Infograb logo
텔레포트 역할 Terraform 리소스 참조

/다시 생성하려면 integrations/terraform으로 이동하여 make docs를 실행하십시오./

사용 예시

# Teleport 역할 리소스

resource "teleport_role" "example" {
  metadata = {
    name        = "example"
    description = "예시 텔레포트 역할"
    expires     = "2022-10-12T07:20:51Z"
    labels = {
      example = "yes"
    }
  }

  spec = {
    options = {
      forward_agent           = false
      max_session_ttl         = "7m"
      port_forwarding         = false
      client_idle_timeout     = "1h"
      disconnect_expired_cert = true
      permit_x11_forwarding   = false
      request_access          = "denied"
    }

    allow = {
      logins = ["example"]

      rules = [{
        resources = ["user", "role"]
        verbs     = ["list"]
      }]

      request = {
        roles = ["example"]
        claims_to_roles = [{
          claim = "example"
          value = "example"
          roles = ["example"]
        }]
      }

      node_labels = {
        example = ["yes"]
      }
    }

    deny = {
      logins = ["anonymous"]
    }
  }
}

스키마

필수

  • version (문자열) 버전은 리소스 버전입니다. 지정해야 합니다. 지원되는 값은: v3, v4, v5, v6, v7.

선택적

  • metadata (속성) 메타데이터는 리소스 메타데이터입니다(아래의 중첩 스키마 참조).
  • spec (속성) 스펙은 역할 사양입니다(아래의 중첩 스키마 참조).
  • sub_kind (문자열) SubKind는 일부 리소스에서 사용되는 선택적 리소스 하위 종류입니다.

metadata의 중첩 스키마

필수:

  • name (문자열) 이름은 객체 이름입니다.

선택적:

  • description (문자열) 설명은 객체 설명입니다.
  • expires (문자열) 만료는 시스템의 모든 리소스에 설정할 수 있는 전역 만료 시간 헤더입니다.
  • labels (문자열 맵) 레이블은 레이블 집합입니다.

spec의 중첩 스키마

선택적:

  • allow (속성) Allow는 액세스를 부여하기 위해 평가되는 조건 집합입니다. (아래의 중첩 스키마 참조).
  • deny (속성) Deny는 액세스를 거부하기 위해 평가되는 조건 집합입니다. Deny는 Allow보다 우선합니다. (아래의 중첩 스키마 참조).
  • options (속성) Options는 에이전트 포워딩과 같은 OpenSSH 옵션을 위한 것입니다. (아래의 중첩 스키마 참조).

spec.allow의 중첩 스키마

선택적:

