Infograb logo
텔레포트 역할 Terraform 데이터 소스에 대한 참고 문서

스키마

필수

  • version (문자열) 버전은 리소스 버전입니다. 반드시 지정해야 합니다. 지원되는 값: v3, v4, v5, v6, v7.

선택 사항

  • metadata (속성) 메타데이터는 리소스 메타데이터입니다 (아래의 중첩 스키마를 참조하세요)
  • spec (속성) 스펙은 역할 사양입니다 (아래의 중첩 스키마를 참조하세요)
  • sub_kind (문자열) SubKind는 일부 리소스에서 사용되는 선택적 리소스 하위 유형입니다.

metadata에 대한 중첩 스키마

필수:

  • name (문자열) 이름은 객체 이름입니다.

선택 사항:

  • description (문자열) 설명은 객체 설명입니다.
  • expires (문자열) 만료는 시스템의 모든 리소스에 대해 설정할 수 있는 전역 만료 시간 헤더입니다.
  • labels (문자열 맵) 레이블은 레이블 집합입니다.

spec에 대한 중첩 스키마

선택 사항:

  • allow (속성) Allow는 액세스를 허용하기 위해 평가되는 조건 집합입니다. (아래의 중첩 스키마를 참조하세요)
  • deny (속성) Deny는 액세스를 거부하기 위해 평가되는 조건 집합입니다. Deny는 allow보다 우선합니다. (아래의 중첩 스키마를 참조하세요)
  • options (속성) Options는 에이전트 포워딩과 같은 OpenSSH 옵션입니다. (아래의 중첩 스키마를 참조하세요)

spec.allow에 대한 중첩 스키마

선택 사항:

  • app_labels (문자열 목록의 맵)
  • app_labels_expression (문자열) AppLabelsExpression은 앱에 대한 액세스를 허용/거부하는 데 사용되는 조건식입니다.
  • aws_role_arns (문자열 목록) AWSRoleARNs는 이 역할이 가정할 수 있는 AWS 역할 ARN의 목록입니다.
  • azure_identities (문자열 목록) AzureIdentities는 이 역할이 가정할 수 있는 Azure ID의 목록입니다.
  • cluster_labels (문자열 목록의 맵)
  • cluster_labels_expression (문자열) ClusterLabelsExpression은 원격 Teleport 클러스터에 대한 액세스를 허용/거부하는 데 사용되는 조건식입니다.
  • db_labels (문자열 목록의 맵)
  • db_labels_expression (문자열) DatabaseLabelsExpression은 데이터베이스에 대한 액세스를 허용/거부하는 데 사용되는 조건식입니다.
  • db_names (문자열 목록) DatabaseNames는 이 역할이 연결할 수 있는 데이터베이스 이름의 목록입니다.
  • db_permissions (속성 목록) DatabasePermissions는 자동 데이터베이스 사용자 프로비저닝을 사용할 때 데이터베이스 사용자에게 부여될 권한 집합을 지정합니다. (아래의 중첩 스키마를 참조하세요)
  • db_roles (문자열 목록) DatabaseRoles는 자동 사용자 생성을 위한 데이터베이스 역할의 목록입니다.
  • db_service_labels (문자열 목록의 맵)
  • db_service_labels_expression (문자열) DatabaseServiceLabelsExpression은 데이터베이스 서비스에 대한 액세스를 허용/거부하는 데 사용되는 조건식입니다.
  • db_users (문자열 목록) DatabaseUsers는 이 역할이 연결할 수 있는 데이터베이스 사용자 목록입니다.
  • desktop_groups (문자열 목록) DesktopGroups는 생성된 데스크탑 사용자가 추가될 그룹의 목록입니다.
  • gcp_service_accounts (문자열 목록) GCPServiceAccounts는 이 역할이 가정할 수 있는 GCP 서비스 계정 목록입니다.
  • group_labels (문자열 목록의 맵)
  • group_labels_expression (문자열) GroupLabelsExpression은 사용자 그룹에 대한 액세스를 허용/거부하는 데 사용되는 조건식입니다.
  • host_groups (문자열 목록) HostGroups는 생성된 사용자가 추가될 그룹의 목록입니다.
  • host_sudoers (문자열 목록) HostSudoers는 사용자 sudoer 파일에 포함될 항목의 목록입니다.
  • impersonate (속성) Impersonate는 이 역할이 인증서 또는 다른 가능한 수단을 통해 가장할 수 있는 사용자 및 역할을 지정합니다. (아래의 중첩 스키마를 참조하세요)
  • join_sessions (속성 목록) JoinSessions는 사용자가 다른 세션에 참여할 수 있도록 허용하는 정책을 지정합니다. (아래의 중첩 스키마를 참조하세요)
  • kubernetes_groups (문자열 목록) KubeGroups는 쿠버네티스 그룹의 목록입니다.
  • kubernetes_labels (문자열 목록의 맵)
  • kubernetes_labels_expression (문자열) KubernetesLabelsExpression은 쿠버네티스 클러스터에 대한 액세스를 허용/거부하는 데 사용되는 조건식입니다.
  • kubernetes_resources (속성 목록) KubernetesResources는 이 역할이 액세스를 부여하는 Kubernetes 리소스입니다. (아래의 중첩 스키마를 참조하세요)
  • kubernetes_users (문자열 목록) KubeUsers는 가장할 수 있는 선택적 쿠버네티스 사용자입니다.
  • logins (문자열 목록) Logins는 *nix 시스템 로그인 목록입니다.
  • node_labels (문자열 목록의 맵)
  • node_labels_expression (문자열) NodeLabelsExpression은 SSH 노드에 대한 액세스를 허용/거부하는 데 사용되는 조건식입니다.
  • request (속성) (아래의 중첩 스키마를 참조하세요)
  • require_session_join (속성 목록) RequireSessionJoin은 세션 시작 시 필요한 사용자를 지정하는 정책입니다. (아래의 중첩 스키마를 참조하세요)
  • review_requests (속성) ReviewRequests는 액세스 검토를 제출하기 위한 조건을 정의합니다. (아래의 중첩 스키마를 참조하세요)
  • rules (속성 목록) Rules는 규칙 및 액세스 수준 목록입니다. 규칙은 액세스 제어에 사용되는 고수준 구조입니다. (아래의 중첩 스키마를 참조하세요)
  • spiffe (속성 목록) SPIFFE는 역할 보유자가 SPIFFE SVID를 생성하는 액세스를 허용하거나 거부하는 데 사용됩니다. (아래의 중첩 스키마를 참조하세요)
  • windows_desktop_labels (문자열 목록의 맵)
  • windows_desktop_labels_expression (문자열) WindowsDesktopLabelsExpression은 윈도우 데스크탑에 대한 액세스를 허용/거부하는 데 사용되는 조건식입니다.
  • windows_desktop_logins (문자열 목록) WindowsDesktopLogins는 윈도우 데스크탑에서 허용/거부되는 데스크탑 로그인 이름의 목록입니다.

spec.allow.db_permissions에 대한 중첩 스키마

선택 사항:

  • match (문자열 목록의 맵)
  • permissions (문자열 목록) Permission은 부여될 권한의 문자열 표현 목록입니다. 예: SELECT, INSERT, UPDATE, ...

spec.allow.impersonate에 대한 중첩 스키마

선택 사항:

  • roles (문자열 목록) Roles는 이 역할이 가장할 수 있는 리소스의 목록입니다.
  • users (문자열 목록) Users는 이 역할이 가장할 수 있는 리소스의 목록입니다. 빈 목록일 수도 있고 와일드카드 패턴일 수도 있습니다.
  • where (문자열) Where는 선택적 고급 매처를 지정합니다.

spec.allow.join_sessions에 대한 중첩 스키마

선택 사항:

  • kinds (문자열 목록) Kinds는 이 정책이 적용되는 세션 종류입니다.
  • modes (문자열 목록) Modes는 이 정책에 대한 허용된 참가자 모드 목록입니다.
  • name (문자열) Name은 정책의 이름입니다.
  • roles (문자열 목록) Roles는 사용자가 세션에 참가할 수 있는 역할 목록입니다.

spec.allow.kubernetes_resources에 대한 중첩 스키마

선택 사항:

  • kind (문자열) Kind는 쿠버네티스 리소스 유형을 지정합니다. 현재는 "pod"만 지원됩니다.
  • name (문자열) Name은 리소스 이름입니다. 와일드카드를 지원합니다.
  • namespace (문자열) Namespace는 리소스 네임스페이스입니다. 와일드카드를 지원합니다.
  • verbs (문자열 목록) Verbs는 다음 리소스에 대한 허용된 쿠버네티스 동사입니다.

