Bound Keypair Joining 참조

Bound Keypair Joining: 참조 및 관리자 가이드

Bound Keypair는 외부 검증을 사용할 수 없는 온프레미스 또는 기타 지원되지 않는 환경에서 위임 참여 방법 (AWS, GCP 또는 Azure 참여 방법 등)의 최고 기능을 제공하도록 설계된 참여 방법입니다. 특히 이 참여 방법은: 전용 TPM 하드웨어나 외부 신원 증명이 필요하지 않습니다 장기 공유 비밀이 필요하지 않습니다 인증서가 만료되는 경우 제한적인 자동 복구를 허용합니다 다양한 사용 사례와 배포 시나리오를 수용하기 위해 복구 제한을 완화하거나 해제할 수 있습니다 대부분의 경우 클라이언트 측 개입 없이 실패한 봇을 복구할 수 있습니다 Preview Note Bound Keypair Joining은 v18.1.0에서 사용 가능하며 Teleport v19.0.0에서 기본 권장 참여 방법으로 token 참여를 대체하기 위해 설계되었습니다. 현재 Bound Keypair Joining은 Machine and Workload ID 봇 참여에만 사용할 수 있으며, 다른 Teleport 에이전트 유형을 참여시키는 데는 사용할 수 없습니다. 사용 사례 # Bound Keypair Joining은 모든 환경에서 사용할 수 있으며, 현재 사용되는 모든 상황에서 기존 token 참여 방법을 대체하는 드롭인 교체품으로 작동하도록 설계되었습니다. 여기에는 TPM을 사용할 수 없는 베어 메탈 및 온프레미스 하드웨어, 또는 위임 참여 방법 이 현재 지원되지 않는 클라우드 공급자가 포함됩니다. token 참여와 유사하게, Bound Keypair Joining은 최소한의 구성으로 봇을 초기 온보딩하기 위한 로컬 실험 및 테스트를 위한 좋은 대안이기도 합니다. 프로덕션 배포 준비가 완료되면 원하는 복원력과 보안 간의 균형을 선택하기 위해 온보딩 및 복구 설정을 조정하는 것이 간단합니다. 또한 정적 키 를 사용하고 보안 복잡성을 수용할 수 있는 상황에서 Bound Keypair Joining은 플랫폼 키 저장소에 봇의 키 쌍을 저장함으로써 지원되지 않는 CI/CD 공급자에서 봇을 참여시키는 데 사용할 수 있습니다. 제한 사항 # Bound Keypair Joining이 여러 사용 사례를 가능하게 하거나 단순화하지만, 일부 경우에는 적합하지 않을 수 있는 제한 사항이 있습니다. 특히 보안 복구 모드 는 일부 배포 제한을 도입합니다: 각 봇 배포에는 고유한 토큰이 발급되어야 합니다. 대규모 배포를 위해서는 각 배포에 대해 대량으로 토큰을 생성하기 위해 Teleport의 Terraform 프로바이더 사용을 권장합니다. 각 봇 배포는 클라이언트 측 상태를 저장할 수 있어야 합니다( 참여 상태 검증 에 사용됨). 이 제한 사항은 insecure 복구 모드 를 사용하여 해결할 수 있지만, 그렇게 하면 참여 방법의 보안 보호 수준이 의미 있게 감소하므로 주의하여 사용해야 합니다. 다음 단계 # Machine & Workload Identity에서 Bound Keypair Joining을 사용하는 단계별 가이드를 읽을 수 있습니다: Bound Keypair J