  • app_labels (문자열 목록의 맵)
  • app_labels_expression (문자열) AppLabelsExpression은 앱에 대한 액세스를 허용/거부하는 데 사용되는 술어 표현식입니다.
  • aws_role_arns (문자열 목록) AWSRoleARNs는 이 역할이 맡을 수 있는 AWS 역할 ARN 목록입니다.
  • azure_identities (문자열 목록) AzureIdentities는 이 역할이 맡을 수 있는 Azure ID 목록입니다.
  • cluster_labels (문자열 목록의 맵)
  • cluster_labels_expression (문자열) ClusterLabelsExpression은 원격 텔레포트 클러스터에 대한 액세스를 허용/거부하는 데 사용되는 술어 표현식입니다.
  • db_labels (문자열 목록의 맵)
  • db_labels_expression (문자열) DatabaseLabelsExpression은 데이터베이스에 대한 액세스를 허용/거부하는 데 사용되는 술어 표현식입니다.
  • db_names (문자열 목록) DatabaseNames는 이 역할이 연결할 수 있는 데이터베이스 이름 목록입니다.
  • db_permissions (속성 목록) DatabasePermissions는 자동 데이터베이스 사용자 프로비저닝 사용 시 데이터베이스 사용자에게 부여될 권한 세트를 지정합니다. (아래의 중첩 스키마 참조).
  • db_roles (문자열 목록) DatabaseRoles는 자동 사용자 생성을 위한 데이터베이스 역할 목록입니다.
  • db_service_labels (문자열 목록의 맵)
  • db_service_labels_expression (문자열) DatabaseServiceLabelsExpression은 데이터베이스 서비스에 대한 액세스를 허용/거부하는 데 사용되는 술어 표현식입니다.
  • db_users (문자열 목록) DatabaseUsers는 이 역할이 연결할 수 있는 데이터베이스 사용자 목록입니다.
  • desktop_groups (문자열 목록) DesktopGroups는 생성된 데스크탑 사용자가 추가될 그룹 목록입니다.
  • gcp_service_accounts (문자열 목록) GCPServiceAccounts는 이 역할이 맡을 수 있는 GCP 서비스 계정 목록입니다.
  • group_labels (문자열 목록의 맵)
  • group_labels_expression (문자열) GroupLabelsExpression은 사용자 그룹에 대한 액세스를 허용/거부하는 데 사용되는 술어 표현식입니다.
  • host_groups (문자열 목록) HostGroups는 생성된 사용자가 추가될 그룹 목록입니다.
  • host_sudoers (문자열 목록) HostSudoers는 사용자의 sudoer 파일에 포함할 항목 목록입니다.
  • impersonate (속성) Impersonate는 이 역할이 인증서 발행 또는 기타 가능한 수단을 통해 가장할 수 있는 사용자 및 역할을 지정합니다. (아래의 중첩 스키마 참조).
  • join_sessions (속성 목록) JoinSessions는 사용자가 다른 세션에 참여할 수 있도록 허용하는 정책을 지정합니다. (아래의 중첩 스키마 참조).
  • kubernetes_groups (문자열 목록) KubeGroups는 Kubernetes 그룹 목록입니다.
  • kubernetes_labels (문자열 목록의 맵)
  • kubernetes_labels_expression (문자열) KubernetesLabelsExpression은 Kubernetes 클러스터에 대한 액세스를 허용/거부하는 데 사용되는 술어 표현식입니다.
  • kubernetes_resources (속성 목록) KubernetesResources는 이 역할이 액세스를 부여하는 Kubernetes 리소스입니다. (아래의 중첩 스키마 참조).
  • kubernetes_users (문자열 목록) KubeUsers는 가장할 수 있는 선택적 Kubernetes 사용자입니다.
  • logins (문자열 목록) Logins은 *nix 시스템 로그인의 목록입니다.
  • node_labels (문자열 목록의 맵)
  • node_labels_expression (문자열) NodeLabelsExpression은 SSH 노드에 대한 액세스를 허용/거부하는 데 사용되는 술어 표현식입니다.
  • request (속성) (아래의 중첩 스키마 참조).
  • require_session_join (속성 목록) RequireSessionJoin은 사용자에게 세션을 시작하기 위한 필요한 정책을 지정합니다. (아래의 중첩 스키마 참조).
  • review_requests (속성) ReviewRequests는 접근 검토를 제출하기 위한 조건을 정의합니다. (아래의 중첩 스키마 참조).
  • rules (속성 목록) Rules는 규칙 및 그 액세스 수준의 목록입니다. 규칙은 액세스 권한 제어에 사용되는 고급 구성 요소입니다. (아래의 중첩 스키마 참조).
  • spiffe (속성 목록) SPIFFE는 역할 보유자가 SPIFFE SVID를 생성하는 것을 허용하거나 거부하는 데 사용됩니다. (아래의 중첩 스키마 참조).
  • windows_desktop_labels (문자열 목록의 맵)
  • windows_desktop_labels_expression (문자열) WindowsDesktopLabelsExpression은 Windows 데스크탑에 대한 액세스를 허용/거부하는 데 사용되는 술어 표현식입니다.
  • windows_desktop_logins (문자열 목록) WindowsDesktopLogins는 Windows 데스크탑에 허용/거부되는 데스크탑 로그인 이름 목록입니다.

spec.allow.db_permissions의 중첩 스키마

선택적:

  • match (문자열 목록의 맵)
  • permissions (문자열 목록) Permission은 부여될 권한의 문자열 표현 목록입니다. 예: SELECT, INSERT, UPDATE, ...

spec.allow.impersonate의 중첩 스키마

선택적:

  • roles (문자열 목록) Roles는 이 역할이 가장할 수 있는 리소스 목록입니다.
  • users (문자열 목록) Users는 이 역할이 가장할 수 있는 리소스 목록으로 빈 목록일 수도 있으며 와일드카드 패턴이 될 수 있습니다.
  • where (문자열) Where는 선택적 고급 Matcher를 지정합니다.

spec.allow.join_sessions의 중첩 스키마

선택적:

  • kinds (문자열 목록) Kinds는 이 정책이 적용되는 세션 종류입니다.
  • modes (문자열 목록) Modes는 이 정책의 허용된 참여자 모드 목록입니다.
  • name (문자열) Name은 정책의 이름입니다.
  • roles (문자열 목록) Roles는 당신이 세션에 참여할 수 있는 역할 목록입니다.

spec.allow.kubernetes_resources의 중첩 스키마

선택적:

  • kind (문자열) Kind은 Kubernetes 리소스 유형을 지정합니다. 현재 "pod"만 지원됩니다.
  • name (문자열) Name은 리소스 이름입니다. 와일드카드를 지원합니다.
  • namespace (문자열) Namespace는 리소스 네임스페이스입니다. 와일드카드를 지원합니다.
  • verbs (문자열 목록) Verbs는 다음 리소스에 허용된 Kubernetes 동사입니다.

spec.allow.request의 중첩 스키마

선택적:

  • annotations (문자열 목록의 맵)
  • claims_to_roles (속성 목록) ClaimsToRoles는 클레임(특징)에서 텔레포트 역할로의 매핑을 지정합니다. (아래의 중첩 스키마 참조).
  • max_duration (문자열) MaxDuration은 액세스가 부여될 시간입니다. 이 값이 0이면 기본 지속 시간이 사용됩니다.
  • roles (문자열 목록) Roles는 요청 규칙과 일치하는 역할의 이름입니다.
  • search_as_roles (문자열 목록) SearchAsRoles는 리소스 액세스 요청의 일환으로 사용자가 리소스를 검색하는 동안 적용될 추가 역할의 목록입니다. 이를 통해 요청되는 리소스에 대한 기본 역할이 정의됩니다.
  • suggested_reviewers (문자열 목록) SuggestedReviewers는 검토자 제안 목록입니다. 이들은 텔레포트 사용자 이름일 수 있지만 필수는 아닙니다.
  • thresholds (속성 목록) Thresholds는 리뷰가 상태 전환을 트리거하기 위해 충족해야하는 임계값 목록입니다. 임계값이 제공되지 않은 경우, 기본적으로 승인 및 거부에는 1의 기본 임계값이 사용됩니다. (아래의 중첩 스키마 참조).

spec.allow.request.claims_to_roles의 중첩 스키마

선택적:

  • claim (문자열) Claim은 클레임 이름입니다.
  • roles (문자열 목록) Roles는 일치시킬 정적 텔레포트 역할 목록입니다.
  • value (문자열) Value는 일치시킬 클레임 값입니다.

spec.allow.request.thresholds의 중첩 스키마

선택적:

  • approve (숫자) Approve는 상태 전환을 위해 필요한 일치하는 승인 수입니다.
  • deny (숫자) Deny는 상태 전환을 위해 필요한 거부 수입니다.
  • filter (문자열) Filter는 이 임계값을 충족하는 것을 결정하는 선택적 술어입니다.
  • name (문자열) Name은 임계값의 선택적 인간 친화적인 이름입니다.

spec.allow.require_session_join의 중첩 스키마

선택적:

  • count (숫자) Count는 이 정책이 충족되기 위해 일치할 필요가 있는 사람의 수입니다.
  • filter (문자열) Filter는 이 정책에 대해 계산되는 사용자를 결정하는 술어입니다.
  • kinds (문자열 목록) Kinds는 이 정책이 적용되는 세션 종류입니다.
  • modes (문자열 목록) Modes는 이 정책을 충족하기 위해 사용될 수 있는 모드 목록입니다.
  • name (문자열) Name은 정책의 이름입니다.
  • on_leave (문자열) OnLeave는 실시간 세션에 대해 더 이상 이 정책이 충족되지 않을 때 사용하는 행동입니다.

spec.allow.review_requests의 중첩 스키마

선택적:

  • claims_to_roles (속성 목록) ClaimsToRoles는 클레임(특징)에서 텔레포트 역할로의 매핑을 지정합니다. (아래의 중첩 스키마 참조).
  • preview_as_roles (문자열 목록) PreviewAsRoles는 검토자가 리소스 액세스 요청을 보는 동안 요청된 리소스의 호스트 이름 및 레이블과 같은 세부 사항을 보는 데 적용될 추가 역할 목록입니다.
  • roles (문자열 목록) Roles는 검토할 수 있는 역할의 이름입니다.
  • where (문자열) Where는 검토 가능한 요청을 추가로 제한하는 선택적 술어입니다.

