스키마

필수

• version (문자열) 버전은 리소스 버전입니다. 반드시 지정해야 합니다. 지원되는 값은: v3 , v4 , v5 , v6 , v7 입니다.

선택 사항

• metadata (속성) 메타데이터는 리소스 메타데이터입니다 (아래의 중첩 스키마를 참조)
• spec (속성) 스펙은 역할 사양입니다 (아래의 중첩 스키마를 참조)
• sub_kind (문자열) SubKind는 일부 리소스에서 사용되는 선택적 리소스 서브 종류입니다.

metadata 에 대한 중첩 스키마

필수:

• name (문자열) 이름은 객체 이름입니다.

선택 사항:

• description (문자열) 설명은 객체 설명입니다.
• expires (문자열) 만료는 시스템의 모든 리소스에 설정될 수 있는 전역 만료 시간 헤더입니다.
• labels (문자열 맵) 라벨은 라벨 집합입니다.

spec 에 대한 중첩 스키마

선택 사항:

• allow (속성) Allow는 액세스를 부여하기 위해 평가되는 조건 집합입니다. (아래의 중첩 스키마를 참조)
• deny (속성) Deny는 액세스를 거부하기 위해 평가되는 조건 집합입니다. Deny는 allow보다 우선합니다. (아래의 중첩 스키마를 참조)
• options (속성) 옵션은 에이전트 전달과 같은 OpenSSH 옵션을 위한 것입니다. (아래의 중첩 스키마를 참조)

spec.allow 에 대한 중첩 스키마

선택 사항:

• account_assignments (속성 목록) AccountAssignments는 이 조건에 영향을 받는 계정 할당 목록을 포함합니다. (아래의 중첩 스키마를 참조)
• app_labels (문자열 목록 맵) AppLabels는 RBAC 시스템의 일부로 사용되는 라벨 맵입니다.
• app_labels_expression (문자열) AppLabelsExpression은 앱에 대한 액세스를 허용/거부하는 데 사용되는 조건식입니다.
• aws_role_arns (문자열 목록) AWSRoleARNs는 이 역할이 수락할 수 있는 AWS 역할 ARN 목록입니다.
• azure_identities (문자열 목록) AzureIdentities는 이 역할이 수락할 수 있는 Azure ID 목록입니다.
• cluster_labels (문자열 목록 맵) ClusterLabels는 클러스터에 대한 액세스를 동적으로 부여하는 데 사용되는 노드 라벨의 맵입니다.
• cluster_labels_expression (문자열) ClusterLabelsExpression은 원격 Teleport 클러스터에 대한 액세스를 허용/거부하는 데 사용되는 조건식입니다.
• db_labels (문자열 목록 맵) DatabaseLabels는 데이터베이스에 대한 액세스를 허용/거부하는 RBAC 시스템에서 사용됩니다.
• db_labels_expression (문자열) DatabaseLabelsExpression은 데이터베이스에 대한 액세스를 허용/거부하는 데 사용되는 조건식입니다.
• db_names (문자열 목록) DatabaseNames는 이 역할이 연결할 수 있는 데이터베이스 이름 목록입니다.
• db_permissions (속성 목록) DatabasePermissions는 자동 데이터베이스 사용자 프로비저닝 시 데이터베이스 사용자에게 부여될 권한 집합을 지정합니다. (아래의 중첩 스키마를 참조)
• db_roles (문자열 목록) DatabaseRoles는 자동 사용자 생성을 위한 데이터베이스 역할 목록입니다.
• db_service_labels (문자열 목록 맵) DatabaseServiceLabels는 데이터베이스 서비스에 대한 액세스를 허용/거부하는 RBAC 시스템에서 사용됩니다.
• db_service_labels_expression (문자열) DatabaseServiceLabelsExpression은 데이터베이스 서비스에 대한 액세스를 허용/거부하는 데 사용되는 조건식입니다.
• db_users (문자열 목록) DatabaseUsers는 이 역할이 연결할 수 있는 데이터베이스 사용자 목록입니다.
• desktop_groups (문자열 목록) DesktopGroups는 생성된 데스크톱 사용자가 추가될 그룹 목록입니다.
• gcp_service_accounts (문자열 목록) GCPServiceAccounts는 이 역할이 수락할 수 있는 GCP 서비스 계정 목록입니다.
• group_labels (문자열 목록 맵) GroupLabels는 RBAC 시스템의 일부로 사용되는 라벨 맵입니다.
• group_labels_expression (문자열) GroupLabelsExpression은 사용자 그룹에 대한 액세스를 허용/거부하는 데 사용되는 조건식입니다.
• host_groups (문자열 목록) HostGroups는 생성된 사용자가 추가될 그룹 목록입니다.
• host_sudoers (문자열 목록) HostSudoers는 사용자 sudoer 파일에 포함할 항목 목록입니다.
• impersonate (속성) Impersonate는 이 역할이 인증서나 다른 방법으로 가장할 수 있는 사용자와 역할을 지정합니다. (아래의 중첩 스키마를 참조)
• join_sessions (속성 목록) JoinSessions는 사용자가 다른 세션에 참여할 수 있도록 허용하는 정책을 지정합니다. (아래의 중첩 스키마를 참조)
• kubernetes_groups (문자열 목록) KubeGroups는 쿠버네티스 그룹의 목록입니다.
• kubernetes_labels (문자열 목록 맵) KubernetesLabels는 RBAC을 위한 쿠버네티스 클러스터 라벨의 맵입니다.
• kubernetes_labels_expression (문자열) KubernetesLabelsExpression은 쿠버네티스 클러스터에 대한 액세스를 허용/거부하는 데 사용되는 조건식입니다.
• kubernetes_resources (속성 목록) KubernetesResources는 이 역할이 액세스를 부여하는 Kubernetes 리소스입니다. (아래의 중첩 스키마를 참조)
• kubernetes_users (문자열 목록) KubeUsers는 가장할 수 있는 선택적 쿠버네티스 사용자입니다.
• logins (문자열 목록) Logins는 *nix 시스템 로그인의 목록입니다.
• node_labels (문자열 목록 맵) NodeLabels는 노드에 대한 액세스를 동적으로 부여하는 데 사용되는 노드 라벨의 맵입니다.
• node_labels_expression (문자열) NodeLabelsExpression은 SSH 노드에 대한 액세스를 허용/거부하는 데 사용되는 조건식입니다.
• request (속성) (아래의 중첩 스키마를 참조)
• require_session_join (속성 목록) RequireSessionJoin은 세션을 시작해야 하는 사용자를 위한 정책을 지정합니다. (아래의 중첩 스키마를 참조)
• review_requests (속성) ReviewRequests는 액세스 검토를 제출하기 위한 조건을 정의합니다. (아래의 중첩 스키마를 참조)
• rules (속성 목록) Rules는 규칙 목록과 해당 액세스 수준입니다. 규칙은 액세스 제어를 위한 고급 구조입니다. (아래의 중첩 스키마를 참조)
• spiffe (속성 목록) SPIFFE는 역할 보유자가 SPIFFE SVID를 생성하는 것을 허용하거나 거부하는 데 사용됩니다. (아래의 중첩 스키마를 참조)
• windows_desktop_labels (문자열 목록 맵) WindowsDesktopLabels는 Windows 데스크탑에 대한 액세스를 허용/거부하는 RBAC 시스템에서 사용됩니다.
• windows_desktop_labels_expression (문자열) WindowsDesktopLabelsExpression은 Windows 데스크탑에 대한 액세스를 허용/거부하는 데 사용되는 조건식입니다.
• windows_desktop_logins (문자열 목록) WindowsDesktopLogins는 Windows 데스크탑에서 허용/거부되는 데스크탑 로그인 이름의 목록입니다.

