Workload Identity 소개

워크로드와 비인간 아이덴티티에 유연하고 단기적인 암호화 아이덴티티를 안전하게 발급하는 Teleport Workload Identity를 설명합니다.

Teleport Workload Identity는 워크로드에 단기 암호화 아이덴티티를 안전하게 발급합니다. 인프라 전반의 워크로드 아이덴티티를 위한 유연한 기반으로, 실행 위치에 관계없이 워크로드가 인증하는 방법을 통일합니다. Teleport Workload Identity의 유연한 특성은 다양한 목적으로 사용할 수 있게 합니다: AWS, GCP, Azure와 같은 클라우드 플랫폼에서 써드파티 API에 대한 워크로드 인증. Zero Trust 전략의 일환으로 인프라 내 워크로드 간 상호 TLS 인증을 위한 X.509 인증서 제공. 인프라 내 서비스 간 워크로드 인증. Teleport Workload Identity는 오픈소스 SPIFFE (Secure Production Identity Framework For Everyone) 표준과 호환됩니다. 이는 워크로드 아이덴티티 구현 간의 상호 운용성을 가능하게 하고 워크로드와의 통합을 단순화하는 기성 도구와 SDK를 풍부하게 제공합니다. Teleport Workload Identity를 채택하는 데는 다양한 이점이 있지만 주요 사항은 다음과 같습니다: 인프라 내 장기 공유 시크릿 사용을 제거하고 유출 위험과 엔지니어가 이러한 시크릿을 생성 및 교체하는 데 소요되는 시간을 줄입니다. 워크로드를 위한 즉시 사용 가능한 범용 아이덴티티 형태를 확립하여 엔지니어가 인증 방법을 생각하지 않고도 새로운 서비스를 구축할 수 있게 합니다. 워크로드의 1등급 아이덴티티 형태에 수렴하여 워크로드가 인증하는 다양한 방법의 수를 줄임으로써 인프라를 단순화합니다. 작동 방식 # Teleport Workload Identity는 Teleport 클러스터 내에 루트 인증 기관을 설정하여 워크로드에 단기 JWT와 X509 인증서를 발급하는 역할을 담당합니다. 이러한 아이덴티티는 SPIFFE Verifiable Identity Documents (SVID)라고도 하며 URI로 인코딩된 워크로드의 아이덴티티를 포함합니다. 이것을 SPIFFE ID라고도 합니다. 이 SPIFFE ID의 구조는 사용자가 결정하며 워크로드를 고유하게 식별하는 데 필요한 모든 정보를 인코딩할 수 있습니다. 이러한 아이덴티티를 요청하는 기능은 Teleport의 역할 기반 접근 제어 시스템으로 제어됩니다. 사용자와 Bot은 특정 SPIFFE ID로 아이덴티티를 요청할 수 있는 역할을 부여받습니다. tbot 에이전트는 아이덴티티가 필요한 워크로드 근처에 설치됩니다. 워크로드를 위한 아이덴티티 요청 및 갱신 프로세스를 관리합니다. tbot 에이전트는 지원하는 조인 방법 중 하나를 사용하여 Teleport 클러스터에 인증하며, 많은 경우 장기 시크릿 사용이 아닌 페더레이션 신뢰를 기반으로 인증할 수 있습니다. 워크로드는 두 가지 방법 중 하나로 아이덴티티를 받을 수 있습니다: tbot 에이전트가 이러한 아이덴티티를 로컬 파일시스템의 디렉터리 또는 Kubernetes 시크릿에 쓸 수 있습니다. tbot 에이전트가 SPIFFE Workload API를 노출할