AWS KMS에 Teleport 개인 키 저장

AWS Key Management Service에 CA 개인 키를 저장하도록 Teleport 구성

이 가이드는 AWS Key Management Service(KMS)를 사용하여 클러스터에서 발급하는 모든 인증서에 서명하는 데 사용되는 CA 개인 키 자료를 저장하고 처리하도록 Teleport 클러스터를 설정하는 방법을 보여줍니다. 작동 방식 # Teleport는 첫 번째 Auth Service 인스턴스의 초기 시작 시 내부 인증 기관(CA)에 대한 개인 키 자료를 생성합니다. 이 CA는 Teleport 클러스터의 클라이언트와 호스트에 발급되는 모든 인증서에 서명하는 데 사용됩니다. AWS KMS를 사용하도록 구성된 경우 이 CA에 대한 모든 개인 키 자료는 AWS KMS 내에서 생성, 저장 및 서명에 사용됩니다. 실제 개인 키 대신 Teleport는 KMS 키의 ID만 저장합니다. 즉, 개인 키 자료는 절대 AWS KMS를 벗어나지 않습니다. 새 Teleport 클러스터를 시작하는 경우 구성 후 추가 개입 없이 초기 시작 시 모두 처리됩니다. 이미 소프트웨어 개인 키를 생성한 기존 Teleport 클러스터의 경우 CA 로테이션을 수행해야 합니다. 자세한 내용은 기존 클러스터 마이그레이션 을 참조하세요. 사전 요구사항 # 이 페이지에 문서화된 기능은 Teleport 15.0.0 이상에서 사용 가능합니다. Teleport Enterprise (자체 호스팅). AWS 계정. 1단계/3. AWS IAM 권한 구성 # Teleport Auth Service는 AWS 계정에서 KMS 키를 생성, 서명, 나열 및 삭제하는 권한이 필요합니다. 계정에서 다음 AWS IAM 정책을 생성하는 것으로 시작합니다. { "Version" : "2012-10-17" , "Statement" : [ { "Sid" : "ListKeys" , "Effect" : "Allow" , "Action" : [ "kms:ListKeys" ] , "Resource" : "*" } , { "Sid" : "CreateSigningKeys" , "Effect" : "Allow" , "Action" : [ "kms:CreateKey" , "kms:TagResource" ] , "Resource" : "*" , "Condition" : { "StringEquals" : { "aws:RequestTag/TeleportCluster" : "teleport.example.com " description=" Your Teleport cluster name "/>" , "aws:ResourceTag/TeleportCluster" : "teleport.example.com " description=" Your Teleport cluster name "/>" } } } , { "Sid" : "CreateEncryptionKeys" , "Effect" : "Allow" , "Action" : [ "kms:CreateKey" , "kms:TagResource" ] , "Resource" : "*" , "Condition" : { "StringEquals" : { "aws:RequestTag/Telep