인포레터에서 최신 DevOps 트렌드를 격주로 만나보세요!
데이터베이스 접근 시작 가이드
Teleport은 Teleport Database Service를 통해 PostgreSQL Amazon Aurora에 대한 안전한 액세스를 제공할 수 있습니다. 이를 통해 Teleport의 RBAC를 통한 세부적인 액세스 제어가 가능합니다.
이 가이드에서는 다음을 수행합니다:
- PostgreSQL Amazon Aurora 데이터베이스 IAM 인증 방식으로를 구성합니다.
- 데이터베이스를 Teleport 클러스터에 추가합니다.
- Teleport를 통해 데이터베이스에 연결합니다.
사전 요구 사항
-
실행 중인 Teleport 클러스터 버전 17.0.0-dev 이상. Teleport를 시작하려면 가입하여 무료 평가판을 이용하거나 데모 환경 설정 방법을 확인하십시오.
-
tctl관리자 도구와tsh클라이언트 도구.tctl및tsh다운로드 방법에 대한 지침은 설치를 방문하십시오.
- PostgreSQL AWS Aurora 데이터베이스와 IAM 정책을 생성하고 연결할 수 있는 권한을 가진 AWS 계정.
- Teleport 데이터베이스 서비스를 실행할 호스트, 예: EC2 인스턴스.
- 연결이 가능한지 확인하기 위해
tsh login으로 로그인한 다음, 현재 자격 증명을 사용하여tctl명령어를 실행할 수 있는지 확인하십시오. 예를 들어:클러스터에 연결할 수 있고tsh login --proxy=teleport.example.com --user=email@example.comtctl status클러스터 teleport.example.com
버전 17.0.0-dev
CA 핀 sha256:abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678
tctl status명령어를 실행할 수 있다면, 현재 자격 증명을 사용하여 워크스테이션에서 후속tctl명령어를 실행할 수 있습니다.
자신의 Teleport 클러스터를 호스팅하는 경우, Teleport Auth Service를 호스팅하는 컴퓨터에서 전체 권한으로tctl명령어를 실행할 수도 있습니다.
1/5단계. Aurora 설정
Teleport가 Aurora 인스턴스에 연결할 수 있도록 하려면, 해당 인스턴스가 IAM 인증을 지원해야 합니다.
아직 데이터베이스를 프로비저닝하지 않았다면, RDS 제어판에서 Aurora PostgreSQL 인스턴스를 생성하십시오. "표준 생성" 데이터베이스 생성 방법을 선택하고 데이터베이스 인증 대화 상자에서 "비밀번호 및 IAM 데이터베이스 인증"을 활성화하세요.
기존 Aurora 인스턴스의 경우, IAM 인증 상태는 구성 탭에 표시되며 데이터베이스 인스턴스를 수정하여 활성화할 수 있습니다.
다음 IAM 정책을 생성하고 이를 AWS 사용자 또는 서비스 계정에 연결합니다. Teleport 데이터베이스 서비스는 이 AWS 사용자 또는 서비스 계정의 자격 증명을 사용하여 이 정책을 활용해야 합니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rds-db:connect"
],
"Resource": [
"arn:aws:rds-db:<region>:<account-id>:dbuser:<resource-id>/*"
]
}
]
}
이 정책은 IAM 인증을 사용하여 지정된 리소스 ID의 Aurora 인스턴스에 연결할 수 있는 모든 데이터베이스 계정을 허용합니다.
리소스 ID
데이터베이스 리소스 ID는 RDS 제어판의 특정 데이터베이스 인스턴스 구성 탭에서 "리소스 ID" 아래에 표시됩니다. 일반 RDS 데이터베이스는 db- 접두사로 시작합니다. Aurora의 경우 개별 인스턴스 ID가 아닌 데이터베이스 클러스터 리소스 ID(cluster-)를 사용하세요.
마지막으로, 데이터베이스에 연결하고 IAM 인증 지원을 가진 데이터베이스 계정을 생성하거나 기존 계정을 업데이트합니다. 연결 후, 다음 SQL 문을 실행하여 새 데이터베이스 계정을 생성하고 IAM 인증을 허용합니다:
CREATE USER alice;
GRANT rds_iam TO alice;
PostgreSQL 인스턴스에 직접 연결하는 방법에 대한 자세한 내용은 AWS 문서를 참조하십시오.
