amazon Redshift에 대한 데이터베이스 사용자 자격 증명을 생성하기 위해 IAM 인증을 사용하는 방법에 대해 더 알아보세요.
특정 사용자와 데이터베이스에 대한 액세스를 제한하는 방법을 알아보세요.
고가용성(HA) 가이드를 참조하세요.
YAML 구성 참조를 살펴보세요.

Teleport 원문 보기