spec.allow.request에 대한 중첩 스키마

선택 사항:

  • annotations (문자열 목록의 맵)
  • claims_to_roles (속성 목록) ClaimsToRoles는 주장(특성)에서 텔레포트 역할로의 매핑을 지정합니다. (아래의 중첩 스키마를 참조하세요)
  • max_duration (문자열) MaxDuration은 액세스가 부여될 시간의 양입니다. 만약 이 값이 0이면 기본 기간이 사용됩니다.
  • roles (문자열 목록) Roles는 요청 규칙과 일치하는 역할의 이름입니다.
  • search_as_roles (문자열 목록) SearchAsRoles는 리소스 액세스 요청의 일환으로 사용자가 리소스를 검색하는 동안 적용되어야 하는 추가 역할 목록입니다. 이는 모든 리소스 액세스 요청의 일환으로 요청될 기본 역할을 정의합니다.
  • suggested_reviewers (문자열 목록) SuggestedReviewers는 검토자 제안 목록입니다. 이들은 텔레포트 사용자 이름일 수 있지만 요구 사항은 아닙니다.
  • thresholds (속성 목록) Thresholds는 리뷰가 상태 전환을 촉발하기 위해 충족해야 하는 임계값 목록입니다. 임계값이 제공되지 않으면 승인 및 거부에 대해 기본 1로 설정됩니다. (아래의 중첩 스키마를 참조하세요)

spec.allow.request.claims_to_roles에 대한 중첩 스키마

선택 사항:

  • claim (문자열) Claim은 주장 이름입니다.
  • roles (문자열 목록) Roles는 일치할 정적 텔레포트 역할 목록입니다.
  • value (문자열) Value는 일치할 주장 값입니다.

spec.allow.request.thresholds에 대한 중첩 스키마

선택 사항:

  • approve (숫자) Approve는 상태 전환에 필요한 일치하는 허가 수입니다.
  • deny (숫자) Deny는 상태 전환에 필요한 거부 수입니다.
  • filter (문자열) Filter는 이 임계값에 영향을 미치는 리뷰를 결정하는 데 사용되는 선택적 조건입니다.
  • name (문자열) Name은 임계값의 선택적 읽기 쉬운 이름입니다.

spec.allow.require_session_join에 대한 중첩 스키마

선택 사항:

  • count (숫자) Count는 이 정책이 충족되기 위해 일치해야 하는 사람 수입니다.
  • filter (문자열) Filter는 이 정책에 맞는 사용자를 결정하는 조건입니다.
  • kinds (문자열 목록) Kinds는 이 정책이 적용되는 세션 종류입니다.
  • modes (문자열 목록) Modes는 이 정책을 충족하는 데 사용할 수 있는 모드 목록입니다.
  • name (문자열) Name은 정책의 이름입니다.
  • on_leave (문자열) OnLeave는 라이브 세션의 정책이 더 이상 충족되지 않을 때의 동작입니다.

spec.allow.review_requests에 대한 중첩 스키마

선택 사항:

  • claims_to_roles (속성 목록) ClaimsToRoles는 주장(특성)에서 텔레포트 역할로의 매핑을 지정합니다. (아래의 중첩 스키마를 참조하세요)
  • preview_as_roles (문자열 목록) PreviewAsRoles는 검토자가 리소스 액세스 요청을 검토하는 동안 요청된 리소스의 호스트 이름 및 레이블과 같은 세부사항을 보기 위해 적용해야 하는 추가 역할 목록입니다.
  • roles (문자열 목록) Roles는 검토할 수 있는 역할의 이름입니다.
  • where (문자열) Where는 어떤 요청이 검토될 수 있는지를 더 제한하는 선택적 조건입니다.

spec.allow.review_requests.claims_to_roles에 대한 중첩 스키마

선택 사항:

  • claim (문자열) Claim은 주장 이름입니다.
  • roles (문자열 목록) Roles는 일치할 정적 텔레포트 역할 목록입니다.
  • value (문자열) Value는 일치할 주장 값입니다.

spec.allow.rules에 대한 중첩 스키마

선택 사항:

  • actions (문자열 목록) Actions는 이 규칙이 일치할 때 취하는 선택적 작업을 지정합니다.
  • resources (문자열 목록) Resources는 리소스 목록입니다.
  • verbs (문자열 목록) Verbs는 동사 목록입니다.
  • where (문자열) Where는 선택적 고급 매처를 지정합니다.

