Teleport 워크로드 ID는 현재 미리보기 단계에 있습니다. 이는 일부 기능이 누락될 수 있음을 의미합니다. 우리는 워크로드 ID의 미래를 형성하는 데 도움을 줄 디자인 파트너를 적극적으로 찾고 있으며, 여러분의 피드백을 듣고 싶습니다.
Teleport 워크로드 ID는 X.509 인증서에서 유연한 단기 ID를 발급합니다. AWS Roles Anywhere를 사용하면 이러한 인증서를 통해 AWS 서비스에 인증할 수 있습니다.
이는 기계가 장기 자격 증명 없이도 안전하게 AWS 서비스에 인증해야 할 때 유용할 수 있습니다. 기계는 우리의 위임된 조인 방법 중 하나를 사용하여 공유 비밀 없이 Teleport로 인증할 수 있기 때문입니다.
작동 원리
이 구현은 Teleport 애플리케이션 서비스를 사용하여 AWS API를 보호하는 것과 몇 가지 방법에서 다릅니다:
- AWS 요청은 Teleport 프록시 서비스를 통해 프록시되지 않으므로 대기 시간이 줄어들지만, 이러한 요청은 Teleport의 감사 로그에 기록되지 않기 때문에 가시성이 감소합니다.
- 워크로드 ID는 명령줄 도구는 물론 SDK를 포함한 모든 AWS 클라이언트와 함께 작동합니다.
- AWS에 접근하기 위한 Teleport 애플리케이션 서비스 사용은 기계 ID와 함께 작동하지 않으며, 따라서 기계가 AWS에 인증해야 할 때 사용할 수 없습니다.
이 가이드는 주로 기계가 AWS에 접근하도록 허용하는 것을 목표로 하지만, tsh svid issue
명령을 사용하여 기계 ID 대신 사람 사용자가 AWS Roles Anywhere를 사용하여 인증할 수 있습니다.
전제 조건
-
실행 중인 Teleport 클러스터 버전 이상. Teleport를 시작하려면, 가입하기 위해 무료 평가판에 등록하거나 데모 환경 설정하기를 참조하세요.
-
tctl
관리 도구와tsh
클라이언트 도구.tctl
과tsh
다운로드에 대한 지침은 설치를 방문하세요.
- 당신의 Teleport 클러스터에 연결할 수 있는지 확인하려면,
tsh login
으로 로그인한 다음 현재 자격 증명을 사용하여tctl
명령어를 실행할 수 있는지 확인하십시오. 예를 들어:클러스터에 연결하고tsh login --proxy=teleport.example.com --user=email@example.comtctl status클러스터 teleport.example.com
버전 16.2.0
CA 핀 sha256:abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678abdc1245efgh5678
tctl status
명령어를 실행할 수 있다면, 현재 자격 증명을 사용하여 작업대에서 후속tctl
명령어를 실행할 수 있습니다. 자신의 Teleport 클러스터를 호스팅하는 경우, Teleport 인증 서비스를 호스팅하는 컴퓨터에서 전체 권한으로tctl
명령어를 실행할 수도 있습니다. tbot
은 이미 설치되어 있고, Teleport 워크로드 ID에 접근해야 할 작업이 실행될 호스트에서 구성되어 있어야 합니다. 자세한 내용은 배포 가이드를 참조하세요.
SPIFFE ID 구조 결정
Teleport 워크로드 ID 내에서 모든 ID는 SPIFFE ID를 사용하여 표현됩니다. 이는 ID가 나타내는 엔터티를 고유하게 식별하는 URI입니다. 스킴은 항상 spiffe://
이며, 호스트는 Teleport 클러스터의 이름이 됩니다. 이 URI의 경로 구조는 사용자가 결정할 수 있습니다.
이 가이드의 목적을 위해, 우리는 spiffe://example.teleport.sh/svc/example-service
SPIFFE ID에 AWS 접근 권한을 부여할 것입니다.
이미 Teleport 워크로드 ID를 배포한 경우, 이미 SPIFFE ID 구조가 구축되어 있을 것입니다. 아직 배포하지 않았다면, SPIFFE ID의 구조를 결정해야 합니다.
