Teleport Identity Security로 AWS 접근 패턴 탐색

Identity Security를 사용하여 AWS 계정 접근 패턴을 가져오고 시각화하는 방법을 설명합니다.

작동 방식

클라우드 API 폴링

리소스 가져오기

AWS CloudTrail 로그 가져오기 (선택 사항)

Amazon EKS API 서버 감사 로그 가져오기 (선택 사항)

사전 조건

1단계/4단계. Discovery Service 구성 (셀프 호스팅만 해당)

2단계/4단계. Identity Activity Center를 위한 CloudTrail 이벤트 통합 (선택 사항)

3단계/4단계. Identity Activity Center를 위한 Amazon EKS CloudWatch 감사 로그 통합 (선택 사항)

4단계/4단계. Access Graph AWS Sync 설정

Identity Security는 전체 인프라에 걸친 접근 관리를 간소화하고 중앙화합니다. 모든 사용자, 그룹, 컴퓨팅 리소스 간의 통합되고 최신 관계 및 정책을 확인하여 몇 초 만에 접근 관계를 파악할 수 있습니다. Access Graph를 사용하는 Identity Security는 AWS 계정 내 접근 패턴에 대한 인사이트를 제공합니다. IAM 권한, 사용자, 그룹, 리소스, 아이덴티티를 스캔하여 시각적 표현을 제공하고 AWS 환경 내 권한 모델을 개선하는 데 도움을 줍니다. 이 기능을 통해 다음과 같은 질문에 답할 수 있습니다: AWS 사용자와 역할이 접근할 수 있는 리소스는 무엇인가? EC2 인스턴스와 연관된 아이덴티티를 통해 어떤 리소스에 접근할 수 있는가? Teleport 사용자가 EC2 노드에 연결할 때 접근할 수 있는 AWS 리소스는 무엇인가? Identity Security는 CloudTrail 데이터 수집, EKS(Kubernetes) API 서버 감사 로그 수집, 위협 분석 및 Okta, GitHub Actions 같은 다른 서비스와의 상관관계 분석도 제공합니다. AWS 계정 내 IAM 권한을 분석하기 위해 Access Graph를 활용하려면 Access Graph 서비스, Discovery Service를 설정하고 AWS 계정과 통합해야 합니다. Access Graph is a feature of the Teleport Identity Security product available to Teleport Enterprise edition customers. To verify that Access Graph is set up correctly for your cluster, sign in to the Teleport Web UI, click the Identity Security sidebar button, and then the Browse menu item. Identities, resources, etc. should be listed. 작동 방식 # Access Graph는 AWS 접근 패턴을 탐색하고 IAM 정책, 그룹, 사용자, 사용자 그룹, EC2 인스턴스, EKS 클러스터, RDS 데이터베이스, KMS 키 등 다양한 AWS 리소스를 동기화합니다. 이러한 리소스는 Identity Security 사용 페이지 에서 자세히 설명된 그래프 표현을 사용하여 시각화됩니다. 가져오기 과정은 세 가지 주요 단계로 이루어집니다: 클라우드 API 폴링 # Teleport Discovery Service는 구성된 AWS 계정을 지속적으로 스캔합니다. 15분 간격으로 AWS 계정에서 다음 리소스를 검색합니다: 사용자 그룹 사용자 그룹 IAM 역할 IAM 정책 EC2 인스턴스 EKS 클러스터 RDS 데이터베이스 S3 버킷 KMS 키 필요한 모든 리소스를 가져오면 Teleport Discovery Service는 이를 Access Graph에 푸시하여 AWS 환경의 최신 정보로 업데이트된 상태를 유지합니다. 리소스 가져오기 #