Workload Identity와 tsh

Workload Identity와 tsh를 사용하여 SPIFFE SVID 발급

일부 시나리오에서는 tbot 없이 수동으로 SPIFFE SVID를 발급하고 싶을 수 있습니다. 이는 디버깅 목적으로 서비스를 가장해야 하거나 인증에 SPIFFE SVID를 사용하는 서비스에 대한 사람 접근을 제공하는 메커니즘을 제공하는 시나리오에서 유용할 수 있습니다. 이 가이드에서는 tsh 도구를 사용하여 SPIFFE SVID를 발급합니다. 사전 요구 사항 # SPIFFE SVID 발급을 허용하도록 구성된 역할과 사용자에게 할당된 이 역할. 자세한 정보는 시작하기 를 참조하세요. A running Teleport cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment . The tctl and tsh clients. Installing `tctl` and `tsh` clients Determine the version of your Teleport cluster. The tctl and tsh clients must be at most one major version behind your Teleport cluster version. Send a GET request to the Proxy Service at /v1/webapi/find and use a JSON query tool to obtain your cluster version. Replace with the web address of your Teleport Proxy Service: $ TELEPORT_DOMAIN= $ TELEPORT_VERSION="$(curl -s https://$TELEPORT_DOMAIN/v1/webapi/find | jq -r '.server_version')" Follow the instructions for your platform to install tctl and tsh clients: 1/2단계. tsh 를 사용하여 SPIFFE X509 SVID 발급 # 먼저 SPIFFE SVID를 쓸 위치를 결정합니다. 디렉터리에 쓰려면 먼저 디렉터리를 생성해야 합니다. 예제에서는 SVID를 svid 라는 디렉터리에 쓸 것입니다. 다음으로 X509 SVID를 발급하는 데 사용할 워크로드 아이덴티티 리소스를 결정합니다. 예제에서는 my-workload-identity 라는 워크로드 아이덴티티를 사용합니다. --output 을 사용하여 출력 디렉터리를 지정하고 --name-selector 를 사용하여 워크로드 아이덴티티 리소스의 이름을 지정하여 SVID를 발급합니다: $ tsh workload-identity issue-x509 --output ./svid --name-selector my-workload-identity 또한 플래그를 사용하여 SVID를 추가로 사용자 정의할 수 있습니다: flag 설명 --credential-ttl 결과 X509 SVID의 유효 기간(TTL)을 설정합니다. s , m , h 를 사용하여 기