JWT SVIDs

Teleport Workload Identity가 발급하는 JWT SVID 개요

Teleport Workload Identity가 발급할 수 있는 자격증명 유형 중 하나는 JWT SVID입니다. 이것은 워크로드의 아이덴티티를 포함하고 Teleport Workload Identity CA에 의해 서명된 단기 JSON Web Token (JWT)입니다. JWT SVID를 발급하는 기능은 Teleport 16.4.3부터 사용할 수 있습니다. 클레임 # JWT에는 다음 클레임이 포함됩니다: sub : 워크로드의 SPIFFE ID. aud : JWT의 대상. 의도된 수신자를 나타내며 토큰 재사용 가능성을 제한합니다. exp : JWT의 만료 시간. 기본적으로 Teleport는 5분의 만료 수명을 가진 JWT-SVID를 발급합니다. iat : JWT가 발급된 시간. jti : 이 JWT의 고유 식별자. JWT-SVID를 발급과 관련된 감사 로그와 연관시킬 수 있습니다. iss : JWT의 발급자. 이것은 Teleport Proxy Service에 구성된 공개 주소에서 추출된 호스트입니다. JWT-SVID는 X509-SVID가 적합하지 않은 시나리오에서 유용할 수 있습니다. 예를 들어 워크로드가 TLS 종료 로드 밸런서 뒤에 있는 다른 워크로드에 인증해야 하는 경우입니다. OIDC 호환성 # Teleport Workload Identity가 발급하는 JWT SVID는 OIDC ID 토큰 사양과 호환됩니다. 이는 워크로드가 OIDC ID 토큰을 인증 형태로 수락하는 서비스에 인증하는 데 사용할 수 있다는 것을 의미합니다. OIDC 호환성은 Teleport Proxy Service에 의해 노출되는 두 가지 엔드포인트에 의해 지원됩니다: /workload-identity/.well-known/openid-configuration : 이 엔드포인트는 Teleport Workload Identity CA의 OIDC 구성을 노출합니다. 여기에는 발급자 URL과 지원하는 서명 알고리즘이 포함됩니다. /workload-identity/jwt-jwks.json : 이 엔드포인트는 Teleport Workload Identity CA의 공개 서명 키를 노출합니다. OIDC federation이 올바르게 작동하려면 이 두 엔드포인트가 JWT SVID를 사용하여 인증하려는 서비스에서 접근 가능해야 합니다. Teleport Workload Identity는 OIDC 구성의 발급자 URL로 Teleport Proxy 서비스에 구성된 공개 주소를 사용합니다. 다음 플랫폼으로 Teleport Workload Identity가 발급한 JWT-SVID를 테스트했습니다: AWS Google Cloud Platform Azure 다음 단계 # Workload Identity 개요 : Teleport Workload Identity 개요. 모범 사례 : 프로덕션에서 Workload Identity 사용에 대한 모범 사례. 구성 참조 를 읽어 사용 가능한 모든 구성 옵션을 탐색하세요.