PostgreSQL 사용자에 대해 필요할 때 계정을 생성하도록 Teleport를 구성하는 방법은 자동 사용자 프로비저닝 가이드를 참조하세요.
2/5단계. Teleport 데이터베이스 서비스 구성
Database 서비스는 Teleport 클러스터에 조인하기 위해 유효한 조인 토큰이 필요합니다.
다음 tctl 명령어를 실행하고 Database 서비스가 실행될 서버에 /tmp/token 안에 토큰 출력을 저장하세요:
tctl tokens add --type=db --format=textabcd123-insecure-do-not-use-this
AWS에 많은 인프라를 가진 사용자나 많은 인스턴스를 생성하거나 재생성할 가능성이 있는 사용자에게는 Teleport를 실행하는 새로운 EC2 인스턴스에 조인하기 위한 대체 방법을 고려하십시오:
Teleport 데이터베이스 서비스를 실행할 호스트에 Teleport를 설치합니다:
Linux 서버에 Teleport 설치하기:
-
Teleport 에디션에 따라 edition를 다음 중 하나로 할당합니다:
에디션 값 Teleport Enterprise Cloud cloudTeleport Enterprise (자가 호스팅) enterpriseTeleport Community Edition oss -
설치할 Teleport 버전을 가져옵니다. 클러스터에서 자동 에이전트 업데이트가 활성화된 경우, 최신 Teleport 버전을 쿼리하여 업데이트된 내용과의 호환성을 확인합니다:
TELEPORT_DOMAIN=example.teleport.comTELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/automaticupgrades/channel/default/version | sed 's/v//')"그렇지 않으면, Teleport 클러스터의 버전을 가져옵니다:
TELEPORT_DOMAIN=example.teleport.comTELEPORT_VERSION="$(curl https://$TELEPORT_DOMAIN/v1/webapi/ping | jq -r '.server_version')" -
Linux 서버에 Teleport를 설치합니다:
curl https://cdn.teleport.dev/install-v15.4.11.sh | bash -s ${TELEPORT_VERSION} edition설치 스크립트는 Linux 서버에서 패키지 관리자를 감지하고 이를 사용하여 Teleport 바이너리를 설치합니다. 설치를 사용자 정의하려면 설치 가이드에서 Teleport 패키지 리포지토리에 대해 알아보세요.
Teleport 데이터베이스 서비스를 실행할 노드에서 Teleport를 구성하고 Aurora 데이터베이스 인스턴스를 가리키도록 합니다. 데이터베이스 엔드포인트와 리전을 적절하게 업데이트해야 합니다. --proxy 플래그는 Teleport 프록시 서비스의 주소를 가리켜야 합니다.
sudo teleport db configure create \ --token=/tmp/token \ --name=aurora \ --proxy=teleport.example.com:443 \ --protocol=postgres \ --uri=postgres-aurora-instance-1.abcdefghijklm.us-west-1.rds.amazonaws.com:5432 \ --aws-region=us-west-1 \ --output file:///etc/teleport.yaml
Teleport 데이터베이스 서비스를 실행할 노드에서 Teleport를 구성하고 Aurora 데이터베이스 인스턴스를 가리키도록 합니다. 데이터베이스 엔드포인트와 리전을 적절하게 업데이트해야 합니다. --proxy 플래그는 Teleport 클라우드 테넌트의 주소를 가리켜야 합니다.
sudo teleport db configure create \ --token=/tmp/token \ --name=aurora \ --proxy=mytenant.teleport.sh:443 \ --protocol=postgres \ --uri=postgres-aurora-instance-1.abcdefghijklm.us-west-1.rds.amazonaws.com:5432 \ --aws-region=us-west-1 \ --output file:///etc/teleport.yaml
AWS 자격 증명
데이터베이스에 연결하는 노드는 1단계에서의 정책으로 AWS 자격 증명이 구성되어 있어야 합니다.
3/5단계. 데이터베이스 서비스 시작
환경에서 Teleport 데이터베이스 서비스를 시작합니다:
호스트가 부팅될 때 the Database Service가 자동으로 시작되도록 systemd 서비스를 생성하여 구성합니다. 지침은 the Database Service를 설치한 방법에 따라 다릅니다.
the Database Service를 실행할 호스트에서 Teleport를 활성화하고 시작합니다:
sudo systemctl enable teleportsudo systemctl start teleport
the Database Service를 실행할 호스트에서 Teleport의 systemd 서비스 구성을 만들고, Teleport 서비스를 활성화한 후 Teleport를 시작합니다:
sudo teleport install systemd -o /etc/systemd/system/teleport.servicesudo systemctl enable teleportsudo systemctl start teleport
systemctl status teleport 로 the Database Service의 상태를 확인하고, journalctl -fu teleport 로 로그를 볼 수 있습니다.