spec.allow.account_assignments 에 대한 중첩 스키마

선택사항:

• account (문자열)
• permission_set (문자열)

spec.allow.db_permissions 에 대한 중첩 스키마

선택사항:

• match (문자열 목록의 맵) Match는 권한이 부여되기 위해 일치해야 하는 객체 레이블 목록입니다.
• permissions (문자열 목록) Permission은 부여될 권한의 문자열 표현 목록입니다. 예: SELECT, INSERT, UPDATE, ...

spec.allow.impersonate 에 대한 중첩 스키마

선택사항:

• roles (문자열 목록) Roles는 이 역할이 가장할 수 있는 자원의 목록입니다.
• users (문자열 목록) Users는 이 역할이 가장할 수 있는 자원의 목록으로, 빈 목록 또는 와일드카드 패턴일 수 있습니다.
• where (문자열) Where는 선택적인 고급 매처를 지정합니다.

spec.allow.join_sessions 에 대한 중첩 스키마

선택사항:

• kinds (문자열 목록) Kinds는 이 정책이 적용되는 세션 종류입니다.
• modes (문자열 목록) Modes는 이 정책에 대한 허용된 참가자 모드 목록입니다.
• name (문자열) Name은 정책의 이름입니다.
• roles (문자열 목록) Roles는 세션에 조인할 수 있는 역할 목록입니다.

spec.allow.kubernetes_resources 에 대한 중첩 스키마

선택사항:

• kind (문자열) Kind는 Kubernetes 리소스 유형을 지정합니다.
• name (문자열) Name은 리소스 이름입니다. 와일드카드를 지원합니다.
• namespace (문자열) Namespace는 리소스 네임스페이스입니다. 와일드카드를 지원합니다.
• verbs (문자열 목록) Verbs는 다음 리소스에 대한 허용된 Kubernetes 동작입니다.

spec.allow.request 에 대한 중첩 스키마

선택사항:

