Machine & Workload Identity 아키텍처

Teleport Machine & Workload Identity의 작동 방식.

이 섹션은 Teleport Machine & Workload Identity의 내부 작동 방식에 대한 개요를 제공합니다. Machine & Workload Identity의 초기 사양과 설계는 Request For Discussion 에서 확인할 수 있습니다. bot이란 무엇인가? # Teleport에서 "bot"은 머신이 사용하도록 의도된 특수한 사용자를 의미합니다. Bot은 일반 사용자와 유사하지만, 정적 사용자명/패스워드 자격증명을 사용하여 인증하지 않습니다. Bot은 Teleport 내에서 단일 독립 리소스로 존재하지 않습니다. 대신, 서로 연결된 세 가지 리소스로 구성됩니다. 이들은 다음과 같습니다: Bot 사용자: Machine & Workload Identity 에이전트가 인증하는 사용자가 됩니다. Bot 역할: bot 사용자에게 bot 역할이 할당되며, bot 역할에는 bot이 기능하기 위해 필요한 다양한 권한이 포함됩니다. 예를 들어, 인증서 기관을 감시하는 기능과 역할 가장 기능이 있습니다. 토큰: 온보딩 을 위해, Machine & Workload Identity 에이전트가 최초로 bot 사용자로 인증할 수 있도록 허용하는 토큰이 존재해야 합니다. 기존 토큰이 지정되지 않은 경우, Auth Service에 의해 단일 사용 토큰이 생성됩니다. Bot 인스턴스: bot의 단일 인스턴스입니다. 여러 tbot 클라이언트가 단일 Bot 사용자 또는 단일 토큰으로 합류할 수 있으므로, Bot 인스턴스는 고유한 bot 합류 기록을 유지합니다. 이러한 리소스의 생성은 tctl bots add 에 의해 관리됩니다. bot과 tbot 의 인스턴스 간의 차이를 인식하는 것이 중요합니다. 이는 항상 일대일 관계가 아니기 때문입니다. 많은 경우에 여러 tbot 이 동일한 bot 신원을 사용하고 있을 수 있습니다. Role Impersonation # Role Impersonation은 Machine & Workload Identity에서 많이 사용되는 Teleport의 RBAC 기능입니다. Role Impersonation을 사용하면 사용자가 요청된 역할 집합을 가진 자격증명을 생성할 수 있습니다. 사용자가 이러한 역할을 보유할 필요는 없지만, 해당 역할을 가장할 수 있는 권한이 부여되어 있어야 합니다. 가장된 자격증명에는 여전히 이를 생성한 사용자의 사용자명이 포함되어 있으므로, 작업은 해당 사용자에게 귀속될 수 있습니다. 이러한 자격증명은 역할의 구성된 권한에 의해 허용되는 모든 작업을 완료하는 데 사용될 수 있습니다. Machine & Workload Identity의 경우, bot 사용자에게 bot 역할이 할당되며, 이 역할에는 사용자가 구성한 역할을 가장할 수 있는 권한이 포함되어 있습니다. tbot # tbot 은 Teleport로 보호되는 리소스에 접근이 필요한 머신에서 Machine & Workload Identity의 에이전트 역할을 하는 바이너리입니다. 일반적으