Teleport은 Teleport Database Service를 통해 MongoDB Atlas에 대한 안전한 액세스를 제공할 수 있습니다. 이를 통해 Teleport의 RBAC를 통한 세부적인 액세스 제어가 가능합니다.

이 가이드에서는 다음을 수행합니다:

1. MongoDB Atlas 데이터베이스 상호 TLS 또는 AWS IAM 인증을 사용하여를 구성합니다.
2. 데이터베이스를 Teleport 클러스터에 추가합니다.
3. Teleport를 통해 데이터베이스에 연결합니다.

작동 방식

Teleport 데이터베이스 서비스는 MongoDB Atlas와 상호 TLS 또는 AWS IAM을 사용하여 통신합니다:

• 상호 TLS: MongoDB Atlas를 구성하여 데이터베이스 클라이언트를 위해 Teleport 인증 기관을 신뢰하고, Teleport가 MongoDB Atlas를 위해 인증서를 서명하는 Let's Encrypt CA를 신뢰하도록 구성합니다. 사용자가 Teleport를 통해 MongoDB Atlas에 연결할 때, Teleport 데이터베이스 서비스는 인증서를 사용하여 인증하고 사용자 트래픽을 MongoDB Atlas로 전달합니다.
• AWS IAM: MongoDB 사용자가 "MONGODB-AWS" 인증 메커니즘을 사용하도록 구성하고, Teleport가 MongoDB Atlas를 위해 인증서를 서명하는 Let's Encrypt CA를 신뢰하도록 구성합니다. 사용자가 Teleport를 통해 MongoDB Atlas에 연결할 때, Teleport 데이터베이스 서비스는 인증을 위해 관련 IAM 역할을 수임하고 사용자 트래픽을 MongoDB Atlas로 전달합니다.

• 셀프 호스팅
• Teleport Enterprise Cloud

필수 조건

• 실행 중인 Teleport 클러스터 버전 17.0.0-dev 이상. Teleport를 시작하려면 가입하여 무료 평가판을 이용하거나 데모 환경 설정 방법을 확인하십시오.

• tctl 관리자 도구와 tsh 클라이언트 도구.

  tctl 및 tsh 다운로드 방법에 대한 지침은 설치를 방문하십시오.

• MongoDB Atlas 클러스터.
• Teleport 데이터베이스 서비스를 실행할 Amazon EC2 인스턴스와 같은 호스트.
• 연결이 가능한지 확인하기 위해 tsh login 으로 로그인한 다음, 현재 자격 증명을 사용하여 tctl 명령어를 실행할 수 있는지 확인하십시오. 예를 들어:

  tsh login --proxy=teleport.example.com --user=email@example.com
  tctl status
  클러스터  teleport.example.com
  버전  17.0.0-dev
  CA 핀   sha256:abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678

  클러스터에 연결할 수 있고 tctl status 명령어를 실행할 수 있다면, 현재 자격 증명을 사용하여 워크스테이션에서 후속 tctl 명령어를 실행할 수 있습니다.
  자신의 Teleport 클러스터를 호스팅하는 경우, Teleport Auth Service를 호스팅하는 컴퓨터에서 전체 권한으로 tctl 명령어를 실행할 수도 있습니다.

1/4단계. Teleport 데이터베이스 서비스 설정

Database 서비스는 Teleport 클러스터에 조인하기 위해 유효한 조인 토큰이 필요합니다.
다음 tctl 명령어를 실행하고 Database 서비스가 실행될 서버에 /tmp/token 안에 토큰 출력을 저장하세요:

tctl tokens add --type=db --format=text
abcd123-insecure-do-not-use-this

Teleport 데이터베이스 서비스를 실행할 호스트에 Teleport를 설치합니다:

Linux 서버에 Teleport 설치하기:

1. Teleport 에디션에 따라 edition를 다음 중 하나로 할당합니다:

   에디션	값
   Teleport Enterprise Cloud	cloud
   Teleport Enterprise (자가 호스팅)	enterprise
   Teleport Community Edition	oss

2. 설치할 Teleport 버전을 가져옵니다. 클러스터에서 자동 에이전트 업데이트가 활성화된 경우, 최신 Teleport 버전을 쿼리하여 업데이트된 내용과의 호환성을 확인합니다:

   TELEPORT_DOMAIN=example.teleport.com
   TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"

   그렇지 않으면, Teleport 클러스터의 버전을 가져옵니다:

   TELEPORT_DOMAIN=example.teleport.com
   TELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/ping | jq -r '.server_version')"

3. Linux 서버에 Teleport를 설치합니다:

   curl https://cdn.teleport.dev/install-v15.4.11.sh | bash -s ${TELEPORT_VERSION} edition

   설치 스크립트는 Linux 서버에서 패키지 관리자를 감지하고 이를 사용하여 Teleport 바이너리를 설치합니다. 설치를 사용자 정의하려면 설치 가이드에서 Teleport 패키지 리포지토리에 대해 알아보세요.

