데스크톱을 위한 역할 기반 접근 제어

Teleport로 보호되는 데스크톱에 대한 역할 기반 접근 제어(RBAC).

Teleport의 RBAC를 통해 관리자는 Teleport에 연결된 Windows 데스크톱에 대한 세분화된 접근 정책을 설정할 수 있습니다. Teleport의 role 리소스는 데스크톱 접근 제어를 위한 다음 옵션을 제공합니다: kind: role version: v5 metadata: name: developer spec: options: # 사용자의 데스크톱 세션 녹화 여부를 지정합니다. # 사용자의 역할 중 하나 이상이 녹화를 활성화한 경우 데스크톱 세션 녹화가 활성화됩니다. # 지정하지 않으면 기본적으로 true입니다. # auth_service.session_recording이 teleport.yaml에서 'off'로 설정되거나 # 클러스터의 session_recording_config 리소스가 'mode: off'로 설정된 경우 # 데스크톱 세션은 절대 녹화되지 않습니다. record_session: desktop: true # 원격 데스크톱과의 클립보드 공유 허용 여부를 지정합니다 # (지원되는 브라우저 또는 Teleport Connect 필요). # 지정하지 않으면 기본적으로 true입니다. # 사용자의 역할 중 하나 이상이 클립보드를 비활성화한 경우 비활성화됩니다. desktop_clipboard: true # 로컬 머신에서 원격 데스크톱으로 디렉토리 공유 허용 여부를 지정합니다 # (지원되는 브라우저 또는 Teleport Connect 필요). # 지정하지 않으면 기본적으로 true입니다. # 사용자의 역할 중 하나 이상이 디렉토리 공유를 비활성화한 경우 비활성화됩니다. desktop_directory_sharing: true # 연결 시 로컬 사용자를 자동으로 생성할지 여부를 지정합니다. # 기본적으로 이 기능은 비활성화되어 있으며 사용자가 이미 존재해야 합니다. # 참고: 이는 로컬 사용자에만 적용되며 Active Directory 환경에서는 지원되지 않습니다. create_desktop_user: true allow: # 이 역할이 접근할 수 있는 데스크톱에 대한 레이블 선택기. windows_desktop_labels: environment: [ "dev" , "stage" ] # 이 역할이 연결할 수 있는 Windows 사용자 계정. windows_desktop_logins: [ "Administrator" , " {{internal.windows_logins}} " ] Active Directory 구성 Teleport의 RBAC 시스템은 적절한 Active Directory 관리를 대체하지 않습니다. Teleport가 발급한 Windows 인증서는 짧은 시간 동안만 유효하지만, 전체 도메인에 적용됩니다. 각 Teleport 사용자의 역할이 필요한 Windows 로그인만 반영하고, 이러한 Windows 사용자가 적절하게 보호되도록 주의를 기울여야 합니다. Teleport가 internal 및 external 트레이트를 확장하는 방법에 대한 정보를 포함한 전체 Teleport 역할 참조는 Teleport 접근