spec.allow.spiffe에 대한 중첩 스키마

선택 사항:

  • dns_sans (문자열 목록) DNSSANs는 SPIFFE ID DNS SAN에 대한 매처를 지정합니다. 요청된 DNS SAN은 구성된 모든 매처와 비교되며, 일치하는 것이 있으면 조건은 충족된 것으로 간주됩니다. 기본적으로 매처는 '*'를 사용하여 0개 이상의 모든 문자를 나타내도록 허용됩니다. '^'로 시작하고 '$'로 끝내면 Go 정규 표현식 구문을 사용하여 일치하도록 전환됩니다. 예: *.example.com은 foo.example.com과 일치합니다.
  • ip_sans (문자열 목록) IPSANs는 SPIFFE ID IP SAN에 대한 매처를 지정합니다. 요청된 IP SAN은 구성된 모든 매처와 비교되며, 일치하는 것이 있으면 조건은 충족된 것으로 간주됩니다. 매처는 CIDR 표기법을 사용하여 지정해야 합니다. IPv4 및 IPv6를 지원합니다. 예: - 10.0.0.0/24는 10.0.0.0에서 10.255.255.255까지 일치합니다. - 10.0.0.42/32는 오직 10.0.0.42만 일치합니다.
  • path (문자열) Path는 SPIFFE ID 경로에 대한 매처를 지정합니다. 신뢰 도메인을 포함하지 않아야 하며, 선행 슬래시로 시작해야 합니다. 기본적으로 매처는 ''를 사용하여 0개 이상의 모든 문자를 나타내도록 허용됩니다. '^'로 시작하고 '$'로 끝내면 Go 정규 표현식 구문을 사용하여 일치하도록 전환됩니다. 예: - /svc/foo//bar는 /svc/foo/baz/bar와 일치합니다. - ^/svc/foo/.*/bar$는 /svc/foo/baz/bar와 일치합니다.

spec.deny에 대한 중첩 스키마

선택 사항:

  • app_labels (문자열 목록의 맵)
  • app_labels_expression (문자열) AppLabelsExpression은 앱에 대한 액세스를 허용/거부하기 위해 사용되는 조건식입니다.
  • aws_role_arns (문자열 목록) AWSRoleARNs는 이 역할이 가정할 수 있는 AWS 역할 ARN의 목록입니다.
  • azure_identities (문자열 목록) AzureIdentities는 이 역할이 가정할 수 있는 Azure ID의 목록입니다.
  • cluster_labels (문자열 목록의 맵)
  • cluster_labels_expression (문자열) ClusterLabelsExpression은 원격 Teleport 클러스터에 대한 액세스를 허용/거부하기 위해 사용되는 조건식입니다.
  • db_labels (문자열 목록의 맵)
  • db_labels_expression (문자열) DatabaseLabelsExpression은 데이터베이스에 대한 액세스를 허용/거부하기 위해 사용되는 조건식입니다.
  • db_names (문자열 목록) DatabaseNames는 이 역할이 연결할 수 있는 데이터베이스 이름의 목록입니다.
  • db_permissions (속성 목록) DatabasePermissions는 자동 데이터베이스 사용자 프로비저닝을 사용할 때 데이터베이스 사용자에게 부여될 권한 집합을 지정합니다. (아래의 중첩 스키마를 참조하세요)
  • db_roles (문자열 목록) DatabaseRoles는 자동 사용자 생성을 위한 데이터베이스 역할의 목록입니다.
  • db_service_labels (문자열 목록의 맵)
  • db_service_labels_expression (문자열) DatabaseServiceLabelsExpression은 데이터베이스 서비스에 대한 액세스를 허용/거부하기 위해 사용되는 조건식입니다.
  • db_users (문자열 목록) DatabaseUsers는 이 역할이 연결할 수 있는 데이터베이스 사용자 목록입니다.
  • desktop_groups (문자열 목록) DesktopGroups는 생성된 데스크탑 사용자가 추가될 그룹의 목록입니다.
  • gcp_service_accounts (문자열 목록) GCPServiceAccounts는 이 역할이 가정할 수 있는 GCP 서비스 계정 목록입니다.
  • group_labels (문자열 목록의 맵)
  • group_labels_expression (문자열) GroupLabelsExpression은 사용자 그룹에 대한 액세스를 허용/거부하기 위해 사용되는 조건식입니다.
  • host_groups (문자열 목록) HostGroups는 생성된 사용자가 추가될 그룹의 목록입니다.
  • host_sudoers (문자열 목록) HostSudoers는 사용자 sudoer 파일에 포함될 항목의 목록입니다.
  • impersonate (속성) Impersonate는 이 역할이 인증서 또는 다른 가능한 수단을 통해 가장할 수 있는 사용자 및 역할을 지정합니다. (아래의 중첩 스키마를 참조하세요)
  • join_sessions (속성 목록) JoinSessions는 사용자가 다른 세션에 참여할 수 있도록 허용하는 정책을 지정합니다. (아래의 중첩 스키마를 참조하세요)
  • kubernetes_groups (문자열 목록) KubeGroups는 쿠버네티스 그룹의 목록입니다.
  • kubernetes_labels (문자열 목록의 맵)
  • kubernetes_labels_expression (문자열) KubernetesLabelsExpression은 쿠버네티스 클러스터에 대한 액세스를 허용/거부하기 위해 사용되는 조건식입니다.
  • kubernetes_resources (속성 목록) KubernetesResources는 이 역할이 거부하는 Kubernetes 리소스입니다. (아래의 중첩 스키마를 참조하세요)
  • kubernetes_users (문자열 목록) KubeUsers는 가장할 수 있는 선택적 쿠버네티스 사용자입니다.
  • logins (문자열 목록) Logins는 *nix 시스템 로그인 목록입니다.
  • node_labels (문자열 목록의 맵)
  • node_labels_expression (문자열) NodeLabelsExpression은 SSH 노드에 대한 액세스를 허용/거부하기 위해 사용되는 조건식입니다.
  • request (속성) (아래의 중첩 스키마를 참조하세요)
  • require_session_join (속성 목록) RequireSessionJoin은 세션 시작 시 필요한 사용자를 지정하는 정책입니다. (아래의 중첩 스키마를 참조하세요)
  • review_requests (속성) ReviewRequests는 액세스 검토를 제출하기 위한 조건을 정의합니다. (아래의 중첩 스키마를 참조하세요)
  • rules (속성 목록) Rules는 규칙 및 액세스 수준 목록입니다. 규칙은 액세스 제어에 사용되는 고수준 구조입니다. (아래의 중첩 스키마를 참조하세요)
  • spiffe (속성 목록) SPIFFE는 역할 보유자가 SPIFFE SVID를 생성하는 액세스를 허용하거나 거부하는 데 사용됩니다. (아래의 중첩 스키마를 참조하세요)
  • windows_desktop_labels (문자열 목록의 맵)
  • windows_desktop_labels_expression (문자열) WindowsDesktopLabelsExpression은 윈도우 데스크탑에 대한 액세스를 허용/거부하기 위해 사용되는 조건식입니다.
  • windows_desktop_logins (문자열 목록) WindowsDesktopLogins는 윈도우 데스크탑에서 허용/거부되는 데스크탑 로그인 이름의 목록입니다.

spec.deny.db_permissions에 대한 중첩 스키마

선택 사항:

  • match (문자열 목록의 맵)
  • permissions (문자열 목록) Permission은 부여될 권한의 문자열 표현 목록입니다. 예: SELECT, INSERT, UPDATE, ...

spec.deny.impersonate에 대한 중첩 스키마

선택 사항:

  • roles (문자열 목록) Roles는 이 역할이 가장할 수 있는 리소스의 목록입니다.
  • users (문자열 목록) Users는 이 역할이 가장할 수 있는 리소스의 목록입니다. 빈 목록일 수도 있고 와일드카드 패턴일 수도 있습니다.
  • where (문자열) Where는 선택적 고급 매처를 지정합니다.

spec.deny.join_sessions에 대한 중첩 스키마

선택 사항:

  • kinds (문자열 목록) Kinds는 이 정책이 적용되는 세션 종류입니다.
  • modes (문자열 목록) Modes는 이 정책에 대한 허용된 참가자 모드 목록입니다.
  • name (문자열) Name은 정책의 이름입니다.
  • roles (문자열 목록) Roles는 사용자가 세션에 참가할 수 있는 역할 목록입니다.