spec.allow.review_requests.claims_to_roles의 중첩 스키마

선택적:

  • claim (문자열) Claim은 클레임 이름입니다.
  • roles (문자열 목록) Roles는 일치시킬 정적 텔레포트 역할 목록입니다.
  • value (문자열) Value는 일치시킬 클레임 값입니다.

spec.allow.rules의 중첩 스키마

선택적:

  • actions (문자열 목록) Actions는 이 규칙이 일치할 때 수행되는 선택적 동작을 지정합니다.
  • resources (문자열 목록) Resources는 자원 목록입니다.
  • verbs (문자열 목록) Verbs는 동사의 목록입니다.
  • where (문자열) Where는 선택적 고급 매쳐를 지정합니다.

spec.allow.spiffe의 중첩 스키마

선택적:

  • dns_sans (문자열 목록) DNSSANs는 SPIFFE ID DNS SAN에 대한 매처를 지정합니다. 요청된 각 DNS SAN은 구성된 모든 매처와 비교되며 일치하는 경우 조건이 충족된 것으로 간주됩니다. 기본적으로 '*'가 사용되어 0개 또는 그 이상의 모든 문자를 나타내도록 허용됩니다. 대신 '^'를 prepend하고 '$'를 append하여 Go 정규 표현식 구문을 사용하여 일치하도록 전환할 수 있습니다. 예: *.example.com은 foo.example.com과 일치합니다.
  • ip_sans (문자열 목록) IPSANs는 SPIFFE ID IP SAN에 대한 매처를 지정합니다. 요청된 각 IP SAN은 구성된 모든 매처와 비교되며 일치하는 경우 조건이 충족된 것으로 간주됩니다. 매처는 CIDR 표기법을 사용하여 지정해야 하며, IPv4 및 IPv6를 지원합니다. 예: - 10.0.0.0/24는 10.0.0.0부터 10.255.255.255까지 일치합니다. - 10.0.0.42/32는 오직 10.0.0.42만 일치합니다.
  • path (문자열) Path는 SPIFFE ID 경로에 대한 매처를 지정합니다. Trust 도메인을 포함하지 않아야 하며, 선행 슬래시로 시작해야 합니다. 기본적으로 ''가 사용되어 0개 또는 그 이상의 모든 문자를 나타내도록 허용됩니다. 대신 '^'를 prepend하고 '$'를 append하여 Go 정규 표현식 구문을 사용하여 일치하도록 전환할 수 있습니다. 예: - /svc/foo//bar는 /svc/foo/baz/bar와 일치합니다. - ^/svc/foo/.*/bar$는 /svc/foo/baz/bar와 일치합니다.

spec.deny의 중첩 스키마

선택적:

  • app_labels (문자열 목록의 맵)
  • app_labels_expression (문자열) AppLabelsExpression은 앱에 대한 액세스를 허용/거부하는 데 사용되는 술어 표현식입니다.
  • aws_role_arns (문자열 목록) AWSRoleARNs는 이 역할이 맡을 수 있는 AWS 역할 ARN 목록입니다.
  • azure_identities (문자열 목록) AzureIdentities는 이 역할이 맡을 수 있는 Azure ID 목록입니다.
  • cluster_labels (문자열 목록의 맵)
  • cluster_labels_expression (문자열) ClusterLabelsExpression은 원격 텔레포트 클러스터에 대한 액세스를 허용/거부하는 데 사용되는 술어 표현식입니다.
  • db_labels (문자열 목록의 맵)
  • db_labels_expression (문자열) DatabaseLabelsExpression은 데이터베이스에 대한 액세스를 허용/거부하는 데 사용되는 술어 표현식입니다.
  • db_names (문자열 목록) DatabaseNames는 이 역할이 연결할 수 있는 데이터베이스 이름 목록입니다.
  • db_permissions (속성 목록) DatabasePermissions는 자동 데이터베이스 사용자 프로비저닝 사용 시 데이터베이스 사용자에게 부여될 권한 세트를 지정합니다. (아래의 중첩 스키마 참조).
  • db_roles (문자열 목록) DatabaseRoles는 자동 사용자 생성을 위한 데이터베이스 역할 목록입니다.
  • db_service_labels (문자열 목록의 맵)
  • db_service_labels_expression (문자열) DatabaseServiceLabelsExpression은 데이터베이스 서비스에 대한 액세스를 허용/거부하는 데 사용되는 술어 표현식입니다.
  • db_users (문자열 목록) DatabaseUsers는 이 역할이 연결할 수 있는 데이터베이스 사용자 목록입니다.
  • desktop_groups (문자열 목록) DesktopGroups는 생성된 데스크탑 사용자가 추가될 그룹 목록입니다.
  • gcp_service_accounts (문자열 목록) GCPServiceAccounts는 이 역할이 맡을 수 있는 GCP 서비스 계정 목록입니다.
  • group_labels (문자열 목록의 맵)
  • group_labels_expression (문자열) GroupLabelsExpression은 사용자 그룹에 대한 액세스를 허용/거부하는 데 사용되는 술어 표현식입니다.
  • host_groups (문자열 목록) HostGroups는 생성된 사용자가 추가될 그룹 목록입니다.
  • host_sudoers (문자열 목록) HostSudoers는 사용자의 sudoer 파일에 포함할 항목 목록입니다.
  • impersonate (속성) Impersonate는 이 역할이 인증서 발행 또는 기타 가능한 수단을 통해 가장할 수 있는 사용자 및 역할을 지정합니다. (아래의 중첩 스키마 참조).
  • join_sessions (속성 목록) JoinSessions는 사용자가 다른 세션에 참여할 수 있도록 허용하는 정책을 지정합니다. (아래의 중첩 스키마 참조).
  • kubernetes_groups (문자열 목록) KubeGroups는 Kubernetes 그룹 목록입니다.
  • kubernetes_labels (문자열 목록의 맵)
  • kubernetes_labels_expression (문자열) KubernetesLabelsExpression은 Kubernetes 클러스터에 대한 액세스를 허용/거부하는 데 사용되는 술어 표현식입니다.
  • kubernetes_resources (속성 목록) KubernetesResources는 이 역할이 액세스를 부여하는 Kubernetes 리소스입니다. (아래의 중첩 스키마 참조).
  • kubernetes_users (문자열 목록) KubeUsers는 가장할 수 있는 선택적 Kubernetes 사용자입니다.
  • logins (문자열 목록) Logins은 *nix 시스템 로그인의 목록입니다.
  • node_labels (문자열 목록의 맵)
  • node_labels_expression (문자열) NodeLabelsExpression은 SSH 노드에 대한 액세스를 허용/거부하는 데 사용되는 술어 표현식입니다.
  • request (속성) (아래의 중첩 스키마 참조).
  • require_session_join (속성 목록) RequireSessionJoin은 사용자에게 세션을 시작하기 위한 필요한 정책을 지정합니다. (아래의 중첩 스키마 참조).
  • review_requests (속성) ReviewRequests는 접근 검토를 제출하기 위한 조건을 정의합니다. (아래의 중첩 스키마 참조).
  • rules (속성 목록) Rules는 규칙 및 그 액세스 수준의 목록입니다. 규칙은 액세스 권한 제어에 사용되는 고급 구성 요소입니다. (아래의 중첩 스키마 참조).
  • spiffe (속성 목록) SPIFFE는 역할 보유자가 SPIFFE SVID를 생성하는 것을 허용하거나 거부하는 데 사용됩니다. (아래의 중첩 스키마 참조).
  • windows_desktop_labels (문자열 목록의 맵)
  • windows_desktop_labels_expression (문자열) WindowsDesktopLabelsExpression은 Windows 데스크탑에 대한 액세스를 허용/거부하는 데 사용되는 술어 표현식입니다.
  • windows_desktop_logins (문자열 목록) WindowsDesktopLogins는 Windows 데스크탑에 허용/거부되는 데스크탑 로그인 이름 목록입니다.

spec.deny.db_permissions의 중첩 스키마

선택적:

  • match (문자열 목록의 맵)
  • permissions (문자열 목록) Permission은 부여될 권한의 문자열 표현 목록입니다. 예: SELECT, INSERT, UPDATE, ...

spec.deny.impersonate의 중첩 스키마

선택적:

  • roles (문자열 목록) Roles는 이 역할이 가장할 수 있는 리소스 목록입니다.
  • users (문자열 목록) Users는 이 역할이 가장할 수 있는 리소스 목록으로 빈 목록일 수도 있으며 와일드카드 패턴이 될 수 있습니다.
  • where (문자열) Where는 선택적 고급 Matcher를 지정합니다.

