AWS IAM 역할을 통한 서비스 조인

IAM 조인 방법을 사용하여 AWS에서 실행 중인 서비스를 Teleport 클러스터에 추가

이 가이드는 IAM 조인 방법 을 사용하여 AWS에서 실행 중인 Teleport 프로세스가 어떠한 시크릿도 공유하지 않고 Teleport 클러스터에 조인하도록 구성하는 방법을 설명합니다. 사용 사례에 따라 두 가지 다른 AWS 조인 방법도 사용할 수 있습니다: EC2 조인 방법 : 셀프 호스팅 Teleport 배포에서만 사용 가능합니다 ( 문서 참조). EC2 인스턴스에서 실행 중인 Teleport 프로세스가 서명된 EC2 인스턴스 아이덴티티 문서를 요청하고 이를 Teleport Auth Service에 제출하면, Auth Service가 EC2 API를 조회하여 인스턴스가 유효한지 확인합니다. 이 방법은 셀프 호스팅 Teleport 클러스터와 Teleport Auth Service에 대한 IAM 자격 증명이 필요합니다. AWS 서명되지 않은 토큰: AWS에서 실행 중인 Teleport 프로세스를 Teleport 조인 토큰 을 통해, 또는 Kubernetes에서 실행 중인 Teleport 프로세스의 경우 서명된 ServiceAccount 토큰 을 통해 클러스터에 조인하도록 구성할 수 있습니다. 이 방법은 AWS 특정 API에 의존하고 싶지 않을 때, 예를 들어 클라우드 무관(agnostic) 접근 방식을 채택할 때 유용합니다. 작동 방식 # IAM 조인 방법은 EC2 인스턴스에 연결된 IAM 역할과 같이 IAM 자격 증명에 접근할 수 있는 어느 곳에서나 실행 중인 모든 Teleport 프로세스에서 사용할 수 있습니다. 특정 권한이나 IAM 정책은 필요하지 않습니다: 연결된 정책이 없는 IAM 역할로도 충분합니다. Teleport Auth Service에는 IAM 자격 증명이 필요하지 않습니다. Teleport 프로세스는 사전 서명된 sts:GetCallerIdentity 요청을 Teleport Auth Service에 전송함으로써 AWS 계정에서 실행 중임을 증명합니다. 서비스의 아이덴티티는 AWS 서비스 조인 토큰에 구성된 허용 규칙과 일치해야 합니다. 사전 요구 사항 # A running Teleport cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment . The tctl and tsh clients. Installing `tctl` and `tsh` clients Determine the version of your Teleport cluster. The tctl and tsh clients must be at most one major version behind your Teleport cluster version. Send a GET request to the Proxy Service at /v1/webapi/find and use a JSON query tool to obtain your cluster version. Replace with the web address of your Tele