• annotations (문자열 목록의 맵) Annotations는 생성 시 대기 중인 액세스 요청에 프로그래밍적으로 추가될 주석의 모음입니다. 이러한 주석은 추가 정보를 플러그인으로 전파하는 메커니즘 역할을 합니다. 이러한 주석은 변수 보간 구문을 지원하므로, 외부 ID 공급자로부터 플러그인으로 클레임을 전달하는 메커니즘도 제공합니다. {{external.trait_name}} 스타일 대체를 통해 클레임을 전달할 수 있습니다.
• claims_to_roles (속성 목록) ClaimsToRoles는 클레임(특성)과 텔레포트 역할 간의 매핑을 지정합니다. (중첩 스키마는 아래에서 참조)
• kubernetes_resources (속성 목록) kubernetes_resources는 선택적으로 요청자가 특정 종류의 kube 리소스만 요청하도록 강제할 수 있습니다. 예: 사용자는 "kube_cluster" 리소스 종류 또는 "namespaces"와 같은 서브 리소스에 요청할 수 있습니다. 이 필드는 사용자가 "kube_cluster"를 요청하는 것을 방지하고 그 서브 리소스를 요청하도록 강제할 수 있습니다. (중첩 스키마는 아래에서 참조)
• max_duration (문자열) MaxDuration은 액세스가 부여되는 시간입니다. 이 값이 0이면 기본 지속 시간이 사용됩니다.
• roles (문자열 목록) Roles는 요청 규칙과 일치하는 역할의 이름입니다.
• search_as_roles (문자열 목록) SearchAsRoles는 리소스 액세스 요청의 일환으로 사용자가 리소스를 검색할 때 해당 사용자에게 적용되어야 하는 추가 역할 목록이며, 모든 리소스 액세스 요청의 일환으로 요청할 기본 역할을 정의합니다.
• suggested_reviewers (문자열 목록) SuggestedReviewers는 추천 받을 리뷰어 목록입니다. 이들은 텔레포트 사용자 이름일 수 있지만 필수는 아닙니다.
• thresholds (속성 목록) Thresholds는 리뷰가 상태 전환을 트리거하기 위해 충족해야 하는 임계값 목록입니다. 제공된 임계값이 없으면 승인 및 거부에 대한 기본 임계값 1이 사용됩니다. (중첩 스키마는 아래에서 참조)

spec.allow.request.claims_to_roles 에 대한 중첩 스키마

선택 사항:

• claim (문자열) 클레임은 클레임 이름입니다.
• roles (문자열 목록) 역할은 일치하는 정적 텔레포트 역할 목록입니다.
• value (문자열) 값은 일치해야 하는 클레임 값입니다.

spec.allow.request.kubernetes_resources 에 대한 중첩 스키마

선택 사항:

• kind (문자열) kind는 Kubernetes 리소스 유형을 지정합니다.

spec.allow.request.thresholds 에 대한 중첩 스키마

선택 사항:

• approve (숫자) Approve는 상태 전환에 필요한 일치하는 승인 수입니다.
• deny (숫자) Deny는 상태 전환에 필요한 거부 수입니다.
• filter (문자열) Filter는 이 임계값에 포함되는 리뷰를 결정하는 선택적 프레디케이트입니다.
• name (문자열) Name은 임계값의 선택적 사람이 읽을 수 있는 이름입니다.

spec.allow.require_session_join 에 대한 중첩 스키마

선택 사항:

• count (숫자) Count는 이 정책이 충족되기 위해 일치해야 하는 사람 수입니다.
• filter (문자열) Filter는 이 정책에 포함되는 사용자를 결정하는 프레디케이트입니다.
• kinds (문자열 목록) Kinds는 이 정책에 적용되는 세션 종류입니다.
• modes (문자열 목록) Modes는 이 정책을 충족하는 데 사용할 수 있는 모드 목록입니다.
• name (문자열) Name은 정책의 이름입니다.
• on_leave (문자열) OnLeave는 라이브 세션에 대해 정책이 더 이상 충족되지 않을 때 사용되는 행위입니다.

spec.allow.review_requests 에 대한 중첩 스키마

선택 사항:

• claims_to_roles (속성 목록) ClaimsToRoles는 클레임(특성)에서 텔레포트 역할로의 매핑을 지정합니다. (하단 중첩 스키마 참조)
• preview_as_roles (문자열 목록) PreviewAsRoles는 자원 접근 요청을 검토할 때 검토자가 요청된 자원의 호스트 이름 및 레이블과 같은 세부 정보를 볼 수 있도록 적용해야 하는 추가 역할 목록입니다.
• roles (문자열 목록) Roles는 검토될 수 있는 역할의 이름입니다.
• where (문자열) Where는 검토 가능한 요청을 추가로 제한하는 선택적 프레디케이트입니다.

spec.allow.review_requests.claims_to_roles 에 대한 중첩 스키마

선택 사항:

• claim (문자열) 클레임은 클레임 이름입니다.
• roles (문자열 목록) 역할은 일치하는 정적 텔레포트 역할 목록입니다.
• value (문자열) 값은 일치해야 하는 클레임 값입니다.

spec.allow.rules 에 대한 중첩 스키마

선택 사항:

• actions (문자열 목록) Actions는 이 규칙이 일치할 때 취하는 선택적 작업을 지정합니다.
• resources (문자열 목록) Resources는 리소스 목록입니다.
• verbs (문자열 목록) Verbs는 동사의 목록입니다.
• where (문자열) Where는 선택적 고급 매처를 지정합니다.