spec.deny.join_sessions의 중첩 스키마

선택적:

  • kinds (문자열 목록) Kinds는 이 정책이 적용되는 세션 종류입니다.
  • modes (문자열 목록) Modes는 이 정책의 허용된 참여자 모드 목록입니다.
  • name (문자열) Name은 정책의 이름입니다.
  • roles (문자열 목록) Roles는 당신이 세션에 참여할 수 있는 역할 목록입니다.

spec.deny.kubernetes_resources의 중첩 스키마

선택적:

  • kind (문자열) Kind은 Kubernetes 리소스 유형을 지정합니다. 현재 "pod"만 지원됩니다.
  • name (문자열) Name은 리소스 이름입니다. 와일드카드를 지원합니다.
  • namespace (문자열) Namespace는 리소스 네임스페이스입니다. 와일드카드를 지원합니다.
  • verbs (문자열 목록) Verbs는 다음 리소스에 허용된 Kubernetes 동사입니다.

spec.deny.request의 중첩 스키마

선택적:

  • annotations (문자열 목록의 맵)
  • claims_to_roles (속성 목록) ClaimsToRoles는 클레임(특징)에서 텔레포트 역할로의 매핑을 지정합니다. (아래의 중첩 스키마 참조).
  • max_duration (문자열) MaxDuration은 액세스가 부여될 시간입니다. 이 값이 0이면 기본 지속 시간이 사용됩니다.
  • roles (문자열 목록) Roles는 요청 규칙과 일치하는 역할의 이름입니다.
  • search_as_roles (문자열 목록) SearchAsRoles는 리소스 액세스 요청의 일환으로 사용자가 리소스를 검색하는 동안 적용될 추가 역할의 목록입니다. 이를 통해 요청되는 리소스에 대한 기본 역할이 정의됩니다.
  • suggested_reviewers (문자열 목록) SuggestedReviewers는 검토자 제안 목록입니다. 이들은 텔레포트 사용자 이름일 수 있지만 필수는 아닙니다.
  • thresholds (속성 목록) Thresholds는 리뷰가 상태 전환을 트리거하기 위해 충족해야하는 임계값 목록입니다. 임계값이 제공되지 않은 경우, 기본적으로 승인 및 거부에는 1의 기본 임계값이 사용됩니다. (아래의 중첩 스키마 참조).

spec.deny.request.claims_to_roles의 중첩 스키마

선택적:

  • claim (문자열) Claim은 클레임 이름입니다.
  • roles (문자열 목록) Roles는 일치시킬 정적 텔레포트 역할 목록입니다.
  • value (문자열) Value는 일치시킬 클레임 값입니다.

spec.deny.request.thresholds의 중첩 스키마

선택적:

  • approve (숫자) Approve는 상태 전환을 위해 필요한 일치하는 승인 수입니다.
  • deny (숫자) Deny는 상태 전환을 위해 필요한 거부 수입니다.
  • filter (문자열) Filter는 이 임계값을 충족하는 것을 결정하는 선택적 술어입니다.
  • name (문자열) Name은 임계값의 선택적 인간 친화적인 이름입니다.

spec.deny.require_session_join의 중첩 스키마

선택적:

  • count (숫자) Count는 이 정책이 충족되기 위해 일치할 필요가 있는 사람의 수입니다.
  • filter (문자열) Filter는 이 정책에 대해 계산되는 사용자를 결정하는 술어입니다.
  • kinds (문자열 목록) Kinds는 이 정책이 적용되는 세션 종류입니다.
  • modes (문자열 목록) Modes는 이 정책을 충족하기 위해 사용될 수 있는 모드 목록입니다.
  • name (문자열) Name은 정책의 이름입니다.
  • on_leave (문자열) OnLeave는 실시간 세션에 대해 더 이상 이 정책이 충족되지 않을 때 사용하는 행동입니다.

spec.deny.review_requests의 중첩 스키마

선택적:

  • claims_to_roles (속성 목록) ClaimsToRoles는 클레임(특징)에서 텔레포트 역할로의 매핑을 지정합니다. (아래의 중첩 스키마 참조).
  • preview_as_roles (문자열 목록) PreviewAsRoles는 검토자가 리소스 액세스 요청을 보는 동안 요청된 리소스의 호스트 이름 및 레이블과 같은 세부 사항을 보는 데 적용될 추가 역할 목록입니다.
  • roles (문자열 목록) Roles는 검토할 수 있는 역할의 이름입니다.
  • where (문자열) Where는 검토 가능한 요청을 추가로 제한하는 선택적 술어입니다.