AWS Roles Anywhere와 Teleport 워크로드 ID만 사용하고 있다면, SPIFFE ID를 AWS 역할을 명시적으로 지정하도록 구조화할 수 있습니다. 그러나 일반적으로는 워크로드나 SPIFFE ID를 사용할 사람의 이름을 지정하는 것이 더 합리적입니다. 추가 조언은 모범 사례 가이드를 참조하세요.
1단계 / 4단계. AWS Roles Anywhere 구성
AWS Roles Anywhere를 처음으로 구성하는 것은 몇 가지 단계를 포함합니다. 이전에 Teleport 클러스터를 위해 AWS Roles Anywhere를 구성한 경우 일부 단계는 필요하지 않을 수 있습니다.
Roles Anywhere 신뢰 앵커 구성
이전의 Teleport 클러스터를 위해 AWS Roles Anywhere를 구성한 경우 이 단계는 건너뛸 수 있습니다.
먼저 Teleport 클러스터와 AWS Roles Anywhere 간의 신뢰를 설정해야 합니다. 이를 통해 AWS는 Teleport 클러스터에서 발급된 X.509 인증서를 검증할 수 있습니다. 이는 Teleport 클러스터의 SPIFFE 인증서 기관을 AWS Roles Anywhere의 신뢰 앵커로 구성함으로써 이루어집니다.
먼저 Teleport 클러스터의 SPIFFE CA를 얻어야 합니다:
$ tctl auth export --type tls-spiffe
이제 AWS 콘솔에서 "Roles Anywhere"로 이동하여 "신뢰 앵커 생성"을 클릭합니다. 설명적인 이름을 부여해야 하며, Teleport 클러스터의 이름에 "spiffe"를 덧붙여 사용하는 것이 좋습니다.
"External certificate bundle"을 선택한 후, tctl
명령에서 받은 출력을 텍스트 상자에 붙여넣습니다.
이제 "신뢰 앵커 생성" 버튼을 클릭할 수 있습니다.
역할 생성
다음으로, 워크로드가 가질 역할을 AWS에 생성해야 합니다. 기존 역할의 신뢰 정책을 수정할 수도 있습니다.
AWS IAM 콘솔의 "Roles" 섹션으로 이동하여 "역할 생성"을 클릭합니다.
"신뢰할 수 있는 엔터티 유형"에서 "사용자 지정 신뢰 정책"을 선택합니다.
이제 다음을 입력해야 합니다:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "rolesanywhere.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:TagSession",
"sts:SetSourceIdentity"
],
"Condition": {
"StringEquals": {
"aws:PrincipalTag/x509SAN/URI": "spiffe://example.teleport.sh/svc/example-service"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:rolesanywhere:us-east-1:12345789:trust-anchor/0000000-0000-0000-0000-000000000000"
}
}
}
]
}
다음과 같이 교체하세요:
spiffe://example.teleport.sh/my-workload
를 워크로드에 대해 선택한 SPIFFE ID로 교체합니다.arn:aws:rolesanywhere:us-east-1:12345789:trust-anchor/0000000-0000-0000-0000-000000000000
을 이전 단계에서 생성한 신뢰 앵커의 ARN으로 교체합니다.
"다음"을 클릭하여 "권한 추가" 페이지로 진행합니다. 이제 AWS에서 워크로드에 부여할 권한을 선택합니다.
"다음"을 클릭하여 "이름, 검토 및 생성" 페이지로 진행합니다. 역할에 설명적인 이름을 부여합니다. 예: "my-workload-roles-anywhere".
"역할 생성"을 클릭합니다.
Roles Anywhere 프로필 생성
마지막으로, Roles Anywhere 프로필을 생성해야 합니다.
AWS IAM 콘솔의 "Roles Anywhere" 섹션으로 돌아가 "프로필 생성"을 클릭합니다.
프로필에 설명적인 이름을 부여합니다. 예: "my-workload".
이전 단계에서 생성한 역할을 선택합니다.
"프로필 생성"을 클릭합니다.
2단계 / 4단계. Teleport RBAC 구성
이제 X.509 인증서가 우리가 선택한 SPIFFE ID를 포함하여 발급될 수 있도록 Teleport를 구성할 필요가 있습니다.
kind: role
version: v6
metadata:
name: my-workload-roles-anywhere
spec:
allow:
spiffe:
- path: /svc/example-service
다음과 같이 교체하세요:
my-workload-roles-anywhere
를 역할에 대한 설명적인 이름으로 교체합니다./my-workload
를 선택한 SPIFFE ID의 경로 부분으로 교체합니다.