spec.allow.spiffe 에 대한 중첩 스키마

선택 사항:

• dns_sans (문자열 목록) DNSSANs는 SPIFFE ID DNS SAN에 대한 매처를 지정합니다. 요청된 각 DNS SAN은 구성된 모든 매처와 비교되며, 일치하면 조건이 충족된 것으로 간주됩니다. 기본적으로 '_'를 사용하여 모든 문자의 0개 이상을 나타낼 수 있습니다. '^'를 앞에 붙이고 '$'를 뒤에붙여 Go 정규 표현식 구문을 사용하여 매칭하도록 전환할 수 있습니다. 예: _.example.com은 foo.example.com과 일치합니다.
• ip_sans (문자열 목록) IPSANs는 SPIFFE ID IP SAN에 대한 매처를 지정합니다. 요청된 각 IP SAN은 구성된 모든 매처와 비교되며, 일치하면 조건이 충족된 것으로 간주됩니다. 매처는 CIDR 표기법을 사용하여 지정해야 하며, IPv4 및 IPv6를 지원합니다. 예: - 10.0.0.0/24는 10.0.0.0에서 10.255.255.255까지 일치합니다. - 10.0.0.42/32는 10.0.0.42만 일치합니다.
• path (문자열) Path는 SPIFFE ID 경로에 대한 매처를 지정합니다. 신뢰 도메인은 포함하지 않아야 하며, 선행 슬래시로 시작해야 합니다. 기본적으로 ''를 사용하여 모든 문자의 0개 이상을 나타낼 수 있습니다. '^'를 앞에 붙이고 '$'를 뒤에 붙여 Go 정규 표현식 구문을 사용하여 매칭하도록 전환할 수 있습니다. 예: - /svc/foo//bar는 /svc/foo/baz/bar와 일치합니다. - ^/svc/foo/.*/bar$는 /svc/foo/baz/bar와 일치합니다.

spec.deny 에 대한 중첩 스키마

선택 사항:

• account_assignments (속성 목록) AccountAssignments는 이 조건에 영향을 받는 계정 할당 목록을 보유합니다. (중첩 스키마에 대한 설명은 아래를 참조하세요)
• app_labels (문자열 목록의 맵) AppLabels는 RBAC 시스템의 일부로 사용되는 레이블의 맵입니다.
• app_labels_expression (문자열) AppLabelsExpression은 앱에 대한 접근을 허용/거부하는 데 사용되는 조건식입니다.
• aws_role_arns (문자열 목록) AWSRoleARNs는 이 역할이 맡을 수 있는 AWS 역할 ARN의 목록입니다.
• azure_identities (문자열 목록) AzureIdentities는 이 역할이 맡을 수 있는 Azure ID 목록입니다.
• cluster_labels (문자열 목록의 맵) ClusterLabels는 클러스터에 대한 접근을 동적으로 부여하는 데 사용되는 노드 레이블의 맵입니다.
• cluster_labels_expression (문자열) ClusterLabelsExpression은 원격 Teleport 클러스터에 대한 접근을 허용/거부하는 데 사용되는 조건식입니다.
• db_labels (문자열 목록의 맵) DatabaseLabels는 데이터베이스 접근을 허용/거부하기 위해 RBAC 시스템에서 사용됩니다.
• db_labels_expression (문자열) DatabaseLabelsExpression은 데이터베이스에 대한 접근을 허용/거부하는 데 사용되는 조건식입니다.
• db_names (문자열 목록) DatabaseNames는 이 역할이 연결할 수 있는 데이터베이스 이름의 목록입니다.
• db_permissions (속성 목록) DatabasePermissions는 자동 데이터베이스 사용자 프로비저닝을 사용할 때 데이터베이스 사용자에게 부여될 권한 집합을 지정합니다. (중첩 스키마에 대한 설명은 아래를 참조하세요)
• db_roles (문자열 목록) DatabaseRoles는 자동 사용자 생성을 위한 데이터베이스 역할의 목록입니다.
• db_service_labels (문자열 목록의 맵) DatabaseServiceLabels는 데이터베이스 서비스에 대한 접근을 허용/거부하기 위해 RBAC 시스템에서 사용됩니다.
• db_service_labels_expression (문자열) DatabaseServiceLabelsExpression은 데이터베이스 서비스에 대한 접근을 허용/거부하는 데 사용되는 조건식입니다.
• db_users (문자열 목록) DatabaseUsers는 이 역할이 연결할 수 있는 데이터베이스 사용자의 목록입니다.
• desktop_groups (문자열 목록) DesktopGroups는 생성된 데스크탑 사용자가 추가될 그룹의 목록입니다.
• gcp_service_accounts (문자열 목록) GCPServiceAccounts는 이 역할이 맡을 수 있는 GCP 서비스 계정의 목록입니다.
• group_labels (문자열 목록의 맵) GroupLabels는 RBAC 시스템의 일부로 사용되는 레이블의 맵입니다.
• group_labels_expression (문자열) GroupLabelsExpression은 사용자 그룹에 대한 접근을 허용/거부하는 데 사용되는 조건식입니다.
• host_groups (문자열 목록) HostGroups는 생성된 사용자가 추가될 그룹의 목록입니다.
• host_sudoers (문자열 목록) HostSudoers는 사용자의 sudoer 파일에 포함될 항목 목록입니다.
• impersonate (속성) Impersonate는 이 역할이 인증서 또는 기타 가능한 방법을 통해 어떤 사용자와 역할을 가장할 수 있는지를 지정합니다. (중첩 스키마에 대한 설명은 아래를 참조하세요)
• join_sessions (속성 목록) JoinSessions는 사용자가 다른 세션에 조인할 수 있도록 허용하는 정책을 지정합니다. (중첩 스키마에 대한 설명은 아래를 참조하세요)
• kubernetes_groups (문자열 목록) KubeGroups는 Kubernetes 그룹의 목록입니다.
• kubernetes_labels (문자열 목록의 맵) KubernetesLabels는 RBAC에 사용되는 Kubernetes 클러스터 레이블의 맵입니다.
• kubernetes_labels_expression (문자열) KubernetesLabelsExpression은 Kubernetes 클러스터에 대한 접근을 허용/거부하는 데 사용되는 조건식입니다.
• kubernetes_resources (속성 목록) KubernetesResources는 이 역할이 접근할 수 있는 Kubernetes 리소스입니다. (중첩 스키마에 대한 설명은 아래를 참조하세요)
• kubernetes_users (문자열 목록) KubeUsers는 가장할 수 있는 선택적 Kubernetes 사용자입니다.
• logins (문자열 목록) Logins는 *nix 시스템 로그인 목록입니다.
• node_labels (문자열 목록의 맵) NodeLabels는 노드에 대한 접근을 동적으로 부여하는 데 사용되는 노드 레이블의 맵입니다.
• node_labels_expression (문자열) NodeLabelsExpression은 SSH 노드에 대한 접근을 허용/거부하는 데 사용되는 조건식입니다.
• request (속성) (중첩 스키마에 대한 설명은 아래를 참조하세요)
• require_session_join (속성 목록) RequireSessionJoin는 세션을 시작하기 위해 요구되는 사용자에 대한 정책을 지정합니다. (중첩 스키마에 대한 설명은 아래를 참조하세요)
• review_requests (속성) ReviewRequests는 접근 리뷰를 제출하기 위한 조건을 정의합니다. (중첩 스키마에 대한 설명은 아래를 참조하세요)
• rules (속성 목록) Rules는 규칙과 그 접근 수준의 목록입니다. Rules는 접근 제어를 위한 고수준 구조입니다. (중첩 스키마에 대한 설명은 아래를 참조하세요)
• spiffe (속성 목록) SPIFFE는 역할 소유자가 SPIFFE SVID를 생성할 수 있도록 허용하거나 거부하는 데 사용됩니다. (중첩 스키마에 대한 설명은 아래를 참조하세요)
• windows_desktop_labels (문자열 목록의 맵) WindowsDesktopLabels는 Windows 데스크탑에 대한 접근을 허용/거부하는 데 사용되는 RBAC 시스템입니다.
• windows_desktop_labels_expression (문자열) WindowsDesktopLabelsExpression은 Windows 데스크탑에 대한 접근을 허용/거부하는 데 사용되는 조건식입니다.
• windows_desktop_logins (문자열 목록) WindowsDesktopLogins는 Windows 데스크탑에 허용/거부되는 데스크탑 로그인 이름의 목록입니다.

spec.deny.account_assignments 에 대한 중첩 스키마

선택 사항:

• account (문자열)
• permission_set (문자열)

spec.deny.db_permissions 에 대한 중첩 스키마

선택 사항:

• match (문자열 목록의 맵) 매치는 권한이 부여되기 위해 일치해야 하는 객체 레이블 목록입니다.
• permissions (문자열 목록) 권한은 부여될 권한의 문자열 표현 목록입니다. 예: SELECT, INSERT, UPDATE, ...

spec.deny.impersonate 에 대한 중첩 스키마

선택 사항:

• roles (문자열 목록) 역할은 이 역할이 가장하게 할 수 있는 리소스 목록입니다.
• users (문자열 목록) 사용자는 이 역할이 가장하게 할 수 있는 리소스의 목록으로, 비어 있는 목록이거나 와일드카드 패턴일 수 있습니다.
• where (문자열) 위치는 선택적 고급 일치자를 지정합니다.

spec.deny.join_sessions 에 대한 중첩 스키마

선택 사항:

• kinds (문자열 목록) 종류는 이 정책이 적용되는 세션 종류입니다.
• modes (문자열 목록) 모드는 이 정책에 허용된 참가자 모드 목록입니다.
• name (문자열) 이름은 정책의 이름입니다.
• roles (문자열 목록) 역할은 세션에 참여할 수 있는 역할 목록입니다.

spec.deny.kubernetes_resources 에 대한 중첩 스키마

선택 사항:

• kind (문자열) 종류는 Kubernetes 리소스 유형을 지정합니다.
• name (문자열) 이름은 리소스 이름입니다. 와일드카드를 지원합니다.
• namespace (문자열) 네임스페이스는 리소스 네임스페이스입니다. 와일드카드를 지원합니다.
• verbs (문자열 목록) 동사는 다음 리소스에 대한 허용된 Kubernetes 동사입니다.

spec.deny.request 에 대한 중첩 스키마

선택 사항:

• annotations (문자열 목록의 맵) 주석은 생성 시 대기 중인 액세스 요청에 프로그래밍 방식으로 추가될 주석 모음입니다. 이러한 주석은 추가 정보를 플러그인에 전달하는 메커니즘으로 작용합니다. 이러한 주석은 변수 보간 구문을 지원하므로, 외부 ID 공급자에서 플러그인으로 {{external.trait_name}} 스타일 치환을 통해 클레임을 전달하는 메커니즘도 제공합니다.
• claims_to_roles (속성 목록) ClaimsToRoles는 클레임(특성)에서 텔레포트 역할로의 매핑을 지정합니다. (중첩 스키마에 대한 자세한 내용은 아래 참조)
• kubernetes_resources (속성 목록) kubernetes_resources는 선택적으로 요청자가 특정 종류의 kube 리소스만 요청하도록 강제할 수 있습니다. 예: 사용자는 "kube_cluster" 리소스 종류나 "namespaces"와 같은 하위 리소스에 대한 요청을 할 수 있습니다. 이 필드는 사용자가 "kube_cluster"를 요청하는 것을 방지하고 그 하위 리소스 중 하나를 요청하도록 강제할 수 있도록 정의할 수 있습니다. (중첩 스키마에 대한 자세한 내용은 아래 참조)
• max_duration (문자열) MaxDuration은 액세스가 부여될 시간의 양입니다. 이 값이 0이면 기본 지속 시간이 사용됩니다.
• roles (문자열 목록) 역할은 요청 규칙과 일치하는 역할의 이름입니다.
• search_as_roles (문자열 목록) SearchAsRoles는 사용자가 리소스 액세스 요청의 일환으로 리소스를 검색할 때 적용해야 하는 추가 역할 목록으로, 모든 리소스 액세스 요청의 일환으로 요청될 기본 역할을 정의합니다.
• suggested_reviewers (문자열 목록) SuggestedReviewers는 리뷰어 제안 목록입니다. 텔레포트 사용자 이름이 될 수 있지만 필수는 아닙니다.
• thresholds (속성 목록) Thresholds는 상태 전환을 트리거하기 위해 충족해야 하는 임계값 목록입니다. 임계값이 제공되지 않으면 승인과 거부에 대한 기본 임계값 1이 사용됩니다. (중첩 스키마에 대한 자세한 내용은 아래 참조)

spec.deny.request.claims_to_roles 에 대한 중첩 스키마

선택 사항:

• claim (문자열) Claim은 클레임 이름입니다.
• roles (문자열 목록) Roles는 일치하는 정적 teleport 역할의 목록입니다.
• value (문자열) Value는 일치하는 클레임 값입니다.

spec.deny.request.kubernetes_resources 에 대한 중첩 스키마

선택 사항:

• kind (문자열) kind는 Kubernetes 리소스 유형을 지정합니다.

spec.deny.request.thresholds 에 대한 중첩 스키마

선택 사항:

• approve (숫자) Approve는 상태 전환에 필요한 일치하는 승인 수입니다.
• deny (숫자) Deny는 상태 전환에 필요한 거부 수입니다.
• filter (문자열) Filter는 이 기준에 포함될 리뷰를 결정하는 선택적 술어입니다.
• name (문자열) Name은 기준의 선택적 사람이 읽을 수 있는 이름입니다.

spec.deny.require_session_join 에 대한 중첩 스키마

선택 사항:

• count (숫자) Count는 이 정책을 이행하기 위해 일치해야 하는 사람 수입니다.
• filter (문자열) Filter는 이 정책에 포함되는 사용자를 결정하는 술어입니다.
• kinds (문자열 목록) Kinds는 이 정책이 적용되는 세션 종류입니다.
• modes (문자열 목록) Modes는 이 정책을 이행하기 위해 사용할 수 있는 모드의 목록입니다.
• name (문자열) Name은 정책의 이름입니다.
• on_leave (문자열) OnLeave는 라이브 세션에 대해 정책이 더 이상 이행되지 않을 때의 동작입니다.

spec.deny.review_requests 에 대한 중첩 스키마

선택 사항:

• claims_to_roles (속성 목록) ClaimsToRoles는 클레임(특성)에서 teleport 역할에 대한 매핑을 지정합니다. (중첩 스키마는 아래 참조)
• preview_as_roles (문자열 목록) PreviewAsRoles는 자원 접근 요청을 검토하는 동안 검토자에게 적용되는 추가 역할 목록입니다.
• roles (문자열 목록) Roles는 검토할 수 있는 역할의 이름입니다.
• where (문자열) Where는 검토할 수 있는 요청을 추가로 제한하는 선택적 술어입니다.

