일부 시나리오에서는 Machine ID를 사용하지 않고 SPIFFE SVID를 수동으로 발급하려고 할 수 있습니다. 이는 디버깅 목적으로 서비스를 가장해야 하거나 SPIFFE SVID를 인증에 사용하는 서비스에 인간 액세스를 제공하는 메커니즘을 제공할 수 있는 경우에 유용할 수 있습니다.

이 가이드에서는 tsh 도구를 사용하여 SPIFFE SVID를 발급합니다.

필수 조건

• SPIFFE SVID를 발급할 수 있도록 구성된 역할과 이 역할이 사용자에게 할당되어 있어야 합니다. 자세한 내용은 시작하기를 참조하세요.

• 실행 중인 Teleport 클러스터 버전 17.0.0-dev 이상. Teleport를 시작하려면 가입하여 무료 평가판을 이용하거나 데모 환경 설정 방법을 확인하십시오.

• tctl 관리자 도구와 tsh 클라이언트 도구.

  tctl 및 tsh 다운로드 방법에 대한 지침은 설치를 방문하십시오.

1/2단계. tsh 를 사용하여 SPIFFE SVID 발급하기

먼저 SPIFFE SVID를 작성할 위치를 결정합니다. 디렉토리에 작성하고자 하는 경우, 먼저 해당 디렉토리를 생성해야 합니다. 예를 들어, svid 라는 디렉토리에 SVID를 작성하겠습니다.

다음으로, SVID를 발급할 SPIFFE ID를 결정합니다. 예에서는 /my-svc 경로를 가진 SPIFFE ID가 됩니다.

출력 디렉토리를 지정하기 위해 --out 과 SPIFFE ID 경로를 첫 번째 인수로 사용하여 SVID를 발급합니다:

$ tsh svid issue --out ./svid /my-svc

추가적으로, 플래그를 사용하여 SVID를 더욱 맞춤 설정할 수 있습니다:

원격 호스트에서 SVID 발급을 위한 무헤드 인증 사용하기

일부 시나리오에서는 tsh 를 사용하여 Teleport에 로그인하지 않고 SSH로 접속한 호스트에서 SVID를 발급하고자 할 수 있습니다. 이는 하드웨어 토큰을 사용하여 인증할 때와 같은 경우에 인증이 불가능한 경우에 특히 유용할 수 있습니다.

이 경우, tsh 의 무헤드 인증 기능을 사용할 수 있습니다. 이는 원격 머신에서 로컬 tsh 클라이언트를 사용하여 명령을 인증하기 위한 프롬프트를 제공합니다.

무헤드 인증을 사용하려면 --headless 플래그를 제공하고, --proxy 및 --user 플래그도 지정해야 합니다:

$ tsh --proxy=example.teleport.sh --user=example --headless svid issue \
  --output . \
  /foo

2/2단계. 출력 SVID 사용하기

SVID가 발급된 후, 이를 사용하여 작업 부하를 구성할 수 있습니다. 이는 작업 부하에 따라 달라집니다.

디스크에 작성될 때 SVID는 세 개의 파일로 작성됩니다:

다음 단계

• Workload Identity 개요: Teleport Workload Identity에 대한 개요.
• 시작하기: Workload Identity를 위해 Teleport를 구성하는 방법.
• 최고의 관행: 운영 환경에서 Workload Identity를 사용하는 최고의 관행.
• 모든 사용 가능한 구성 옵션을 탐색하려면 구성 참조를 읽으세요.