Bound Keypair 참여 개념

Bound Keypair 참여의 핵심 구성 요소에 대해 알아봅니다

이 페이지에서는 Bound Keypair 참여를 이해하는 데 필요한 주요 개념을 설명합니다. Bound keypair # "bound keypair"라는 용어는 Teleport에서 자격 증명의 유형과 사용 방식 모두를 의미합니다. 먼저, bot이 표준 공개/개인 키 쌍을 생성합니다. 다음으로, Teleport는 해당 공개 키를 신뢰하도록 구성되며, 이 공개 키를 토큰에 바인딩합니다. Bound Keypair 참여를 사용하는 bot은 정기적이고 수명이 짧은 Teleport 인증서를 받고 갱신 가능한 인증서 와 유사한 방식으로 정기적으로 갱신하지만, 인증서에 직접 연결되지 않은 추가적인 공개/개인 키 쌍도 활용합니다. 중요한 것은, 이 키 쌍에는 만료 날짜가 없으며, Teleport와 Bound Keypair bot 간의 신뢰 관계는 시간의 경과가 아니라 Teleport 내의 서버 측 구성에 의해 제어된다는 점입니다. 이 신뢰 관계가 확립되면, bot은 어떤 의미에서 클라우드 공급자가 호스트나 CI 워크플로우 실행의 신원을 증명하는 것과 유사하게 자체 신원 권한으로 기능할 수 있습니다. Teleport는 참여하는 bot에게 고유한 암호화 챌린지를 발행하고, bot은 개인 키로 이에 서명하며, 결과는 Teleport에 등록된 키를 사용하여 검증됩니다. 이 자체 증명만으로는 충분한 보안 보장이 되지 않으므로, Bound Keypair 참여는 다음을 포함하여 참여 시도 허용 여부를 제어하는 추가적인 서버 측 규칙을 활용합니다: 복구 시도 횟수 제한 및 각 복구에 대해 (서버 측) 사람의 개입 선택적 요구. 참여 상태 검증 을 사용하여 개인 키의 재사용이나 도용 방지. 온보딩 # 온보딩은 첫 번째 참여 시 발생하며, 공개 키가 토큰에 바인딩되는 단계입니다. bot이 이 단계를 완료하는 데 사용할 수 있는 두 가지 방법이 있습니다: 사전 등록된 키: 개인 키가 bot 호스트에 로컬로 생성되고, 공개 키는 사람 사용자나 스크립트에 의해 대역 외(out-of-band)로 Teleport에 복사됩니다. 이 방법은 시스템 간에 비밀 값이 복사되지 않도록 보장합니다. 등록 시크릿: Teleport에서 일회용 임의 시크릿이 생성되고 임시 token 참여 방법 과 유사하게 사람 사용자나 스크립트를 통해 bot 호스트에 제공됩니다. 등록 시크릿을 사용하면, bot은 등록 시크릿을 사용하여 첫 번째 연결에서 신원을 증명하고, 즉석에서 키 쌍을 생성하며, 공개 키를 Teleport에 등록합니다. 등록 시크릿은 기본적으로 사용됩니다. 토큰이 생성되고 초기 (사전 등록된) 공개 키가 제공되지 않으면, 등록 시크릿이 Teleport에 의해 무작위로 생성되어 토큰의 status.bound_keypair.registration_secret 필드에 기록됩니다. 두 경우 모두—등록 후 또는 사전 등록된 키를 사용할 때—참여하는 bot은 참여 챌린지를 완료해야 합니다. Teleport가 고유한 암호화 챌린지를 생성하고 bot은 이에 서명하여 반환해야 합니다. 서명이 등록된 공개 키