일부 시나리오에서는 머신 ID를 사용하지 않고 SPIFFE SVID를 수동으로 발급하려고 할 수 있습니다. 이는 디버깅과 같은 목적을 위해 서비스를 가장해야 하거나, SPIFFE SVID를 인증에 사용하는 서비스에 인간이 접근할 수 있는 메커니즘을 제공할 수 있는 경우에 유용합니다.

이 가이드에서는 tsh 도구를 사용하여 SPIFFE SVID를 발급하는 방법을 설명합니다.

사전 요구 사항

• SPIFFE SVID 발급을 허용하도록 구성된 역할과 이 역할이 귀하의 사용자에게 할당되어 있어야 합니다. 자세한 내용은 시작하기를 참조하십시오.

• 실행 중인 Teleport 클러스터 버전 이상. Teleport를 시작하려면, 가입하기 위해 무료 평가판에 등록하거나 데모 환경 설정하기를 참조하세요.

• tctl 관리 도구와 tsh 클라이언트 도구.

  tctl과 tsh 다운로드에 대한 지침은 설치를 방문하세요.

1단계/2단계. tsh를 사용하여 SPIFFE SVID 발급하기

먼저, SPIFFE SVID를 어디에 작성할지 결정합니다. 디렉토리에 작성하려면 먼저 디렉토리를 생성해야 합니다. 예제에서는 svid라는 디렉토리에 SVID를 작성할 것입니다.

다음으로, 어떤 SPIFFE ID에 대해 SVID를 발급할지 결정합니다. 예제에서는 경로가 /my-svc인 SPIFFE ID를 사용할 것입니다.

출력 디렉토리를 --out으로 지정하고, SPIFFE ID 경로를 첫 번째 인수로 하여 SVID를 발급합니다:

$ tsh svid issue --out ./svid /my-svc

또한, SVID를 더 세부적으로 사용자 정의하기 위해 플래그를 사용할 수 있습니다:

원격 호스트에서 SVID를 발급하기 위한 헤드리스 인증 사용하기

일부 시나리오에서는 SSH로 접속한 호스트에서 tsh를 사용하여 SVID를 발급하려고 할 수 있습니다. 이 경우 Teleport에 로그인하지 않고도 가능합니다. 이는 하드웨어 토큰을 사용하여 인증하는 경우와 같이 인증이 불가능할 수 있는 시나리오에서 특히 유용합니다.

이 경우, tsh의 헤드리스 인증 기능을 사용할 수 있습니다. 이는 원격 머신에서 명령을 인증하기 위해 로컬 tsh 클라이언트를 사용하여 인증할 수 있도록 프롬프트를 제공합니다.

헤드리스 인증을 사용하려면 --headless 플래그를 제공해야 하며, --proxy 및 --user 플래그도 지정해야 합니다:

$ tsh --proxy=example.teleport.sh --user=example --headless svid issue \
  --output . \
  /foo

2단계/2단계. 출력 SVID 사용하기

SVID가 발급되면, 워크로드가 이를 사용하도록 구성할 수 있습니다. 이는 워크로드에 따라 다릅니다.

디스크에 작성되면 SVID는 세 개의 파일로 작성됩니다:

다음 단계

• 워크로드 아이덴티티 개요: Teleport 워크로드 아이덴티티 개요입니다.
• 시작하기: 워크로드 아이덴티티를 위해 Teleport를 구성하는 방법입니다.
• 모범 사례: 프로덕션에서 워크로드 아이덴티티를 사용하는 모범 사례입니다.
• 구성 참조를 읽어 사용 가능한 모든 구성 옵션을 탐색하십시오.