Workload Identity와 Azure Federated Credentials 구성

Azure Federated Credentials를 사용하여 Workload Identity JWT를 인증으로 수락하도록 Azure 구성하기

Teleport Workload Identity는 JWT 형식으로 유연한 단기 유효 신원을 발급합니다. Azure Federated Credentials를 사용하면 이러한 JWT를 Azure 서비스에 인증하는 데 활용할 수 있습니다. 이는 머신이 장기 자격 증명 없이 Azure 서비스에 안전하게 인증해야 하는 경우에 유용합니다. 머신은 위임된 조인 방법 중 하나를 사용하여 공유 시크릿 없이 Teleport에 인증할 수 있기 때문입니다. 이 가이드에서는 Teleport Workload Identity와 Azure를 구성하여 워크로드가 Azure Blob Storage에 인증하고 컨테이너에 콘텐츠를 업로드할 수 있도록 합니다. 작동 방식 # 이 구현은 Teleport Application Service를 사용하여 Azure API를 보호하는 것과 몇 가지 차이점이 있습니다: Azure에 대한 요청이 Teleport Proxy Service를 통해 프록시되지 않아 지연 시간이 줄어들지만, 이러한 요청이 Teleport의 감사 로그에 기록되지 않아 가시성도 낮아집니다. Workload Identity는 명령줄 도구뿐만 아니라 SDK를 포함한 모든 Azure 클라이언트와 함께 작동합니다. Teleport Application Service를 사용하여 Azure에 접근하는 것은 Machine & Workload Identity와 함께 작동하지 않으므로 머신이 Azure에 인증해야 할 때는 사용할 수 없습니다. 사전 요구 사항 # A running Teleport cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment . The tctl and tsh clients. Installing `tctl` and `tsh` clients Determine the version of your Teleport cluster. The tctl and tsh clients must be at most one major version behind your Teleport cluster version. Send a GET request to the Proxy Service at /v1/webapi/find and use a JSON query tool to obtain your cluster version. Replace with the web address of your Teleport Proxy Service: $ TELEPORT_DOMAIN= $ TELEPORT_VERSION="$(curl -s https://$TELEPORT_DOMAIN/v1/webapi/find | jq -r '.server_version')" Follow the instructions for your platform to install tctl and tsh clients: To check that you can connect to your Telep