spec.deny.review_requests.claims_to_roles 에 대한 중첩 스키마

선택 사항:

• claim (문자열) Claim은 클레임 이름입니다.
• roles (문자열 목록) Roles는 일치하는 정적 teleport 역할의 목록입니다.
• value (문자열) Value는 일치하는 클레임 값입니다.

spec.deny.rules 에 대한 중첩 스키마

선택 사항:

• actions (문자열 목록) Actions는 이 규칙이 일치할 때 취해지는 선택적 작업을 지정합니다.
• resources (문자열 목록) Resources는 리소스 목록입니다.
• verbs (문자열 목록) Verbs는 동사의 목록입니다.
• where (문자열) Where는 선택적 고급 매처를 지정합니다.

spec.deny.spiffe 에 대한 중첩 스키마

선택 사항:

• dns_sans (문자열 목록) DNSSANs는 SPIFFE ID DNS SAN의 매처를 지정합니다. 요청된 DNS SAN은 구성된 모든 매처와 비교되며 일치하는 것이 있으면 조건이 충족된 것으로 간주됩니다. 기본적으로 '_'를 사용하여 0개 이상의 모든 문자를 나타낼 수 있도록 허용합니다. '^'로 시작하고 '$'로 끝내면 Go 정규 표현식 구문을 사용하여 일치하도록 전환할 수 있습니다. 예: _.example.com은 foo.example.com과 일치합니다.
• ip_sans (문자열 목록) IPSANs는 SPIFFE ID IP SAN의 매처를 지정합니다. 요청된 IP SAN은 구성된 모든 매처와 비교되며 일치하는 것이 있으면 조건이 충족된 것으로 간주됩니다. 매처는 CIDR 표기법을 사용하여 지정되어야 하며 IPv4 및 IPv6를 지원합니다. 예: - 10.0.0.0/24는 10.0.0.0에서 10.255.255.255까지 일치합니다. - 10.0.0.42/32는 오직 10.0.0.42와만 일치합니다.
• path (문자열) Path는 SPIFFE ID 경로에 대한 매처를 지정합니다. 신뢰 도메인을 포함하지 않아야 하며 선행 슬래시로 시작해야 합니다. 기본적으로 ''를 사용하여 0개 이상의 모든 문자를 나타낼 수 있도록 허용합니다. '^'로 시작하고 '$'로 끝내면 Go 정규 표현식 구문을 사용하여 일치하도록 전환할 수 있습니다. 예: - /svc/foo//bar는 /svc/foo/baz/bar와 일치합니다. - ^/svc/foo/.*/bar$는 /svc/foo/baz/bar와 일치합니다.

spec.options 에 대한 중첩 스키마

선택적:

• cert_extensions (속성 목록) CertExtensions는 키/값을 지정합니다 (중첩 스키마에 대한 내용은 아래를 참조하세요).
• cert_format (문자열) CertificateFormat는 사용자의 인증서 형식을 정의하여 구버전 OpenSSH와의 호환성을 허용합니다.
• client_idle_timeout (문자열) ClientIdleTimeout은 유휴 시간 초과 동작에 따라 유휴 클라이언트를 연결 해제하는 설정을 하며, 0으로 설정하면 연결 해제를 하지 않으며, 그 이외의 값은 유휴 기간을 설정합니다.
• create_db_user (부울) CreateDatabaseUser는 자동 데이터베이스 사용자 생성을 활성화합니다.
• create_db_user_mode (숫자) CreateDatabaseUserMode는 꺼지지 않은 경우 데이터베이스에서 사용자를 자동으로 생성할 수 있도록 합니다. 0은 "지정되지 않음", 1은 "꺼짐", 2는 "유지", 3은 "최선 노력으로 삭제"입니다.
• create_desktop_user (부울) CreateDesktopUser는 Windows 데스크톱에서 사용자를 자동으로 생성할 수 있도록 합니다.
• create_host_user (부울) 사용 중단: 대신 CreateHostUserMode를 사용하세요.
• create_host_user_default_shell (문자열) CreateHostUserDefaultShell은 새로 프로비저닝된 호스트 사용자의 기본 셸을 구성하는 데 사용됩니다.
• create_host_user_mode (숫자) CreateHostUserMode는 꺼지지 않은 경우 호스트에서 사용자를 자동으로 생성할 수 있도록 합니다. 0은 "지정되지 않음"; 1은 "꺼짐"; 2는 "삭제"(v15 이상에서는 제거됨), 3은 "유지"; 4는 "불안전 삭제"입니다.
• desktop_clipboard (부울) DesktopClipboard는 사용자의 워크스테이션과 원격 데스크톱 간의 클립보드 공유가 허용되는지 여부를 나타냅니다. 명시적으로 false로 설정되지 않는 한 기본값은 true입니다.
• desktop_directory_sharing (부울) DesktopDirectorySharing은 사용자의 워크스테이션과 원격 데스크톱 간의 디렉터리 공유가 허용되는지 여부를 나타냅니다. 명시적으로 true로 설정되지 않는 한 기본값은 false입니다.
• device_trust_mode (문자열) DeviceTrustMode는 역할과 관련된 리소스에 사용되는 장치 승인 모드입니다. DeviceTrust.Mode를 참조하세요.
• disconnect_expired_cert (부울) DisconnectExpiredCert는 만료된 인증서에서 클라이언트를 연결 해제하는 설정을 합니다.
• enhanced_recording (문자열 목록) BPF는 BPF 기반 세션 레코더에서 기록할 이벤트를 정의합니다.
• forward_agent (부울) ForwardAgent는 SSH 에이전트 전달을 나타냅니다.
• idp (속성) IDP는 Teleport 내에서 IdP에 접근할 때 관련된 옵션 집합입니다. Teleport Enterprise가 필요합니다. (중첩 스키마에 대한 내용은 아래를 참조하세요).
• lock (문자열) Lock은 역할에 적용할 잠금 모드(엄격|최선 노력)를 지정합니다.
• max_connections (숫자) MaxConnections는 사용자가 유지할 수 있는 최대 동시 연결 수를 정의합니다.
• max_kubernetes_connections (숫자) MaxKubernetesConnections는 사용자가 유지할 수 있는 최대 동시 Kubernetes 세션 수를 정의합니다.
• max_session_ttl (문자열) MaxSessionTTL은 SSH 세션이 지속될 수 있는 시간을 정의합니다.
• max_sessions (숫자) MaxSessions는 연결당 최대 동시 세션 수를 정의합니다.
• mfa_verification_interval (문자열) MFAVerificationInterval은 연속 MFA 확인 간 경과할 수 있는 최대 기간을 선택적으로 정의합니다. 이 변수는 사용자가 주기적으로 신원을 확인하라는 메시지를 표시하도록 하여 재인증 없이 긴 세션을 방지하는 보안을 강화하는 데 사용됩니다. 세션에서 MFA가 필요한 경우에만 효과적입니다. 설정되지 않은 경우 기본값은 max_session_ttl 입니다.
• permit_x11_forwarding (부울) PermitX11Forwarding은 X11 전달 사용을 허가합니다.
• pin_source_ip (부울) PinSourceIP는 인증서 생성 및 사용을 위해 동일한 클라이언트 IP를 강제합니다.
• port_forwarding (부울) PortForwarding은 인증서에 "permit-port-forwarding"이 포함될지 정의합니다. 설정되지 않은 경우 PortForwarding은 "yes"입니다. 이 점이 포인터입니다.
• record_session (속성) RecordDesktopSession은 데스크톱 액세스 세션을 기록해야 하는지 여부를 나타냅니다. 명시적으로 false로 설정되지 않는 한 기본값은 true입니다. (중첩 스키마에 대한 내용은 아래를 참조하세요).
• request_access (문자열) RequestAccess는 요청 전략(선택적|알림|항상)을 정의하며, 선택적이 기본값입니다.
• request_prompt (문자열) RequestPrompt는 사용자가 요청해야 하는 내용을 알리는 선택적 메시지입니다.
• require_session_mfa (숫자) RequireMFAType은 이 사용자에게 적용되는 MFA 요구 유형입니다. 0은 "꺼짐", 1은 "세션", 2는 "세션 및 하드웨어 키", 3은 "하드웨어 키 터치", 4는 "하드웨어 키 PIN", 5는 "하드웨어 키 터치 및 PIN"입니다.
• ssh_file_copy (부울) SSHFileCopy는 SSH 세션을 통해 SCP 또는 SFTP를 통한 원격 파일 작업이 허용되는지 여부를 나타냅니다. 명시적으로 false로 설정되지 않는 한 기본값은 true입니다.

spec.options.cert_extensions 에 대한 중첩 스키마

선택 사항:

• mode (Number) 모드는 사용될 확장의 유형입니다 -- 현재 critical-option은 지원되지 않습니다. 0은 "extension"입니다.
• name (String) 이름은 인증서 확장에서 사용될 키를 지정합니다.
• type (Number) 유형은 확장되는 인증서의 유형을 나타내며, 현재 ssh만 지원됩니다. 0은 "ssh"입니다.
• value (String) 값은 인증서 확장에서 사용될 값을 지정합니다.

spec.options.idp 에 대한 중첩 스키마

선택 사항:

• saml (Attributes) SAML은 Teleport SAML IdP와 관련된 옵션입니다. (아래의 중첩 스키마를 참조하세요)

spec.options.idp.saml 에 대한 중첩 스키마

선택 사항:

• enabled (Boolean) 활성화는 이 옵션이 Teleport SAML IdP에 대한 접근을 허용하는 경우 true로 설정됩니다.

spec.options.record_session 에 대한 중첩 스키마

선택 사항:

• default (String) 기본값은 서비스에 대한 기본값을 나타냅니다.
• desktop (Boolean) 데스크탑은 데스크탑 세션을 기록해야 하는지를 나타냅니다. 명시적으로 false로 설정되지 않는 한 기본값은 true입니다.
• ssh (String) SSH는 SSH 세션에서 사용되는 세션 모드를 나타냅니다.