Google Cloud KMS에 Teleport 개인 키 저장

Google Cloud Key Management Service에 CA 개인 키를 저장하도록 Teleport 구성

이 가이드는 Google Cloud Key Management Service(KMS)를 사용하여 Teleport 클러스터에서 발급하는 모든 인증서에 서명하는 데 사용되는 CA 개인 키 자료를 저장하고 처리하도록 Teleport 클러스터를 설정하는 방법을 보여줍니다. 작동 방식 # Teleport는 첫 번째 Auth Service 인스턴스의 초기 시작 시 내부 인증 기관(CA)에 대한 개인 키 자료를 생성합니다. 이 CA는 Teleport 클러스터의 클라이언트와 호스트에 발급되는 모든 인증서에 서명하는 데 사용됩니다. Google Cloud KMS를 사용하도록 구성된 경우 이 CA에 대한 모든 개인 키 자료는 Google Cloud KMS 내에서 생성, 저장 및 서명에 사용됩니다. 실제 개인 키 대신 Teleport는 KMS 키의 ID만 저장합니다. 즉, 개인 키 자료는 절대 Google Cloud KMS를 벗어나지 않습니다. 새 Teleport 클러스터를 시작하는 경우 구성 후 추가 개입 없이 초기 시작 시 모두 처리됩니다. 이미 소프트웨어 개인 키를 생성한 기존 Teleport 클러스터의 경우 CA 로테이션을 수행해야 합니다. 자세한 내용은 기존 클러스터 마이그레이션 을 참조하세요. 사전 요구사항 # Teleport Enterprise (자체 호스팅). Google Cloud 계정. 1단계/5. GCP에서 키 링 생성 # 각 Teleport Auth Service 인스턴스는 해당 Auth Service 인스턴스에서 생성하고 사용하는 모든 키를 보유하는 GCP 키 링을 사용하도록 구성해야 합니다. 두 개 이상의 Auth Service 인스턴스가 있는 고가용성 Teleport 클러스터를 실행하는 경우 모든 Auth Service 인스턴스가 동일한 키 링을 사용하도록 구성하거나, 원하는 경우 각 인스턴스가 다른 리전에서 고유한 키 링을 사용하도록 구성할 수 있습니다(중복성 또는 대기 시간 감소를 위해). Teleport 전용으로 사용되는 키 링을 생성하여 클라우드 계정의 다른 키와 논리적으로 분리하는 것이 좋습니다. Teleport Auth Service 인스턴스에 지리적으로 가까운 지원되는 KMS 위치 를 선택하세요. Google Cloud 콘솔에서 또는 gcloud CLI 도구에서 키 링을 생성할 수 있습니다. 이 가이드 를 따르거나 gcloud CLI가 구성된 경우 다음 명령을 실행합니다: $ gcloud kms keyrings create "" --location 2단계/5. GCP 서비스 계정 생성 # Teleport는 키 링에서 KMS 키를 생성, 나열, 삭제, 서명 및 조회하는 권한이 필요합니다. 다음 사용자 정의 IAM 역할을 정의하는 것으로 시작합니다. # teleport_kms_role.yaml title: teleport_kms_role description: 'Teleport permissions for using KMS keys' stage: ALPHA includedPermissions: - cloudkms.cryp