다음으로, 데이터베이스 서비스를 시작합니다.

sudo teleport db start \  --token=/tmp/token \  --auth-server=example.teleport.sh:443 \  --name=mongodb-atlas \  --protocol=mongodb \  --uri=mongodb+srv://cluster0.abcde.mongodb.net \  --labels=env=dev

version: v3
teleport:
  auth_token: "/tmp/token"
  proxy_server: example.teleport.sh:443

# 기본적으로 활성화된 서비스를 비활성화합니다.
ssh_service: { enabled: no }
proxy_service: { enabled: no }
auth_service: { enabled: no }

db_service:
  enabled: "yes"
  databases:
    - name: "mongodb-atlas"
      protocol: "mongodb"
      uri: "mongodb+srv://cluster0.abcde.mongodb.net"
      static_labels:
        env: "dev"

sudo systemctl enable teleport
sudo systemctl start teleport

sudo teleport install systemd -o /etc/systemd/system/teleport.service
sudo systemctl enable teleport
sudo systemctl start teleport

Teleport 데이터베이스 서비스를 구성하는 방법에 대한 자세한 내용은 아래를 참조하십시오.

연결 끝점

db_service.databases[*].uri 구성 옵션 또는 --uri CLI 플래그에 대한 Atlas 클러스터의 연결 끝점을 제공해야 합니다. 이는 데이터베이스 배포 개요 페이지의 연결 대화 상자를 통해 찾을 수 있습니다:

"연결 보안 설정" 단계로 진행하고 "MongoDB 셸로 연결"을 선택하여 연결 문자열을 확인합니다:

URI에 연결 문자열의 스킴 및 호스트 이름 부분만 사용하십시오:

--uri=mongodb+srv://cluster0.abcde.mongodb.net

2/4단계. Teleport 사용자 만들기

tctl users add \  --roles=access \  --db-users="*" \  --db-names="*" \  alice

tctl users add \  --roles=access,requester \  --db-users="*" \  --db-names="*" \  alice

데이터베이스 액세스 제어 및 액세스를 제한하는 방법에 대한 자세한 정보는 RBAC 문서를 참조하십시오.

사용자의 데이터베이스 이름 선택을 보다 엄격하게 구성하려는 경우, 이 가이드에 설명된 와일드카드 접근 방식과는 다르게, admin 데이터베이스를 포함하는 것이 필수적입니다. 이렇게 하면 MongoDB 클라이언트가 서버 정보를 검색하고, 데이터베이스를 나열하며, 트랜잭션을 중단하는 등의 작업을 수행할 때 문제가 발생하지 않습니다.

3/4단계. Atlas 구성하기

Teleport MongoDB Atlas 통합은 두 가지 인증 방법을 지원합니다:

• 자체 관리 X.509: 이 방법은 인증을 위해 인증서에 의존하며, MongoDB Atlas는 Teleport 인증서를 신뢰합니다.
• AWS IAM: 인증은 Teleport에 의해 가져온 AWS 자격 증명을 사용하여 수행됩니다.

• 자체 관리 X.509
• AWS IAM

먼저, Teleport 클러스터에 대해 다음 tctl auth sign 명령을 실행하여 Teleport CA 인증서를 얻습니다:

tctl auth sign --format=mongodb --host=mongo --out=mongo

이 경우에는 --host 및 --ttl 플래그 값이 중요하지 않으며, 이 명령으로 출력된 CA 인증서만 사용할 것입니다. mongo.cas 파일에 저장됩니다. mongo.crt 파일은 폐기해도 됩니다.

Atlas 클러스터의 보안 / 고급 구성 섹션으로 이동하여 "자체 관리 X.509 인증"을 활성화합니다:

mongo.cas 파일의 내용을 인증 기관 편집 상자에 붙여넣고 저장합니다.

MongoDB 사용자 만들기

보안 / 데이터베이스 액세스 페이지에서 인증서 인증 방법으로 새 데이터베이스 사용자를 추가합니다:

위에 표시된 대로 사용자를 CN=<user>로 지정해야 하며, MongoDB는 전체 인증서 주제를 사용자 이름으로 처리합니다. 예를 들어, 사용자 alice 로 MongoDB 클러스터에 연결할 때 Teleport는 CN=alice 주제로 임시 인증서를 서명합니다.

Note

대소문자가 중요하므로 사용자 이름에 대문자 CN= 을 포함해야 합니다.

