Workload Identity 폐지

발행된 workload identity 자격 증명에 대한 폐지 수행에 관한 정보

폐지 메커니즘은 발행된 X509 워크로드 신원 자격 증명을 폐지된 것으로 표시하는 방법을 제공합니다. 이는 워크로드에게 이 자격 증명이 더 이상 유효한 것으로 간주되어서는 안 된다는 것을 나타냅니다. 일반적으로 Teleport Workload Identity가 발행하는 X509 SVID의 수명이 짧은 특성상 폐지가 필요하지 않습니다. 그러나 어떤 경우에는 만료 전에 발행된 자격 증명을 폐지하고 싶을 수 있습니다. X509 SVID가 폐지되면, 서명된 인증서 폐지 목록(CRL)이 Workload API를 통해 또는 workload-identity-x509 출력에 작성된 svid-crl.pem 파일을 통해 워크로드에 배포됩니다. 워크로드와 타사 서비스는 CRL을 지원하기 위해 명시적인 CRL 지원이 있어야 합니다. 일부 환경에서는 이 기능에 대한 지원이 제한적일 수 있으므로, 이 기능을 활용하기 전에 CRL 지원을 감사하는 것을 권장합니다. tctl 을 사용하여 X509 SVID 폐지하기 # X509 SVID를 폐지하기 전에, 폐지하려는 X509 SVID의 일련 번호가 필요합니다. 이는 Teleport 감사 로그를 통해 확인할 수 있습니다. 폐지를 생성할 때 폐지 이유도 제공해야 합니다. 이는 폐지에 대한 추가적인 맥락을 제공하는 데 사용할 수 있는 자유 형식 문자열입니다. tctl workload-identity revocations add 를 사용하여 새 폐지를 생성합니다: $ tctl workload-identity revocations add --type x509 --serial aabbcc11 --reason compromised tctl 을 사용하여 폐지 목록 조회하기 # tctl workload-identity revocations ls 명령을 사용하여 현재 폐지된 X509 SVID를 나열할 수 있습니다: $ tctl workload-identity revocations ls Type Serial Revoked At Expires At Reason ---- -------- -------------------- --------------------------------- ------- x509 aabbcc11 2025-02-20T11:44:13Z 2025-02-27T11:44:13Z (34m21s) example tctl 을 사용하여 폐지 제거하기 # tctl workload-identity revocations rm 명령을 사용하여 기존 폐지를 제거할 수 있습니다: $ tctl workload-identity revocations rm --type x509 --serial aabbcc11 그러나 일반적으로 폐지를 제거하는 것보다 새 X509 SVID를 발행하는 것이 선호됩니다. 이는 검증자가 폐지를 캐시할 수 있으며, 폐지 제거가 즉시 효과를 발휘하지 않을 수 있기 때문입니다. tctl 을 사용하여 서명된 CRL 가져오기 # 서명된 CRL을 타사 서비스(예: AWS Roles Anywhere)로 가져오기 위해 내보내야 하는 경우