중첩된 접근 목록

중첩된 접근 목록을 사용하여 Teleport에서 복잡한 권한과 상속을 관리하는 방법을 알아봅니다.

중첩된 접근 목록을 사용하면 접근 목록을 다른 접근 목록의 멤버 또는 소유자로 포함할 수 있습니다. 이를 통해 여러 수준의 상위 접근 목록에서 권한을 상속할 수 있는 계층적 권한 구조가 가능합니다. 이 가이드는 다음을 도와줍니다: 접근 목록에서 중첩과 상속이 어떻게 작동하는지 이해하기 중첩된 접근 목록 만들기 중첩된 접근 목록을 통해 부여된 상속된 권한 확인하기 작동 방식 # 접근 목록의 상속에 대해 알아봅시다. 조직에서 사용할 수 있는 두 접근 목록을 상상해 보세요: "Engineering Team"과 "Production Access". "Engineering Team"은 엔지니어 그룹을 나타내고, "Production Access"는 프로덕션 리소스에 대한 접근을 부여하는 상위 수준 접근 목록입니다. 멤버십 상속 : "Engineering Team"이 "Production Access"의 멤버로 추가되면, "Engineering Team"의 멤버인 모든 사용자는 "Production Access"의 멤버 부여(역할 및 트레잇)를 상속합니다. 소유권 상속 : "Engineering Team"이 "Production Access"의 소유자로 추가되면, "Engineering Team"의 멤버인 모든 사용자는 "Production Access"의 소유자 부여(역할 및 트레잇)를 상속하고, 수정하거나 멤버를 관리하는 것과 같은 소유자 작업을 수행할 수 있습니다. 상속은 재귀적입니다 – "Engineering Team"의 멤버는 자체 멤버를 가진 접근 목록이 될 수 있으며, 이런 식으로 계속됩니다. 그러나 순환 중첩은 허용되지 않으며, 중첩은 최대 깊이 10레벨로 제한됩니다. 자세한 내용은 접근 목록 레퍼런스 를 참조하세요. 전제 조건 # A running Teleport Enterprise (v17.0.1 or higher) cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment . The tctl and tsh clients. Installing `tctl` and `tsh` clients Determine the version of your Teleport cluster. The tctl and tsh clients must be at most one major version behind your Teleport cluster version. Send a GET request to the Proxy Service at /v1/webapi/find and use a JSON query tool to obtain your cluster version. Replace with the web address of your Teleport Proxy Service: $ TELEPORT_DOMAIN= $ TELEPORT_VERSION="$(curl -s https://$TELEPORT_DOMAIN/v1/webapi/f