4/5단계. 사용자 및 역할 생성
사용자가 모든 데이터베이스의 모든 데이터베이스 계정을 사용하여 연결할 수 있도록 허용하는 역할을 생성합니다:
tctl create <<EOFkind: roleversion: v3metadata: name: dbspec: allow: db_labels: '*': '*' db_names: - '*' db_users: - '*'EOF
방금 생성한 db 역할이 할당된 Teleport 사용자를 생성합니다:
tctl users add --roles=access,db alice
tctl users add --roles=access,requester,db alice
5/5단계. 연결
이제 Aurora가 IAM 인증으로 구성되고, Teleport가 실행 중이며, 로컬 사용자가 생성 되었으므로 데이터베이스에 연결할 준비가 되었습니다.
방금 생성한 사용자로 Teleport에 로그인합니다.
tsh login --proxy=teleport.example.com --user=alice
tsh login --proxy=mytenant.teleport.sh --user=alice
이제 사용 가능한 데이터베이스를 검사할 수 있습니다:
tsh db ls
마지막으로 데이터베이스에 연결합니다:
tsh db connect --db-user=alice --db-name postgres aurora
감사
데이터베이스 세션 활동은 감사 로그에서 볼 수 있습니다.
세션이 업로드되면 tsh play 명령어로 감사 데이터를 재생할 수 있습니다.
데이터베이스 세션 ID는 UUID 형식(예: 307b49d6-56c7-4d20-8cf0-5bc5348a7101 )입니다.
감사 로그에서 sid 키를 사용하여 데이터베이스 세션 ID를 확인하세요.
예제:
tsh play --format json database.session
{
"cluster_name": "teleport.example.com",
"code": "TDB02I",
"db_name": "example",
"db_origin": "dynamic",
"db_protocol": "postgres",
"db_query": "select * from sample;",
"db_roles": ["access"],
"db_service": "example",
"db_type": "rds",
"db_uri": "databases-1.us-east-1.rds.amazonaws.com:5432",
"db_user": "alice",
"ei": 2,
"event": "db.session.query",
"sid": "307b49d6-56c7-4d20-8cf0-5bc5348a7101",
"success": true,
"time": "2023-10-06T10:58:32.88Z",
"uid": "a649d925-9dac-44cc-bd04-4387c295580f",
"user": "alice"
}
감사 로그는 이벤트 리소스에 대한 권한이 있는 사용자가 Management의 Activity에서 확인할 수 있습니다.
데이터베이스 세션은 세션 녹화 페이지에 표시되지 않습니다.
문제 해결
인증서 오류
tsh db connect 오류에 다음 텍스트가 포함되어 있다면, 2020년 7월 28일 이전에 생성된 RDS 또는 DocumentDB 데이터베이스가 있을 수 있으며, 이는 Teleport와 호환되지 않는 X.509 인증서를 제공합니다:
x509: certificate relies on legacy Common Name field, use SANs instead
AWS는 SSL/TLS 인증서 회전을 위한 지침을 제공합니다.
자격 증명 제공자 없음 오류
NoCredentialProviders: no valid providers in chain 오류가 Database 서비스 로그에 표시되면 Teleport는 AWS IAM 권한을 통해 연결하는 데 필요한 자격 증명을 감지하지 못하고 있습니다. Teleport Database 서비스가 실행되고 있는 머신에 자격 증명 또는 보안 역할이 적용되었는지 확인하십시오.
EKS에서 실행할 때, Teleport Database 서비스가 PUT 요청의 홉 수 제한이 1로 설정된 워커 노드 인스턴스에서 IMDSv2에 접근할 수 없는 경우 이 오류가 발생할 수 있습니다. 홉 수 제한을 확인하려면 다음 명령어를 사용할 수 있습니다:
aws ec2 describe-instances --instance-ids <node-instance-id> | grep HttpPutResponseHopLimit"HttpPutResponseHopLimit": 1,
자세한 내용은 EKS에 대한 IMDSv2 지원 및 EKS 모범 사례를 참조하십시오.
