IaC로 액세스 목록 생성하기

인프라스트럭처-애즈-코드 도구를 사용하여 액세스 목록을 생성합니다.

액세스 목록은 Teleport 사용자가 Teleport 내에서 관리되는 리소스에 장기적인 접근 권한을 부여받을 수 있게 합니다. 액세스 목록을 통해 관리자는 특정 역할과 트레이트에 대한 멤버십을 정기적으로 감사하고 제어할 수 있으며, 이는 Teleport의 기존 RBAC 시스템과 쉽게 연동됩니다. 이 가이드에서는 IaC 사용자 및 역할 가이드 를 이어서, manager 역할을 가진 사용자가 특정 기준을 충족하는 사용자에게 support-engineer 역할을 부여할 수 있도록 설정합니다. 작동 방식 # 액세스 목록은 Auth Service 백엔드에 저장된 리소스로 Teleport Auth Service에 등록됩니다. Teleport Auth Service는 클라이언트가 액세스 목록을 포함한 백엔드 리소스를 생성, 삭제 또는 수정할 수 있게 해주는 gRPC API를 제공합니다. Teleport Kubernetes Operator와 Terraform 프로바이더, 그리고 tctl 커맨드라인 도구는 Teleport Auth Service에 인증하고 gRPC API와 상호작용하여 에이전트 없는(agentless) SSH 서비스를 관리할 수 있습니다. 기본적으로 액세스 목록은 IaC로 관리할 수 있지만 액세스 목록 멤버십은 관리할 수 없습니다. 액세스 목록의 목표는 접근 권한 부여와 검토를 분산화하는 것입니다. 관리자가 특정 지침 내에서 접근 권한을 부여하고 검토를 자동으로 시행함으로써, 사용자는 Teleport IaC를 중앙에서 관리하는 팀을 거치지 않고도 일반적인 접근 권한을 요청할 수 있습니다. 이를 통해 중앙 IaC/보안 팀의 부담이 줄어들고, 접근 검토자가 상황을 인지하게 되며, 요청 처리 시간이 단축되고, 접근 권한이 주기적으로 검토됩니다. 사전 요구 사항 # 이 가이드를 따르려면 먼저 기본 사용자 및 역할 IaC 가이드 를 완료해야 합니다. 해당 가이드의 사용자와 역할을 액세스 목록에서 재사용합니다. 1/3단계 - 매니페스트 작성 # 권한 있는 역할 매니페스트 작성 # 운영 서버에 대한 접근 권한을 부여하는 새 역할 support-engineer 를 생성합니다. 이전 가이드의 engineer 역할은 dev 및 staging 서버에만 접근 권한을 부여했습니다. tctl Kubernetes Operator Terraform 다음 privileged-role.yaml 파일을 생성합니다: kind: role version: v7 metadata: name: support-engineer spec: allow: logins: [ 'root' , 'ubuntu' , '{{internal.logins}}' ] node_labels: 'env': [ 'production' ] 다음 privileged-role.yaml 파일을 생성합니다: apiVersion: resources.teleport.dev/v1 kind: TeleportRoleV7 metadata: name: support-engineer spec: allow: logins: [ 'root