SPIFFE Federation

Teleport Workload Identity SPIFFE Federation 기능 개요.

Federation은 Teleport Workload Identity 신뢰 도메인과 다른 신뢰 도메인 간의 관계를 설정하여 두 신뢰 도메인 내의 워크로드가 서로의 아이덴티티를 검증할 수 있도록 합니다. 이를 통해 다른 환경이나 다른 조직 내의 워크로드가 안전하게 통신할 수 있습니다. SPIFFE는 서로 다른 구현에 의해 관리되는 신뢰 도메인이 서로 페더레이션할 수 있도록 하는 federation 표준을 설정합니다. 예를 들어 Teleport Workload Identity가 관리하는 신뢰 도메인은 SPIRE가 관리하는 신뢰 도메인과 페더레이션할 수 있습니다. SPIFFE Federation 프로세스는 신뢰 도메인 간의 신뢰 번들 교환에 의존합니다. 이러한 신뢰 번들에는 발급한 아이덴티티를 검증하는 데 필요한 신뢰 도메인 발급자의 인증서와 공개 키가 포함됩니다. Federation 관계는 "단방향"이며, 이는 한 신뢰 도메인 내의 워크로드가 다른 신뢰 도메인 내의 워크로드 아이덴티티를 검증할 수 있지만 다른 신뢰 도메인 내의 워크로드는 첫 번째 신뢰 도메인 내의 워크로드 아이덴티티를 검증할 수 없다는 것을 의미합니다. 따라서 federation 관계를 양방향으로 설정하는 것이 일반적입니다. Teleport Enterprise 필요 Teleport Workload Identity의 federation 기능을 사용하려면 유효한 Teleport Enterprise 라이선스가 필요합니다. Teleport Workload Identity로의 Federation # 이 섹션은 다른 신뢰 도메인이 Teleport Workload Identity가 호스팅하는 신뢰 도메인을 신뢰하도록 구성하는 방법을 설명합니다. 신뢰 도메인이 Teleport Workload Identity를 신뢰하도록 구성하려면 신뢰 도메인의 컨트롤 플레인이 Teleport Proxy Service에 노출된 SPIFFE 번들 엔드포인트에 접근할 수 있어야 합니다. Teleport Workload Identity SPIFFE 번들 엔드포인트는 SPIFFE Federation 사양에 정의된 "https_web" 프로필을 구현합니다. 이는 엔드포인트가 Teleport Proxy에 구성된 표준 웹 TLS 인증서를 사용하여 제공된다는 것을 의미합니다. SPIFFE 번들 엔드포인트는 Teleport Proxy Service에서 /webapi/spiffe/bundle.json 경로로 노출됩니다. Teleport Workload Identity에서의 Federation # 이 섹션은 Teleport Workload Identity가 호스팅하는 신뢰 도메인이 다른 신뢰 도메인을 신뢰하도록 구성하는 방법을 설명합니다. Teleport Workload Identity는 SPIFFE Federation 사양에 정의된 "https_web" 프로필을 준수하는 SPIFFE 번들 엔드포인트를 제공하는 신뢰 도메인과의 페더레이션만 지원합니다. spiffe_federation 리소스는 Teleport Workload