Teleport Database Service에 AWS 자격 증식에 대한 액세스 권한을 제공해야 합니다.

the Database Service 가 AWS에 인증하는 데 사용할 수 있는 자격 증명에 대한 액세스를 부여하십시오.

• the Database Service 를 EC2 인스턴스에서 실행 중인 경우, EC2 인스턴스 메타데이터 서비스 방법을 사용할 수 있습니다.
• the Database Service 를 Kubernetes에서 실행 중인 경우, IAM Roles for Service Accounts (IRSA)를 사용할 수 있습니다.
• 그렇지 않은 경우, 환경 변수를 사용해야 합니다.

AWS 자격 증명이 여러 소스가 있습니까?

Teleport의 AWS 클라이언트는 다음 순서로 다양한 소스에서 자격 증명을 로드합니다:

• 환경 변수
• 공유된 자격 증명 파일
• 공유된 구성 파일 (Teleport는 항상 공유 구성을 활성화함)
• EC2 인스턴스 메타데이터 (자격 증명만 해당)

공유 자격 증명 파일 또는 공유 구성 파일을 통해 AWS 자격 증명을 제공할 수 있지만, the Database Service 를 선택한 프로필 이름에 할당된 AWS_PROFILE 환경 변수를 사용하여 실행해야 합니다.

위 지침에 설명되지 않은 특정 사용 사례가 있는 경우, AWS SDK for Go의 문서를 참조하여 자격 증명 로드 동작에 대한 자세한 설명을 확인하십시오.

MongoDB IAM 역할 만들기

AWS IAM 콘솔로 이동합니다. 탐색 창에서 역할을 선택한 다음 역할 만들기를 선택합니다. 다음으로 "사용자 지정 신뢰 정책" 유형을 선택합니다. 신뢰 정책을 편집하여 Teleport 데이터베이스 서비스 IAM 역할이 이 역할을 가정할 수 있도록 하여, Teleport가 MongoDB에 인증할 수 있는 데 필요한 자격 증명을 가져올 수 있도록 합니다:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111111111111:role/teleport-database-access",
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

역할에는 권한이 필요하지 않으므로 권한 추가 단계에서 비워 둘 수 있습니다. 그런 다음 이름을 정하고 역할을 생성합니다. 이 가이드에서는 teleport-access 라는 이름을 사용할 것입니다.

MongoDB 사용자 생성

보안 / 데이터베이스 액세스 페이지에서 AWS IAM 인증 방법을 사용하여 새로운 데이터베이스 사용자를 추가하고, IAM 사용자 유형으로 "IAM 역할"을 선택하십시오. 그런 다음, 새로 생성된 IAM 역할의 ARN으로 AWS ARN 필드를 채워야 합니다. 데이터베이스 사용자 권한 섹션에서 원하는 데이터베이스 데이터에 접근할 수 있는 충분한 권한을 사용자에게 부여하십시오.

Teleport는 AWS IAM 사용자를 이용한 인증을 지원하지 않으며, 오직 AWS IAM 역할을 이용한 인증만을 지원합니다.

4/4단계. 연결

Teleport 클러스터에 로그인하고 사용 가능한 데이터베이스를 확인하십시오:

tsh login --proxy=teleport.example.com --user=alice
tsh db ls
이름          설명 라벨
------------- ----------- --------
mongodb-atlas             env=dev

tsh login --proxy=mytenant.teleport.sh --user=alice
tsh db ls
이름          설명 라벨
------------- ----------- --------
mongodb-atlas             env=dev

tsh db connect --db-user=alice --db-name dev mongodb-atlas

tsh db connect --db-user=role/teleport-access --db-name dev mongodb-atlas

tsh db connect --db-user=arn:aws:iam::111111111111:role/teleport-access --db-name dev mongodb-atlas

mongosh 또는 mongo 명령줄 클라이언트는 연결할 수 있도록 PATH 에 있어야 합니다. 데이터베이스 서비스는 먼저 mongosh 를 실행하려고 시도하며, mongosh 가 PATH 에 없으면 mongo 를 실행합니다.

데이터베이스에서 로그아웃하고 자격 증명을 제거하려면:

특정 데이터베이스 인스턴스의 자격 증명을 제거합니다.
tsh db logout mongodb-atlas
모든 데이터베이스 인스턴스의 자격 증명을 제거합니다.
tsh db logout

다음 단계

• 특정 사용자와 데이터베이스에 대한 액세스 제한하기 방법을 배우십시오.

• 고가용성(HA) 가이드를 확인하십시오.

• YAML 구성 참조를 살펴보십시오.

• 전체 CLI 참조를 확인하십시오.

추가 읽기

• 어떤 인증 기관이 MongoDB Atlas 클러스터 TLS 인증서를 서명합니까?
• 자체 관리 X.509 인증
• AWS IAM 인증