Teleport로 AWS CLI 및 콘솔 접근 보호하기

AWS OIDC 통합을 사용하여 AWS CLI 및 콘솔에 접근합니다.

작동 방식

사전 요구 사항

1/6단계. AWS OIDC 통합 생성

2/6단계. 통합이 다른 IAM 역할을 수임할 수 있도록 허용

3/6단계. 모든 IAM 역할에 신뢰 관계 추가

4/6단계. Teleport에 AWS CLI/콘솔 앱 생성

5/6단계. 접근 설정

6/6단계. AWS 콘솔 및 CLI 접근

문제 해결

AWS 앱이 목록에 없거나 IAM 역할 목록이 비어 있음

특정 IAM 역할 접근 시 오류 발생

다음 단계

AWS IAM 역할 매핑 세분화

특정 프로필 및 IAM 역할에 접근 권한을 부여하는 Teleport 역할 생성

Teleport는 AWS IAM Identity Provider와 통합하여 AWS CLI 및 콘솔 접근을 제공합니다. 이를 통해 Teleport의 역할 기반 접근 제어(RBAC), 적시 접근 요청(Just-in-Time Access Requests) 및 기타 Teleport Zero Trust 접근과 Identity Governance 기능을 활용하여 AWS 인프라에 대한 접근을 관리할 수 있습니다. Tip AWS IAM Roles Anywhere를 사용하고 있다면, AWS 콘솔 및 CLI 기반 도구에 대한 접근을 관리하는 권장 방법을 제공하는 해당 가이드 를 참조하십시오. 퍼블릭 클러스터가 없거나 조직에서 Roles Anywhere를 도입하지 않은 경우, Teleport를 통해 감사 캡처와 함께 사용자에게 AWS CLI 접근을 제공하려면 에이전트 기반 AWS 접근 가이드를 참조하십시오. Teleport Web UI에서 "AWS CLI/Console Access via AWS OIDC IdP" 등록 마법사를 사용하여 접근을 설정하거나, 이 가이드에 따라 수동으로 설정할 수 있습니다. 작동 방식 # AWS CLI 및 콘솔 접근을 설정하려면 AWS OIDC 통합 이 필요합니다. AWS OIDC 통합은 AWS IAM OpenID Connect Identity Provider(OIDC IdP)와 Teleport 클러스터가 수임할 수 있는 AWS IAM 역할을 생성하고 구성합니다. 등록 마법사는 AWS OIDC 통합 IAM 역할에 권한을 추가하여 사용자가 다른 기존 IAM 역할을 수임할 수 있도록 합니다. 사전 요구 사항 # 실행 중인 Teleport 클러스터 프리셋 editor 역할을 가진 Teleport 사용자 IAM Identity Provider 및 역할을 생성할 수 있는 AWS 계정 및 권한 1/6단계. AWS OIDC 통합 생성 # 등록 마법사는 Teleport Web UI의 "Add New Resource" 패널에서 사용할 수 있습니다: Teleport Web UI는 AWS OIDC 통합 설정(아직 없는 경우), IAM 권한 구성 및 AWS IAM 역할에 대한 접근 설정 단계를 안내합니다. 필드를 AWS OIDC 통합이 생성한 IAM 역할 이름으로 설정합니다. 2/6단계. 통합이 다른 IAM 역할을 수임할 수 있도록 허용 # 마법사는 AWS OIDC 통합 IAM 역할이 다른 IAM 역할을 수임하는 데 필요한 권한을 구성하는 스크립트를 실행하도록 안내합니다. 이 스크립트는 통합의 IAM 역할에 다음 인라인 정책을 추가합니다: { "Version" : "2012-10-17" , "Statement" : [ { "Effect" : "Allow" , "Action" : "sts:AssumeRole" , "Resource" : "*" , "Condition" : { "StringEquals" : { "iam:ResourceTag/teleport.dev/integration" : "true" } } } ] } 3/6단계. 모든 IAM 역할에 신