spec.deny.review_requests.claims_to_roles의 중첩 스키마

선택적:

  • claim (문자열) Claim은 클레임 이름입니다.
  • roles (문자열 목록) Roles는 일치시킬 정적 텔레포트 역할 목록입니다.
  • value (문자열) Value는 일치시킬 클레임 값입니다.

spec.deny.rules의 중첩 스키마

선택적:

  • actions (문자열 목록) Actions는 이 규칙이 일치할 때 수행되는 선택적 동작을 지정합니다.
  • resources (문자열 목록) Resources는 자원 목록입니다.
  • verbs (문자열 목록) Verbs는 동사의 목록입니다.
  • where (문자열) Where는 선택적 고급 매쳐를 지정합니다.

spec.deny.spiffe의 중첩 스키마

선택적:

  • dns_sans (문자열 목록) DNSSANs는 SPIFFE ID DNS SAN에 대한 매처를 지정합니다. 요청된 각 DNS SAN은 구성된 모든 매처와 비교되며 일치하는 경우 조건이 충족된 것으로 간주됩니다. 기본적으로 '*'가 사용되어 0개 또는 그 이상의 모든 문자를 나타내도록 허용됩니다. 대신 '^'를 prepend하고 '$'를 append하여 Go 정규 표현식 구문을 사용하여 일치하도록 전환할 수 있습니다. 예: *.example.com은 foo.example.com과 일치합니다.
  • ip_sans (문자열 목록) IPSANs는 SPIFFE ID IP SAN에 대한 매처를 지정합니다. 요청된 각 IP SAN은 구성된 모든 매처와 비교되며 일치하는 경우 조건이 충족된 것으로 간주됩니다. 매처는 CIDR 표기법을 사용하여 지정해야 하며, IPv4 및 IPv6를 지원합니다. 예: - 10.0.0.0/24는 10.0.0.0부터 10.255.255.255까지 일치합니다. - 10.0.0.42/32는 오직 10.0.0.42만 일치합니다.
  • path (문자열) Path는 SPIFFE ID 경로에 대한 매처를 지정합니다. Trust 도메인을 포함하지 않아야 하며, 선행 슬래시로 시작해야 합니다. 기본적으로 ''가 사용되어 0개 또는 그 이상의 모든 문자를 나타내도록 허용됩니다. 대신 '^'를 prepend하고 '$'를 append하여 Go 정규 표현식 구문을 사용하여 일치하도록 전환할 수 있습니다. 예: - /svc/foo//bar는 /svc/foo/baz/bar와 일치합니다. - ^/svc/foo/.*/bar$는 /svc/foo/baz/bar와 일치합니다.

spec.options의 중첩 스키마

선택적:

  • cert_extensions (속성 목록) CertExtensions는 키/값을 지정합니다 (아래의 중첩 스키마 참조).
  • cert_format (문자열) CertificateFormat은 이전 버전의 OpenSSH와의 호환성을 허용하는 사용자 인증서의 형식을 정의합니다.
  • client_idle_timeout (문자열) ClientIdleTimeout은 유휴 타임아웃 동작에서 클라이언트를 연결 해제하도록 설정하며, 0으로 설정된 경우 연결 해제를 하지 않고, 그렇지 않으면 유휴 기간으로 설정됩니다.
  • create_db_user (부울)
  • create_db_user_mode (숫자) CreateDatabaseUserMode는 꺼지지 않도록 설정된 경우 데이터베이스에 자동적으로 만들어질 수 있는 사용자와 관련이 있습니다. 0은 "지정되지 않음", 1은 "꺼짐", 2는 "유지", 3은 "최선의 노력으로 삭제"입니다.
  • create_desktop_user (부울)
  • create_host_user (부울)
  • create_host_user_mode (숫자) CreateHostUserMode는 꺼지지 않도록 설정된 경우 호스트에 자동적으로 만들어질 수 있는 사용자와 관련이 있습니다. 0은 "지정되지 않음"; 1은 "꺼짐"; 2는 "삭제"(v15 이상에서 제거됨), 3은 "유지"; 4는 "불안전하게 삭제"입니다.
  • desktop_clipboard (부울)
  • desktop_directory_sharing (부울)
  • device_trust_mode (문자열) DeviceTrustMode는 역할과 연결된 리소스에 대해 사용되는 장치 승인 모드입니다. DeviceTrust.Mode를 참조하십시오.
  • disconnect_expired_cert (부울) DisconnectExpiredCert는 만료된 인증서에 대해 클라이언트를 연결 해제하도록 설정합니다.
  • enhanced_recording (문자열 목록) BPF는 BPF 기반 세션 레코더를 위해 기록할 이벤트를 정의합니다.
  • forward_agent (부울) ForwardAgent는 SSH 에이전트 포워딩입니다.
  • idp (속성) IDP는 텔레포트 내 IdP에 대한 액세스와 관련된 옵션 집합입니다. 텔레포트 엔터프라이즈가 필요합니다. (아래의 중첩 스키마 참조).
  • lock (문자열) Lock은 역할에 적용할 잠금 모드 (strict|best_effort)를 지정합니다.
  • max_connections (숫자) MaxConnections는 사용자가 보유할 수 있는 최대 동시 연결 수를 정의합니다.
  • max_kubernetes_connections (숫자) MaxKubernetesConnections는 사용자가 보유할 수 있는 최대 동시 Kubernetes 세션 수를 정의합니다.
  • max_session_ttl (문자열) MaxSessionTTL은 SSH 세션이 지속될 수 있는 최대 기간을 정의합니다.
  • max_sessions (숫자) MaxSessions는 연결당 최대 동시 세션 수를 정의합니다.
  • mfa_verification_interval (문자열) MFAVerificationInterval은 연속 MFA 검증 사이의 최대 기간을 선택적으로 정의합니다. 이 변수는 사용자가 주기적으로 자신의 신원을 검증하도록 요청받도록 하여, 터널링 프록시 * 파생체를 사용할 때 재인증 없이도 장시간 세션을 방지합니다. MFA가 필요한 세션에서만 효과적입니다. 설정되지 않은 경우, 기본적으로 max_session_ttl가 사용됩니다.
  • permit_x11_forwarding (부울) PermitX11Forwarding은 X11 포워딩 사용을 허가합니다.
  • pin_source_ip (부울) PinSourceIP는 인증서 생성 및 사용을 위한 동일한 클라이언트 IP를 강제합니다.
  • port_forwarding (부울)
  • record_session (속성) RecordDesktopSession은 데스크탑 액세스 세션을 기록할 것인지를 지정합니다. 명시적으로 false로 설정되지 않는 한 기본적으로 true입니다. (아래의 중첩 스키마 참조).
  • request_access (문자열) RequestAccess는 요청 전략 (optional|note|always)을 정의하며, 여기서 optional이 기본값입니다.
  • request_prompt (문자열) RequestPrompt는 사용자에게 요청해야 할 내용을 알려주는 선택적 메시지입니다.
  • require_session_mfa (숫자) RequireMFAType는 이 사용자에게 적용되는 MFA 요구 유형입니다. 0은 "OFF", 1은 "SESSION", 2는 "SESSION_AND_HARDWARE_KEY", 3은 "HARDWARE_KEY_TOUCH", 4은 "HARDWARE_KEY_PIN", 5는 "HARDWARE_KEY_TOUCH_AND_PIN"입니다.
  • ssh_file_copy (부울)

spec.options.cert_extensions의 중첩 스키마

선택적:

  • mode (숫자) Mode는 사용될 확장의 유형입니다 -- 현재 중요한 옵션은 지원되지 않습니다. 0은 "확장"입니다.
  • name (문자열) Name은 인증서 확장에서 사용할 키를 지정합니다.
  • type (숫자) Type은 확장되는 인증서 유형을 나타내며 현재는 SSH만 지원됩니다. 0은 "ssh"입니다.
  • value (문자열) Value는 인증서 확장에서 사용할 값을 지정합니다.

spec.options.idp의 중첩 스키마

선택적:

  • saml (속성) SAML은 텔레포트 SAML IdP와 관련된 옵션입니다. (아래의 중첩 스키마 참조).

spec.options.idp.saml의 중첩 스키마

선택적:

  • enabled (부울)

spec.options.record_session의 중첩 스키마

선택적:

  • default (문자열) Default는 서비스에 대한 기본 값을 나타냅니다.
  • desktop (부울)
  • ssh (문자열) SSH는 SSH 세션에서 사용되는 세션 모드를 나타냅니다.
Teleport 원문 보기