타임아웃 오류
Teleport Database Service는 데이터베이스 엔드포인트와의 연결이 필요합니다. 이는 동일한 VPC 내에서 Database Service로부터 데이터베이스로의 수신 트래픽을 활성화하거나 다른 VPC에서의 라우팅 규칙을 필요로 할 수 있습니다. nc 프로그램을 사용하여 데이터베이스에 대한 연결을 확인할 수 있습니다:
nc -zv postgres-instance-1.sadas.us-east-1.rds.amazonaws.com 5432Connection to postgres-instance-1.sadas.us-east-1.rds.amazonaws.com (172.31.24.172) 5432 port [tcp/postgresql] succeeded!
sts:AssumeRole 실행 권한 없음
Database Service는 다음과 같은 상황에서 IAM 역할을 가정합니다:
- Teleport 사용자가 AWS 서비스에 액세스할 때 사용할 데이터베이스 사용자로서 IAM 역할을 지정하는 경우, IAM 역할을 데이터베이스 사용자로 사용하는 것을 지원하는 데이터베이스에는 DynamoDB, Keyspaces, Opensearch, Redshift 및 Redshift Serverless가 포함됩니다.
- 데이터베이스 리소스 또는 동적 리소스 일치자에 대해
assume_role_arn필드가 지정된 경우.
위 두 조건이 모두 데이터베이스 연결에 해당하는 경우, Database Service는 먼저
assume_role_arn 에 지정된 IAM 역할을 가정한 후, 해당 IAM 역할을 사용하여
데이터베이스 사용자에 대한 IAM 역할을 가정합니다.
IAM 역할 간의 신뢰 관계가 올바르게 구성되지 않으면 다음 오류가 발생할 수 있습니다:
AccessDenied: User: arn:aws:sts::111111111111:assumed-role/teleport-db-service-role/i-* is not authorized to perform: sts:AssumeRole on resource: arn:aws:iam::111111111111:role/db-user-role
IAM 역할 teleport-db-service-role 이 IAM 역할 db-user-role 를 가정할 수 있도록 허용하려면, 일반적으로 다음이 필요합니다:
1. db-user-role의 신뢰 관계 구성
teleport-db-service-role 또는 해당 AWS 계정은 db-user-role의 신뢰 정책에서 Principal 로 설정되어야 합니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::aws-account-id:role/teleport-db-service-role"
},
"Action": "sts:AssumeRole"
}
]
}
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::aws-account-id:root"
},
"Action": "sts:AssumeRole"
}
]
}
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::external-aws-account-id:role/teleport-db-service-role"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "example-external-id"
}
}
}
]
}
2. teleport-db-service-role의 권한 정책 구성
teleport-db-service-role 에는 sts:AssumeRole 권한이 필요합니다. 예를 들면:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::aws-account-id:role/db-user-role"
}
]
}
이 정책은 teleport-db-service-role과 db-user-role가 같은 AWS 계정에 있고 teleport-db-service-role의 전체 ARN이 db-user-role의 신뢰 정책에 Principal로 구성되어 있을 때 생략할 수 있습니다.
3. teleport-db-service-role의 권한 경계 구성
teleport-db-service-role에 부착된
권한 경계 가 없는 경우 이 단계를 건너뛸 수 있습니다.
그렇지 않으면 teleport-db-service-role에 부착된 경계 정책은 sts:AssumeRole 권한을 포함해야 합니다. 예를 들면:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Resource": "*"
}
]
}
다음 AWS CLI 명령을 teleport-db-service-role 로 실행하여 신뢰 관계를 테스트할 수 있습니다:
aws sts assume-role --role-arn arn:aws:iam::111111111111:role/db-user-role --role-session-name test-trust-relationship
신뢰 정책을 IAM 역할과 함께 사용하는 방법에 대해 자세히 알아보세요.
다음 단계
다음 단계로, 데이터베이스 액세스 사용 사례와 관련된 주제를 더 깊이 살펴보십시오, 예를 들어:
- 구성 가이드를 확인하십시오.
- GUI 클라이언트 구성 방법을 알아보십시오.
- 데이터베이스 액세스 역할 기반 액세스 제어에 대해 알아보십시오.
- 자주 묻는 질문을 참조하십시오.