접근 요청 구성

Teleport 클러스터에서 역할 및 리소스에 대한 적시(JIT) 접근을 구성하는 데 사용 가능한 옵션을 설명합니다.

사용자가 요청할 수 있는 접근

역할 요청 제한

리소스 요청 제한

requester.yaml

접근 지속 시간

상승된 권한 기간 계산

사용자가 상승된 권한을 가정할 수 있는 시기 설정

`request.max_duration` 필드

접근 요청의 유효 기간

클라이언트의 접근 요청 방법

요청 이유 요구

커스텀 요청 이유 프롬프트

검토 임계값

`allow.request.thresholds` 필드

임계값 필터

제안된 검토자

제안된 검토자로서의 접근 목록 소유자

검토자가 접근을 부여할 수 있는 역할

특정 역할에 대한 검토 허용 및 거부

`where` 표현식

...

요청된 리소스 검사

요청 주석

요청 주석을 지원하는 플러그인

주석 허용 및 거부

커스텀 플러그인에서 주석 읽기

추가 읽기

이 가이드는 Teleport 접근 요청을 구성할 때 고려해야 할 사항을 설명합니다. 접근 요청은 Teleport 사용자가 동일한 Teleport 클러스터의 하나 이상의 사용자로부터 승인을 받아 상승된 권한을 얻을 수 있도록 합니다. 접근 요청은 역할별로 구성할 수 있습니다. 사용자가 SSO 공급자를 통해 Teleport에 인증하면, Teleport Auth Service는 사용자의 모든 역할을 조합하여 해당 사용자의 접근 요청 구성을 결정합니다. 그런 다음 Teleport는 사용자가 만드는 모든 접근 요청에 이 구성을 적용합니다. 전체 접근 요청 라이프사이클 예시를 보려면 다음 방법 가이드 중 하나를 따르세요: 상용 Teleport 에디션의 역할 요청 상용 Teleport 에디션의 리소스 요청 Teleport Community Edition의 역할 요청 사용자가 요청할 수 있는 접근 # 기본적으로 Teleport 사용자는 상승된 권한을 요청할 수 없습니다. 사용자가 요청할 수 있는 상승된 접근을 구성하려면 다음을 수행하는 Teleport 역할을 정의할 수 있습니다: 사용자가 요청할 수 있는 다른 Teleport 역할을 명시합니다. 사용자가 데이터베이스 또는 Kubernetes 클러스터와 같은 요청할 리소스를 검색하는 데 사용할 수 있는 다른 Teleport 역할을 명시합니다. Teleport 역할이 사용자가 이러한 역할에 대한 접근을 요청하지 못하도록 방지하도록 구성할 수도 있습니다. 역할 요청 제한 # 사용자가 접근 요청을 제출할 때 접근을 요청하고 싶은 역할을 지정할 수 있습니다. 다음 구성 옵션을 사용하여 사용자가 특정 역할에 대한 접근을 요청하도록 허용하고 다른 역할에 대한 접근을 거부할 수 있습니다: allow.request.roles allow.request.claims_to_roles deny.request.roles deny.request.claims_to_roles 다음은 employee 사용자가 dev 와 dba 역할을 요청할 수 있도록 허용하고 아래에서 설명할 더 복잡한 제한 사항을 지정하는 예시입니다: kind: role version: v7 metadata: name: employee spec: allow: request: roles: - 'dev' - 'dba' claims_to_roles: - claim: groups value: admins roles: [ '*' ] deny: request: claims_to_roles: - claim: groups value: contractors roles: [ '*' ] Teleport Auth Service는 사용자의 모든 역할에 대한 이러한 필드의 값을 두 개의 역할 매처 목록으로 결합합니다: 거부: 요청된 역할이 이 중 하나와 일치하면 Teleport가 요청을 거부합니다. 허용: 요청된 역할이 이 중 하나와 일치하고 거부 매처도 역할과 일치하지 않으면 Teleport가 요청을 허용합니다. 역할 매처에는 다음 값이 포함될 수 있습니다: 역할의 리터럴 이름(예: ad