Workload Identity X.509 발행자 재정의 리소스

`workload_identity_x509_issuer_override` 리소스에 대한 정보를 제공합니다.

X.509 발행자 재정의 기능은 Teleport가 발행자 SPIFFE X509-SVID 자격 증명으로 사용하는 자체 서명된 X.509 인증서를, 선택적 인증서 체인과 함께 원하는 발행 인증서로 교체하는 방법을 제공합니다. 기본 workload_identity_x509_issuer_override 리소스를 구성한 후에는 tbot 또는 tsh 에 발행된 모든 X509-SVID 자격 증명이 리소스에 지정된 발행자 중 하나에 의해 발행되고 적절한 인증서 체인을 포함합니다. Teleport Enterprise 필요 Teleport Workload Identity의 X.509 발행자 재정의 기능을 사용하려면 유효한 Teleport Enterprise 라이선스가 필요합니다. 필수 조건 # X.509 발행자 재정의 기능은 Teleport 17.4.5에서 도입되었습니다. 이전 버전의 제어 플레인을 실행하는 클러스터는 이 기능을 지원하지 않으며, 이전 버전의 tbot 또는 tsh 에 발행된 자격 증명은 클러스터에 재정의가 구성되어 있어도 내부 Teleport 인증 기관에서 발행됩니다. 구성 # 다음은 YAML 형식의 workload_identity_x509_issuer_override 리소스 예시입니다: kind: workload_identity_x509_issuer_override version: v1 metadata: # 재정의 구성의 이름; 현재 리터럴 문자열 "default"여야 합니다. name: default spec: overrides: - issuer: "" chain: - "" - "..." - issuer: "..." chain: - "..." spec.overrides 목록의 issuer 인증서에 있는 공개 키는 전체 목록에서 고유해야 합니다. SPIFFE 인증 기관에 대한 CA 순환이 시작되거나 시간이 지남에 따라 workload_identity_x509_issuer_override 리소스를 최신 상태로 유지하는 것이 중요합니다. issuer 인증서나 chain 의 인증서는 인증서 발행 시 만료 또는 유효성이 확인되지 않으며, SPIFFE 인증 기관의 활성 및 사용 가능한 X.509 인증서 중 어느 것이나 원래 발행 인증서로 선택될 수 있으며, 선택된 내부 발행 인증서와 동일한 공개 키를 가진 issuer 인증서가 기본 재정의에 없으면 X509-SVID 발행이 실패합니다. 일반적으로 SPIFFE 인증 기관에는 단일 인증서만 존재하므로 workload_identity_x509_issuer_override 리소스에는 하나의 재정의만 필요합니다. tctl 을 사용하여 인증서 서명 요청 얻기 # 일부 관리형 PKI 서비스는 인증서 발행에 공개 키만이 아닌 서명된 CSR(인증서 서명 요청)이 필요합니다. tctl workload-identity x509-issuer-overrides sign-csrs 명령을 사용하여 클러스터의 SPIFFE 인증 기관에 있는 모든 X.509 인증서에 대한 CSR에 서명할 수 있습니다. $ tctl workloa