이 페이지는 머신 ID에 대한 자주 묻는 질문에 대한 답변을 제공합니다. Teleport에 대한 자주 묻는 질문 목록은 자주 묻는 질문을 참조하십시오.

머신 ID를 CI/CD 작업 내에서 사용할 수 있나요?

개별 워크플로우 실행 간에 지속적인 상태가 존재하지 않는 임시 환경에서 워크플로우가 실행되는 CI/CD 플랫폼에서는 지원되는 조인 방법이 존재할 때 머신 ID가 가장 잘 작동합니다. 다음이 포함됩니다:

• GitHub Actions
• CircleCI
• GitLab
• AWS
• GCP
• Azure
• Kubernetes
• Spacelift
• Terraform Cloud

런너 환경을 제어하는 CI/CD 플랫폼(예: 자체 호스팅 Jenkins 러너)에서는 머신 ID가 러너에서 데몬으로 실행될 수 있으며 생성된 자격 증명은 개별 워크플로우 실행의 환경에 탑재될 수 있습니다.

머신 ID를 신뢰할 수 있는 클러스터와 함께 사용할 수 있나요?

신뢰할 수 있는 리프 클러스터에서 SSH 접근을 위해 머신 ID를 사용할 수 있습니다.

현재 리프 클러스터 내의 애플리케이션, 데이터베이스 또는 Kubernetes 클러스터에 대한 접근은 지원하지 않습니다.

허용된 로그인 정의를 사용자 특성으로 정의해야 하나요, 아니면 역할 내에서 정의해야 하나요?

봇이 사용할 수 있는 로그인을 정의할 때 두 가지 옵션이 있습니다:

• 봇이 가장할 역할의 logins 섹션에 로그인을 직접 추가합니다.
• 봇 사용자에게 로그인을 추가하고 {{ internal.logins }} 역할 변수를 포함하는 역할을 가장합니다. 이는 일반적으로 봇을 생성할 때 --logins 매개변수를 제공하여 수행됩니다.

단일 출력 또는 역할만 사용할 것으로 예상되는 단순한 시나리오에서는 로그인을 봇 사용자 특성에 추가할 수 있습니다. 이 접근 방식은 access 와 같은 기본 역할을 활용할 수 있게 해줍니다.

봇이 다른 역할에 대해 서로 다른 출력을 위한 인증서를 생성하는 상황에서는 로그인 특성이 원치 않는 리소스에 대한 접근을 허용하지 않도록 하는 것이 중요합니다. 로그인 특성이 원치 않는 접근을 허용하지 않도록 하기 위해, 포함해야 할 로그인을 명시적으로 지정하는 맞춤형 역할을 생성하는 것이 좋습니다.

머신 ID를 세션별 MFA와 함께 사용할 수 있나요?

현재 머신 ID와 세션별 MFA는 지원하지 않습니다. 세션별 MFA를 전역적으로 또는 머신 ID로 가장한 역할에 대해 활성화하면 머신 ID로 생성된 자격 증명을 사용하여 리소스에 연결하는 것을 방지합니다.

우회 방법으로는 개별 역할에 대해 세션별 MFA가 시행되도록 하고, 머신 ID를 사용하여 가장할 역할에 대해서는 시행되지 않도록 하는 것입니다.

머신 ID를 디바이스 신뢰와 함께 사용할 수 있나요?

현재 머신 ID와 디바이스 신뢰는 지원하지 않습니다. 클러스터 전체 또는 머신 ID로 가장한 역할에 대해 디바이스 신뢰를 요구하면 머신 ID로 생성된 자격 증명을 사용하여 리소스에 연결하는 것을 방지합니다.

우회 방법으로는 역할별로 디바이스 신뢰 시행을 구성하고, 머신 ID를 사용하여 가장할 역할에 대해서는 요구되지 않도록 하는 것입니다.

머신 ID를 사용하여 장기간 유효한 인증서를 생성할 수 있나요?

현재 머신 ID는 24시간 이상 유효한 인증서를 생성하는 데 사용할 수 없으며, certificate_ttl 매개변수를 사용하여 더 긴 인증서를 요청하면 이 24시간 한도로 축소됩니다.

이 제한은 여러 목적을 수행합니다. 첫째, 매우 짧게 유효한 인증서만 발급하여 보안 모범 사례를 장려합니다. 또한 머신 ID가 인증서 갱신을 허용하므로, 머신 ID 신원이 손상된 경우 추가적인 악용을 방지하는 데 이 제한이 도움이 됩니다. 공격자는 도난당한 갱신 가능한 인증서를 사용하여 매우 긴 유효 기간의 인증서를 요청하고 훨씬 더 긴 기간 동안 접근할 수 있습니다.

귀하의 사용 사례가 장기간 유효한 인증서를 절대적으로 필요로 하는 경우, tctl auth sign 을 대안으로 사용할 수 있으나, 이는 머신 ID의 짧은 유효 기간 갱신 가능한 인증서의 보안 이점을 잃게 됩니다.