Workload Identity와 AWS Roles Anywhere 구성

AWS Roles Anywhere를 사용하여 Workload Identity 인증서를 인증으로 수락하도록 AWS 구성하기

작동 방식

OIDC Federation vs Roles Anywhere

사전 요구 사항

Cluster (=teleport.url=)

Version (=teleport.version=)

CA pin (=presets.ca_pin=)

SPIFFE ID 구조 결정

1/4단계. AWS Roles Anywhere 구성

Roles Anywhere 신뢰 앵커 구성

역할 생성

Roles Anywhere 프로필 생성

2/4단계. Teleport RBAC 구성

그리고 사용자의 역할 목록에 역할을 추가합니다

3/4단계. Workload Identity 인증서 발급

`tbot`을 사용하는 머신의 경우

`tsh`를 사용하는 사람의 경우

4/4단계. Roles Anywhere를 사용한 인증을 위한 AWS CLI 및 SDK 구성

다음 단계

Teleport Workload Identity는 X.509 인증서 형식으로 유연한 단기 유효 신원을 발급합니다. AWS Roles Anywhere를 사용하면 이러한 인증서를 AWS 서비스에 인증하는 데 활용할 수 있습니다. 이는 머신이 장기 자격 증명 없이 AWS 서비스에 안전하게 인증해야 하는 경우에 유용합니다. 머신은 위임된 조인 방법 중 하나를 사용하여 공유 시크릿 없이 Teleport에 인증할 수 있기 때문입니다. 작동 방식 # 이 구현은 Teleport Application Service를 사용하여 AWS API를 보호하는 것과 몇 가지 차이점이 있습니다: AWS에 대한 요청이 Teleport Proxy Service를 통해 프록시되지 않아 지연 시간이 줄어들지만, 이러한 요청이 Teleport의 감사 로그에 기록되지 않아 가시성도 낮아집니다. Workload Identity는 명령줄 도구뿐만 아니라 SDK를 포함한 모든 AWS 클라이언트와 함께 작동합니다. Teleport Application Service를 사용하여 AWS에 접근하는 것은 Machine & Workload Identity와 함께 작동하지 않으므로 머신이 AWS에 인증해야 할 때는 사용할 수 없습니다. 이 가이드는 주로 머신이 AWS에 접근할 수 있도록 하는 것을 목표로 하지만, tbot 대신 tsh svid issue 명령을 사용하여 사람이 AWS Roles Anywhere를 사용하여 인증하도록 허용할 수도 있습니다. OIDC Federation vs Roles Anywhere # AWS 플랫폼은 워크로드 신원 페더레이션을 위한 두 가지 방법을 제공합니다: OIDC Federation과 Roles Anywhere. Teleport Workload Identity는 두 가지 방법을 모두 지원합니다. 두 방법 간에는 몇 가지 차이점이 있습니다: Roles Anywhere는 X509 SVID를 AWS 자격 증명으로 교환하는 반면, OIDC Federation은 JWT SVID를 AWS 자격 증명으로 교환합니다. X509 SVID 사용이 일반적으로 더 안전한 것으로 간주됩니다. Roles Anywhere는 워크로드와 함께 AWS 자격 증명 헬퍼 설치가 필요한 반면, OIDC Federation은 그렇지 않습니다. Roles Anywhere는 AWS에서 Teleport Proxy Service에 접근할 필요가 없는 반면, OIDC Federation은 필요합니다. 이 가이드는 Roles Anywhere 구성을 다룹니다. OIDC federation에 대해서는 Workload Identity와 AWS OIDC Federation 구성 을 참조하세요. 사전 요구 사항 # A running Teleport cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment . The tctl and tsh clients. Installing `