spec.deny.kubernetes_resources에 대한 중첩 스키마

선택 사항:

  • kind (문자열) Kind는 쿠버네티스 리소스 유형을 지정합니다. 현재는 "pod"만 지원됩니다.
  • name (문자열) Name은 리소스 이름입니다. 와일드카드를 지원합니다.
  • namespace (문자열) Namespace는 리소스 네임스페이스입니다. 와일드카드를 지원합니다.
  • verbs (문자열 목록) Verbs는 다음 리소스에 대한 허용된 쿠버네티스 동사입니다.

spec.deny.request에 대한 중첩 스키마

선택 사항:

  • annotations (문자열 목록의 맵)
  • claims_to_roles (속성 목록) ClaimsToRoles는 주장(특성)에서 텔레포트 역할로의 매핑을 지정합니다. (아래의 중첩 스키마를 참조하세요)
  • max_duration (문자열) MaxDuration은 액세스가 부여될 시간의 양입니다. 만약 이 값이 0이면 기본 기간이 사용됩니다.
  • roles (문자열 목록) Roles는 요청 규칙과 일치하는 역할의 이름입니다.
  • search_as_roles (문자열 목록) SearchAsRoles는 리소스 액세스 요청의 일환으로 사용자가 리소스를 검색하는 동안 적용되어야 하는 추가 역할 목록입니다. 이는 모든 리소스 액세스 요청의 일환으로 요청될 기본 역할을 정의합니다.
  • suggested_reviewers (문자열 목록) SuggestedReviewers는 검토자 제안 목록입니다. 이들은 텔레포트 사용자 이름일 수 있지만 요구 사항은 아닙니다.
  • thresholds (속성 목록) Thresholds는 리뷰가 상태 전환을 촉발하기 위해 충족해야 하는 임계값 목록입니다. 임계값이 제공되지 않으면 승인 및 거부에 대해 기본 1로 설정됩니다. (아래의 중첩 스키마를 참조하세요)

spec.deny.request.claims_to_roles에 대한 중첩 스키마

선택 사항:

  • claim (문자열) Claim은 주장 이름입니다.
  • roles (문자열 목록) Roles는 일치할 정적 텔레포트 역할 목록입니다.
  • value (문자열) Value는 일치할 주장 값입니다.

spec.deny.request.thresholds에 대한 중첩 스키마

선택 사항:

  • approve (숫자) Approve는 상태 전환에 필요한 일치하는 허가 수입니다.
  • deny (숫자) Deny는 상태 전환에 필요한 거부 수입니다.
  • filter (문자열) Filter는 이 임계값에 영향을 미치는 리뷰를 결정하는 데 사용되는 선택적 조건입니다.
  • name (문자열) Name은 임계값의 선택적 읽기 쉬운 이름입니다.

spec.deny.require_session_join에 대한 중첩 스키마

선택 사항:

  • count (숫자) Count는 이 정책이 충족되기 위해 일치해야 하는 사람 수입니다.
  • filter (문자열) Filter는 이 정책에 맞는 사용자를 결정하는 조건입니다.
  • kinds (문자열 목록) Kinds는 이 정책이 적용되는 세션 종류입니다.
  • modes (문자열 목록) Modes는 이 정책을 충족하는 데 사용할 수 있는 모드 목록입니다.
  • name (문자열) Name은 정책의 이름입니다.
  • on_leave (문자열) OnLeave는 라이브 세션의 정책이 더 이상 충족되지 않을 때의 동작입니다.

spec.deny.review_requests에 대한 중첩 스키마

선택 사항:

  • claims_to_roles (속성 목록) ClaimsToRoles는 주장(특성)에서 텔레포트 역할로의 매핑을 지정합니다. (아래의 중첩 스키마를 참조하세요)
  • preview_as_roles (문자열 목록) PreviewAsRoles는 검토자가 리소스 액세스 요청을 검토하는 동안 요청된 리소스의 호스트 이름 및 레이블과 같은 세부사항을 보기 위해 적용해야 하는 추가 역할 목록입니다.
  • roles (문자열 목록) Roles는 검토할 수 있는 역할의 이름입니다.
  • where (문자열) Where는 어떤 요청이 검토될 수 있는지를 더 제한하는 선택적 조건입니다.

spec.deny.review_requests.claims_to_roles에 대한 중첩 스키마

선택 사항:

  • claim (문자열) Claim은 주장 이름입니다.
  • roles (문자열 목록) Roles는 일치할 정적 텔레포트 역할 목록입니다.
  • value (문자열) Value는 일치할 주장 값입니다.

spec.deny.rules에 대한 중첩 스키마

선택 사항:

  • actions (문자열 목록) Actions는 이 규칙이 일치할 때 취하는 선택적 작업을 지정합니다.
  • resources (문자열 목록) Resources는 리소스 목록입니다.
  • verbs (문자열 목록) Verbs는 동사 목록입니다.
  • where (문자열) Where는 선택적 고급 매처를 지정합니다.

spec.deny.spiffe에 대한 중첩 스키마

선택 사항:

  • dns_sans (문자열 목록) DNSSANs는 SPIFFE ID DNS SAN에 대한 매처를 지정합니다. 요청된 DNS SAN은 구성된 모든 매처와 비교되며, 일치하는 것이 있으면 조건은 충족된 것으로 간주됩니다. 기본적으로 매처는 '*'를 사용하여 0개 이상의 모든 문자를 나타내도록 허용됩니다. '^'로 시작하고 '$'로 끝내면 Go 정규 표현식 구문을 사용하여 일치하도록 전환됩니다. 예: *.example.com은 foo.example.com과 일치합니다.
  • ip_sans (문자열 목록) IPSANs는 SPIFFE ID IP SAN에 대한 매처를 지정합니다. 요청된 IP SAN은 구성된 모든 매처와 비교되며, 일치하는 것이 있으면 조건은 충족된 것으로 간주됩니다. 매처는 CIDR 표기법을 사용하여 지정해야 합니다. IPv4 및 IPv6를 지원합니다. 예: - 10.0.0.0/24는 10.0.0.0에서 10.255.255.255까지 일치합니다. - 10.0.0.42/32는 오직 10.0.0.42만 일치합니다.
  • path (문자열) Path는 SPIFFE ID 경로에 대한 매처를 지정합니다. 신뢰 도메인을 포함하지 않아야 하며, 선행 슬래시로 시작해야 합니다. 기본적으로 매처는 ''를 사용하여 0개 이상의 모든 문자를 나타내도록 허용됩니다. '^'로 시작하고 '$'로 끝내면 Go 정규 표현식 구문을 사용하여 일치하도록 전환됩니다. 예: - /svc/foo//bar는 /svc/foo/baz/bar와 일치합니다. - ^/svc/foo/.*/bar$는 /svc/foo/baz/bar와 일치합니다.

spec.options에 대한 중첩 스키마

선택 사항:

  • cert_extensions (속성 목록) CertExtensions는 키/값 쌍을 지정합니다 (아래의 중첩 스키마를 참조하세요).
  • cert_format (문자열) CertificateFormat은 이전 버전의 OpenSSH와 호환성을 허용하기 위한 사용자 인증서 형식을 정의합니다.
  • client_idle_timeout (문자열) ClientIdleTimeout은 클라이언트를 유휴 시간 초과 동작으로 끊게 설정합니다. 0으로 설정되어 있다면 끊지 않음을 의미하며, 그렇지 않으면 유휴 지속 시간으로 설정됩니다.
  • create_db_user (불리언)
  • create_db_user_mode (숫자) CreateDatabaseUserMode는 꺼짐으로 설정되지 않은 경우 데이터베이스에서 사용자가 자동으로 생성될 수 있도록 허용합니다. 0은 "지정되지 않음", 1은 "꺼짐", 2는 "유지", 3은 "최선의 노력으로 삭제"입니다.
  • create_desktop_user (불리언)
  • create_host_user (불리언)
  • create_host_user_mode (숫자) CreateHostUserMode는 꺼짐으로 설정되지 않은 경우 호스트에서 사용자가 자동으로 생성될 수 있도록 허용합니다. 0은 "지정되지 않음", 1은 "꺼짐", 2는 "삭제"(v15 이상에서 제거됨), 3은 "유지", 4는 "불안전한 삭제"입니다.
  • desktop_clipboard (불리언)
  • desktop_directory_sharing (불리언)
  • device_trust_mode (문자열) DeviceTrustMode는 역할과 연결된 리소스를 위한 장치 권한 부여 모드입니다. DeviceTrust.Mode을 참조하세요.
  • disconnect_expired_cert (불리언) DisconnectExpiredCert는 만료된 인증서에서 클라이언트를 분리하도록 설정합니다.
  • enhanced_recording (문자열 목록) BPF는 BPF 기반 세션 레코더를 위해 기록할 이벤트를 정의합니다.
  • forward_agent (불리언) ForwardAgent는 SSH 에이전트 포워딩입니다.
  • idp (속성) IDP는 Teleport 내 IdP에 접근할 때 관련된 옵션 세트입니다. Teleport Enterprise가 필요합니다. (아래의 중첩 스키마를 참조하세요)
  • lock (문자열) Lock은 역할과 함께 적용될 잠금 모드(엄격|최선의 노력)를 지정합니다.
  • max_connections (숫자) MaxConnections는 사용자가 유지할 수 있는 최대 동시 연결 수를 정의합니다.
  • max_kubernetes_connections (숫자) MaxKubernetesConnections는 사용자가 유지할 수 있는 최대 동시 Kubernetes 세션 수를 정의합니다.
  • max_session_ttl (문자열) MaxSessionTTL은 SSH 세션이 지속할 수 있는 최대 시간을 정의합니다.
  • max_sessions (숫자) MaxSessions는 연결당 최대 동시 세션 수를 정의합니다.
  • mfa_verification_interval (문자열) MFAVerificationInterval은 연속 MFA 검증 간 최대 지속 시간을 선택적으로 정의합니다. 이 변수는 사용자가 주기적으로 자신의 신원을 확인하라는 알림을 받도록 하여, MFA를 사용하는 동안 장시간 세션이 지속되는 것을 방지하는 데 사용됩니다. 세션이 MFA를 요구하는 경우에만 효과적입니다. 설정되지 않으면 기본적으로 max_session_ttl가 사용됩니다.
  • permit_x11_forwarding (불리언) PermitX11Forwarding은 X11 포워딩의 사용을 허가합니다.
  • pin_source_ip (불리언) PinSourceIP는 인증서 생성 및 사용을 위해 동일한 클라이언트 IP를 강제합니다.
  • port_forwarding (불리언)
  • record_session (속성) RecordDesktopSession은 데스크탑 액세스 세션을 기록할지 여부를 나타냅니다. 기본적으로 false로 명시적으로 설정되지 않는 한 true로 설정됩니다. (아래의 중첩 스키마를 참조하세요)
  • request_access (문자열) RequestAccess는 요청 전략을 정의합니다 (선택적|주석|항상) 여기서 선택적이 기본값입니다.
  • request_prompt (문자열) RequestPrompt는 사용자가 요청해야 하는 내용을 알려주는 선택적 메시지입니다.
  • require_session_mfa (숫자) RequireMFAType는 사용자가 적용해야 하는 MFA 요구 사항 유형입니다. 0은 "OFF", 1은 "SESSION", 2는 "SESSION_AND_HARDWARE_KEY", 3은 "HARDWARE_KEY_TOUCH", 4는 "HARDWARE_KEY_PIN", 5는 "HARDWARE_KEY_TOUCH_AND_PIN"입니다.
  • ssh_file_copy (불리언)

spec.options.cert_extensions에 대한 중첩 스키마

선택 사항:

  • mode (숫자) Mode는 사용될 확장의 유형을 지정합니다. -- 현재는 Critical-option이 지원되지 않습니다. 0은 "확장"입니다.
  • name (문자열) Name은 인증 확장에서 사용할 키를 지정합니다.
  • type (숫자) Type은 확장될 인증서 유형을 나타냅니다. 현재는 SSH만 지원됩니다. 0은 "ssh"입니다.
  • value (문자열) Value는 인증 확장에서 사용할 값을 지정합니다.

spec.options.idp에 대한 중첩 스키마

선택 사항:

  • saml (속성) SAML은 Teleport SAML IdP와 관련된 옵션입니다. (아래의 중첩 스키마를 참조하세요)

spec.options.idp.saml에 대한 중첩 스키마

선택 사항:

  • enabled (불리언)

spec.options.record_session에 대한 중첩 스키마

선택 사항:

  • default (문자열) Default는 서비스에 대한 기본 값을 나타냅니다.
  • desktop (불리언)
  • ssh (문자열) SSH는 SSH 세션에서 사용할 세션 모드를 나타냅니다.
Teleport 원문 보기