Workload Identity API & 워크로드 증명

`tbot` Workload Identity API 서비스 및 워크로드 증명 기능에 대한 정보

구성

type은 서비스의 유형을 지정합니다. Workload Identity API 서비스의 경우

항상 `workload-identity-api`입니다.

listen은 서비스가 수신 대기해야 하는 주소를 지정합니다.

# 두 가지 유형의 리스너가 지원됩니다:

- TCP: `tcp://<address>:<port>`

- Unix 소켓: `unix:///<path>`

attestors는 이 Workload API에 대한 워크로드 증명을 구성할 수 있게 합니다.

Selector is used to control which WorkloadIdentity resource will be used to

issue the workload identity credential. The selector can either be the name of

a specific WorkloadIdentity resource or a label selector that can match

multiple WorkloadIdentity resources.

# The selector must be set to either a name or labels, but not both.

SPIFFE Workload API

워크로드 증명

Unix

Kubernetes

Docker

Docker Engine API 접근 권한 부여

Rootless Docker

Podman

Rootful Podman

Rootless Podman

컨테이너에서 `tbot` 실행

Systemd

Sigstore

Envoy SDS

Workload Identity API 서비스( workload-identity-api )는 워크로드가 즉석에서 JWT 및 X509 워크로드 신원 자격 증명을 요청할 수 있게 하는 구성 가능한 tbot 서비스입니다. 자격 증명을 디스크에 쓰는 것보다 더 안전한 대안이며, 자격 증명을 발행하기 전에 워크로드의 속성을 결정하기 위한 워크로드 증명이라는 프로세스 수행을 지원합니다. Workload Identity API는 두 가지 표준과 호환됩니다: SPIFFE Workload API Envoy SDS 워크로드에 자격 증명을 발행하는 것 외에도, Workload Identity API는 워크로드가 다른 워크로드의 자격 증명을 검증하는 데 필요한 신뢰 번들도 제공할 수 있습니다. 구성 # # type은 서비스의 유형을 지정합니다. Workload Identity API 서비스의 경우 # 항상 `workload-identity-api`입니다. type: workload-identity-api # listen은 서비스가 수신 대기해야 하는 주소를 지정합니다. # # 두 가지 유형의 리스너가 지원됩니다: # - TCP: `tcp://<address>:<port>` # - Unix 소켓: `unix:///<path>` listen: unix:///opt/machine-id/workload.sock # attestors는 이 Workload API에 대한 워크로드 증명을 구성할 수 있게 합니다. attestors: # docker는 Docker 워크로드 증명자에 대한 구성입니다. 자세한 내용은 # 아래 Docker 섹션을 참조하세요. docker: # enabled는 워크로드의 신원이 Docker 컨테이너에 대한 정보로 # 증명되어야 하는지 지정합니다. 지정하지 않으면 기본값은 false입니다. enabled: true # addr는 Docker Engine 데몬에 연결할 수 있는 주소입니다. # TCP를 통한 연결은 현재 지원되지 않으므로 `unix://path/to/socket` # 형식이어야 합니다. 지정하지 않으면 "rootful" Docker 설치의 표준 # 소켓 위치인 `unix:///var/run/docker.sock`이 기본값입니다. addr: unix:///var/run/docker.sock # kubernetes는 Kubernetes 워크로드 증명자에 대한 구성입니다. 자세한 내용은 # Kubernetes 워크로드 증명자 섹션을 참조하세요. kubernetes: # enabled는 Kubernetes 워크로드 증명자를 활성화해야 하는지 지정합니다. # 지정하지 않으면 기본값은 false입니다. enabled: true # kubelet은 Kubernetes 워크로드 증명자의 Kubelet API와의 상호 작용에 # 관련된 구성을 보유합니다. kubelet: # read_only_port는 읽기 전용 작업을 위해 Kubelet API가 노출되는 # 포트입니다. Kubernetes 1.16 이후로 읽기 전용 포트