Teleport HSM 지원

Teleport CA 개인 키 관리를 위한 하드웨어 보안 모듈 구성 방법

이 가이드는 개인 키를 저장하고 처리하기 위해 하드웨어 보안 모듈(HSM)을 사용하도록 Teleport Auth Service를 설정하는 방법을 보여줍니다. 작동 방식 # Teleport Auth Service는 사용자가 Teleport로 보호된 리소스에 인증하기 위한 인증서 발급과 같은 중요한 클러스터 작업에 사용하는 여러 인증 기관 을 유지합니다. 각 인증 기관은 개인 키를 사용하여 인증서에 서명합니다. 자체 호스팅 클러스터에서 Teleport Auth Service가 HSM에서 얻은 개인 키로 인증서에 서명하도록 지시할 수 있습니다. 사전 요구사항 # Teleport Enterprise (자체 호스팅). Teleport Auth Service에서 접근 가능한 HSM. HSM용 PKCS#11 모듈. 대부분의 PKCS#11 HSM이 지원되어야 하지만 Teleport 팀은 AWS CloudHSM, YubiHSM2, SoftHSM2로 테스트합니다. 1단계/5. HSM 설정 # HSM을 설정하고 Teleport Auth Service에서 접근 가능한지 확인해야 합니다. Teleport가 사용할 고유한 HSM 사용자 또는 토큰을 생성해야 합니다. AWS CloudHSM: Teleport Auth Service를 실행할 VPC에서 CloudHSM 클러스터를 생성합니다. https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster.html 새로 생성된 클러스터가 "Uninitialized" 상태가 될 때까지 기다립니다. AWS 콘솔 또는 AWS CLI를 사용하여 새 클러스터에 HSM을 추가합니다. 을 AWS 리전으로, 을 가용성 영역으로 지정합니다: $ aws --region cloudhsmv2 create-hsm --cluster-id --availability-zone { "Hsm": { "AvailabilityZone": "ca-central-1a", "ClusterId": "cluster-6uysmebmutd", "SubnetId": "subnet-0c535b67a117f7186", "HsmId": "hsm-ppzzfxbleki", "State": "CREATE_IN_PROGRESS" } } 선택적으로 새 HSM의 신원 및 진위를 확인합니다. https://docs.aws.amazon.com/cloudhsm/latest/userguide/verify-hsm-identity.html HSM의 상태가 ACTIVE 가 될 때까지 기다립니다: $ aws --region cloudhsmv2 describe-clusters --filters clusterIds= \ --query 'Clusters[].Hsms[].State' 클러스터를 초기화하려면 클러스터의 첫 번째 HSM에서 생성된 인증서 서명 요청(CSR)을 다운로드하고 서명해야 합니다. AWS 콘솔에서 또는 AWS CLI를 통해 CSR을 다운로드합니다: $ aws --region cloudhsmv2 describe-clusters