이 SPIFFE ID를 사람이 발급할 의도를 가지고 있다면, 이제 이 역할을 그 사용자의 사용자에 할당해야 합니다:
$ tctl edit user/my-user
# 그리고 역할을 사용자의 역할 목록에 추가합니다.
이 SPIFFE ID를 기계가 발급할 의도를 가지고 있다면, 이제 이 역할을 봇에 할당해야 합니다:
$ tctl bots update my-bot --add-roles my-workload-roles-anywhere
3단계 / 4단계. 워크로드 ID 인증서 발급
tbot
을 사용하는 기계의 경우
기계의 경우 tbot
서비스를 사용할 수 있으며, 이는 SPIFFE SVID를 배경 프로세스로 발급 및 갱신할 수 있습니다.
이미 배포된 tbot
서비스를 가져와 SPIFFE SVID를 발급하도록 구성 파일에 다음을 추가합니다:
outputs:
- type: spiffe-svid
destination:
type: directory
path: /opt/roles-anywhere-svid
svid:
path: /svc/example-service
새 구성을 적용하기 위해 tbot
서비스를 재시작하세요.
tsh
을 사용하는 인간의 경우
인간의 경우, tsh
CLI를 사용하여 사전 인증 세션을 통해 SPIFFE SVID를 발급 받을 수 있습니다.
SVID가 만료될 때마다 tsh
명령을 다시 호출해야 합니다. 기본적으로 SVID는 1시간의 TTL로 발급되지만, 최대 24시간까지 조정할 수 있습니다. 엔지니어가 근무 시작 시 한번 명령을 실행할 수 있도록 이 설정을 약 8시간으로 구성하는 것이 편리할 수 있습니다.
예를 들어, 8시간 TTL로 /svc/example-service
용 SPIFFE SVID를 발급받으려면:
$ tsh svid issue --output /opt/roles-anywhere-svid --svid-ttl 8h /svc/example-service
4단계 / 4단계. AWS CLI 및 SDK를 사용하여 Roles Anywhere를 인증하는 데 구성
AWS가 인증을 위해 SVID를 사용하려면 AWS Roles Anywhere 자격 증명 도우미도 설치해야 합니다. 이는 AWS CLI와 SDK가 SVID를 임시 AWS 자격 증명으로 교환하는 데 사용할 작은 유틸리티입니다.
자격 증명 도우미의 최신 릴리스를 AWS Identity and Access Management Roles Anywhere에서 임시 보안 자격 증명 얻기 가이드에서 얻으세요.
이제 이 자격 증명 도우미를 활용하는 프로필을 구성해야 합니다.
다음 내용을 ~/.aws/config
파일에 추가하세요:
[profile use-roles-anywhere]
credential_process = ./aws_signing_helper credential-process --certificate /opt/roles-anywhere-svid/svid.pem --private-key /opt/roles-anywhere-svid/svid_key.pem --profile-arn $PROFILE_ARN --trust-anchor-arn $TRUST_ANCHOR_ARN --role-arn $ROLE_ARN
$PROFILE_ARN, $TRUST_ANCHOR_ARN, 및 $ROLE_ARN을 이전 단계에서 생성한 프로필, 신뢰 앵커, 역할의 ARN으로 교체하세요.
이제 AWS CLI와 함께 use-roles-anywhere
프로필을 사용할 수 있습니다. 예를 들면:
$ aws --profile use-roles-anywhere s3 ls
AWS SDK와 함께 사용할 때는 AWS_PROFILE
환경 변수를 설정하세요:
$ export AWS_PROFILE=use-roles-anywhere
$ ./my-app
다음 단계
- AWS Roles Anywhere 문서: Roles Anywhere에 대한 공식 AWS 문서입니다.
- 워크로드 ID 개요: Teleport 워크로드 ID에 대한 개요입니다.
- 모범 사례: 프로덕션에서 워크로드 ID를 사용하는 모범 사례입니다.
- 모든 사용 가능한 구성 옵션을 탐색하려면 구성 참조를 읽어보세요.