InfoGrab Docs

애플리케이션 액세스 역할 기반 접근 제어

요약

이 문서에서는 Teleport Application Service와 특히 관련된 접근 제어 개념을 설명합니다. Teleport Application Service는 레이블을 사용하여 프록시된 웹 애플리케이션에 대한 접근을 제어합니다.

이 문서에서는 Teleport Application Service와 특히 관련된 접근 제어 개념을 설명합니다.

애플리케이션에 레이블 할당#

Teleport Application Service는 레이블을 사용하여 프록시된 웹 애플리케이션에 대한 접근을 제어합니다.

Teleport 관리자는 구성을 사용하여 앱에 정적 및 동적 레이블을 할당할 수 있습니다:

apps:
- name: "grafana"
  uri: "http://localhost:3000"
  # 정적 레이블.
  labels:
    env: "prod"
    group: "metrics"
  # Teleport는 주기적으로 동적 레이블의 명령을 실행하고 레이블 값에 명령 출력을 사용합니다.
  commands:
  - name: "arch"
    command: ["uname", "-p"]
    period: 1m0s

역할에서 애플리케이션 레이블 구성#

Teleport 관리자는 app_labels 속성을 사용하여 특정 레이블이 있는 애플리케이션에 대한 사용자 접근을 허용하거나 거부하는 역할을 구성할 수 있습니다.

예를 들어, 이 역할은 "metrics" 그룹의 모든 애플리케이션에 대한 접근을 허용하되, 프로덕션 환경의 애플리케이션은 제외합니다:

kind: role
version: v5
metadata:
  name: dev
spec:
  allow:
    app_labels:
      group: "metrics"
  deny:
    app_labels:
      env: "prod"

아이덴티티 공급자와 통합#

아이덴티티 공급자로부터 받은 사용자의 클레임 및 속성을 기반으로 앱 레이블을 동적으로 채우도록 역할을 구성할 수 있습니다. 이는 external 접두사가 있는 템플릿 변수를 사용하여 수행됩니다.

예를 들어, 이 역할은 동일한 이름의 Okta 사용자 속성에 따라 envgroup 레이블 값을 설정합니다:

allow:
  app_labels:
    env: "{{external.env}}"
    group: "{{external.group}}"

사용자가 Azure 관리 ID에 접근할 수 있도록 활성화#

Teleport를 통해 Azure ID를 가정하고 Azure CLI 명령을 실행하도록 Teleport 사용자를 인가할 수 있습니다. 이렇게 하려면 아래와 같이 spec.allow.azure_identities 필드가 있는 역할을 정의합니다:

kind: role
version: v5
metadata:
  name: azure-cli-access
spec:
  allow:
    app_labels:
      '*': '*'
    azure_identities:
      - /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/teleport-azure

이 역할을 가진 사용자가 가정할 수 있도록 활성화하려는 각 Azure 관리 ID의 전체 URI가 spec.allow.azure_identities 필드의 각 항목이 되도록 수정합니다. 위의 예시는 사용자가 teleport-azure ID를 가정하도록 허용합니다.

또 다른 방법은 각 사용자를 개별적으로 구성하여 허용되는 Azure ID를 정의하는 것입니다. 이렇게 하려면 azure_identities 내에 템플릿 변수 {{internal.azure_identities}}로 설정된 하나의 요소가 있는 역할을 만듭니다:

kind: role
version: v5
metadata:
  name: azure-cli-access
spec:
  allow:
    app_labels:
      '*': '*'
    azure_identities:
      - '{{internal.azure_identities}}'

이 경우, 사용자가 Teleport를 통해 Azure CLI에 인증하면, Teleport Auth Service는 {{internal.azure_identities}} 템플릿 변수를 사용자에게 할당한 Azure ID로 채웁니다.

사용자에게 Azure ID를 할당하려면 다음과 유사한 tctl users update 명령을 실행합니다:

$ tctl users update myuser --set-azure-identities \
/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/id1,\
/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/id2

이 명령은 --set-azure-identities 플래그를 사용하여 사용자에게 Azure ID를 추가합니다. 이 플래그의 값은 쉼표로 구분된 Azure ID URI 목록입니다.

