Machine & Workload Identity FAQ

Teleport Machine & Workload Identity에 관한 자주 묻는 질문

MWI를 CI/CD 작업에 사용할 수 있나요?

MWI를 신뢰할 수 있는 클러스터와 함께 사용할 수 있나요?

허용된 로그인을 사용자 특성으로 정의해야 하나요, 아니면 역할 내에서 정의해야 하나요?

MWI를 세션별 MFA와 함께 사용할 수 있나요?

MWI를 Device Trust와 함께 사용할 수 있나요?

MWI를 장기 유효 인증서 생성에 사용할 수 있나요?

MWI를 여러 Kubernetes 클러스터에 연결하는 데 사용할 수 있나요?

`tbot`은 Windows를 지원하나요?

이 페이지는 Machine & Workload Identity (MWI)에 관한 자주 묻는 질문에 대한 답변을 제공합니다. Teleport 전반에 관한 자주 묻는 질문 목록은 자주 묻는 질문 을 참조하십시오. MWI를 CI/CD 작업에 사용할 수 있나요? # 워크플로우가 임시 환경(예: 개별 워크플로우 실행 간에 지속적인 상태가 없음)에서 실행되는 CI/CD 플랫폼에서는, 지원되는 조인 방법이 있는 경우 MWI가 가장 잘 작동합니다. 지원되는 조인 방법은 다음과 같습니다: GitHub Actions CircleCI GitLab AWS GCP Azure Kubernetes Spacelift Terraform Cloud 런너 환경을 직접 제어하는 CI/CD 플랫폼(예: 자체 호스팅 Jenkins 런너)에서는 MWI를 런너의 데몬으로 실행할 수 있으며, 생성된 자격증명을 개별 워크플로우 실행 환경에 마운트할 수 있습니다. MWI를 신뢰할 수 있는 클러스터와 함께 사용할 수 있나요? # 신뢰할 수 있는 리프 클러스터에서 SSH 접근에 MWI를 사용할 수 있습니다. 현재 리프 클러스터의 애플리케이션, 데이터베이스, 또는 Kubernetes 클러스터에 대한 접근은 지원하지 않습니다. 허용된 로그인을 사용자 특성으로 정의해야 하나요, 아니면 역할 내에서 정의해야 하나요? # 봇이 사용할 수 있는 로그인을 정의할 때 두 가지 옵션이 있습니다: 봇이 가장할 역할의 logins 섹션에 직접 로그인을 추가합니다. 봇 사용자의 logins 특성에 로그인을 추가하고, {{ internal.logins }} 역할 변수를 포함하는 역할을 가장합니다. 이는 일반적으로 봇 생성 시 --logins 파라미터를 제공하여 수행됩니다. 봇이 단일 서비스나 역할만 사용할 것으로 예상되는 간단한 시나리오에서는 봇 사용자의 logins 특성에 로그인을 추가할 수 있습니다. 이 방법을 사용하면 access 와 같은 기본 역할을 활용할 수 있습니다. 봇이 서로 다른 서비스에서 다른 역할에 대한 인증서를 생성하는 경우, 로그인 특성이 의도하지 않은 리소스에 대한 접근을 허용하는지 고려하는 것이 중요합니다. 의도하지 않은 접근 권한을 부여하는 것을 방지하려면, 인증서에 포함되어야 하는 로그인을 명시적으로 지정하는 맞춤형 역할을 생성하는 것을 권장합니다. MWI를 세션별 MFA와 함께 사용할 수 있나요? # 현재 MWI와 세션별 MFA를 함께 지원하지 않습니다. 세션별 MFA를 전역적으로 활성화하거나, MWI가 가장하는 역할에 대해 활성화하면, MWI가 생성한 자격증명을 리소스 연결에 사용할 수 없게 됩니다. 해결 방법으로, 세션별 MFA가 전역적으로 적용되는 것이 아닌 개별 역할에만 적용되도록 하고, MWI를 사용하여 가장할 역할에는 적용되지 않도록 하십시오. MWI를 Device Trust와 함께 사용할 수 있나요? # 현재 MWI와 Device Trust를 함께 지원하지 않습니다. 클러스터 전체 또는 MWI가 가장하는 역할에 대해 Device Trust를 요구하면, MWI가