AWS 크로스 계정 데이터베이스 접근

외부 AWS 계정의 AWS 데이터베이스를 Teleport에 연결하는 방법.

하나의 AWS 계정에서 AWS IAM 자격 증명을 사용하여 Teleport 데이터베이스 서비스를 배포하고, AWS IAM 역할을 사용하여 Teleport가 다른 AWS 계정의 데이터베이스에 접근하도록 허용할 수 있습니다. Teleport 데이터베이스 서비스가 AWS 데이터베이스에 대한 단기 인증 토큰을 검색, 구성 또는 검색해야 할 때, AWS IAM ID의 자격 증명을 사용하여 AWS API에 요청합니다. AWS 계정 간에 리소스에 접근하려면, Teleport 데이터베이스 서비스가 추가 AWS API 작업을 수행하기 전에 다른 계정의 AWS 역할을 수임하도록 구성할 수 있습니다. 이는 단일 AWS 역할로 제한되지 않습니다: Teleport 데이터베이스 서비스는 자체 AWS 계정과 여러 외부 AWS 계정의 데이터베이스에 동시에 연결하도록 구성할 수 있습니다. Teleport 데이터베이스 서비스가 AWS IAM 역할을 수임하도록 구성하고, sts:AssumeRole 호출을 허용하도록 AWS IAM 권한이 구성되어 있는지 확인해야 합니다. Note AWS의 네트워크 구성이 Teleport 데이터베이스 서비스가 데이터베이스에 연결할 수 있도록 허용하는지도 확인해야 합니다. 이 가이드는 AWS 네트워크 구성을 다루지 않습니다. 이는 특정 AWS 네트워크 설정과 Teleport에 연결하려는 AWS 데이터베이스 종류에 따라 다르기 때문입니다. 자세한 내용은 데이터베이스 연결 방법 을 참조하세요. Teleport 구성 # Teleport 데이터베이스 서비스는 외부 AWS IAM 역할을 수임하도록 구성되어야 하며, 선택적으로 해당 역할을 수임할 때 외부 ID를 전달해야 합니다. 구성된 AWS IAM 역할은 Teleport 데이터베이스 서비스가 AWS 데이터베이스를 검색, 구성 또는 단기 인증 토큰을 검색하기 위해 AWS API를 사용하기 전에 AWS STS AssumeRole 호출을 통해 수임됩니다. "외부 ID"는 AWS가 혼동된 대리인 문제 라고 부르는 것을 해결하는 데 사용됩니다. Teleport 데이터베이스 서비스를 외부 ID를 사용하도록 구성하면, AWS STS AssumeRole 을 호출할 때 해당 외부 ID를 포함합니다. 외부 AWS IAM 역할의 신뢰 정책은 AssumeRole 호출에 올바른 외부 ID가 제공되었는지 확인하는 데 사용됩니다. 외부 ID를 사용해야 하는 경우에 대한 자세한 내용은 다음을 참조하세요: AWS 외부 ID의 목적 . AWS 데이터베이스 검색 구성, 정적 데이터베이스 구성, 동적 데이터베이스 구성 모두 assume_role_arn 및 external_id 설정을 지원합니다. AWS 검색 정적 구성 동적 구성 외부 AWS IAM 역할을 수임하면서 AWS 데이터베이스를 검색하도록 Teleport 데이터베이스 서비스 구성 파일을 수정합니다. # 이 예제 구성은 "example-role" 외부 AWS IAM 역할을 수임하여 # AWS 계정 `222222222222` 내 us-west-1의 Amazon RDS 데이터베이스를