Azure 관리 ID에 대한 접근 활성화에 관한 자세한 내용은 Azure CLI 가이드를 참조하세요.

다음 단계#

애플리케이션 액세스 역할 기반 접근 제어

원문 보기
요약

이 문서에서는 Teleport Application Service와 특히 관련된 접근 제어 개념을 설명합니다. Teleport Application Service는 레이블을 사용하여 프록시된 웹 애플리케이션에 대한 접근을 제어합니다.

이 문서에서는 Teleport Application Service와 특히 관련된 접근 제어 개념을 설명합니다.

애플리케이션에 레이블 할당#

Teleport Application Service는 레이블을 사용하여 프록시된 웹 애플리케이션에 대한 접근을 제어합니다.

Teleport 관리자는 구성을 사용하여 앱에 정적 및 동적 레이블을 할당할 수 있습니다:

apps:
- name: "grafana"
  uri: "http://localhost:3000"
  # 정적 레이블.
  labels:
    env: "prod"
    group: "metrics"
  # Teleport는 주기적으로 동적 레이블의 명령을 실행하고 레이블 값에 명령 출력을 사용합니다.
  commands:
  - name: "arch"
    command: ["uname", "-p"]
    period: 1m0s

역할에서 애플리케이션 레이블 구성#

Teleport 관리자는 app_labels 속성을 사용하여 특정 레이블이 있는 애플리케이션에 대한 사용자 접근을 허용하거나 거부하는 역할을 구성할 수 있습니다.

예를 들어, 이 역할은 "metrics" 그룹의 모든 애플리케이션에 대한 접근을 허용하되, 프로덕션 환경의 애플리케이션은 제외합니다:

kind: role
version: v5
metadata:
  name: dev
spec:
  allow:
    app_labels:
      group: "metrics"
  deny:
    app_labels:
      env: "prod"

아이덴티티 공급자와 통합#

아이덴티티 공급자로부터 받은 사용자의 클레임 및 속성을 기반으로 앱 레이블을 동적으로 채우도록 역할을 구성할 수 있습니다. 이는 external 접두사가 있는 템플릿 변수를 사용하여 수행됩니다.

예를 들어, 이 역할은 동일한 이름의 Okta 사용자 속성에 따라 envgroup 레이블 값을 설정합니다:

allow:
  app_labels:
    env: "{{external.env}}"
    group: "{{external.group}}"

사용자가 Azure 관리 ID에 접근할 수 있도록 활성화#

Teleport를 통해 Azure ID를 가정하고 Azure CLI 명령을 실행하도록 Teleport 사용자를 인가할 수 있습니다. 이렇게 하려면 아래와 같이 spec.allow.azure_identities 필드가 있는 역할을 정의합니다:

kind: role
version: v5
metadata:
  name: azure-cli-access
spec:
  allow:
    app_labels:
      '*': '*'
    azure_identities:
      - /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/teleport-azure

이 역할을 가진 사용자가 가정할 수 있도록 활성화하려는 각 Azure 관리 ID의 전체 URI가 spec.allow.azure_identities 필드의 각 항목이 되도록 수정합니다. 위의 예시는 사용자가 teleport-azure ID를 가정하도록 허용합니다.

또 다른 방법은 각 사용자를 개별적으로 구성하여 허용되는 Azure ID를 정의하는 것입니다. 이렇게 하려면 azure_identities 내에 템플릿 변수 {{internal.azure_identities}}로 설정된 하나의 요소가 있는 역할을 만듭니다:

kind: role
version: v5
metadata:
  name: azure-cli-access
spec:
  allow:
    app_labels:
      '*': '*'
    azure_identities:
      - '{{internal.azure_identities}}'

이 경우, 사용자가 Teleport를 통해 Azure CLI에 인증하면, Teleport Auth Service는 {{internal.azure_identities}} 템플릿 변수를 사용자에게 할당한 Azure ID로 채웁니다.

사용자에게 Azure ID를 할당하려면 다음과 유사한 tctl users update 명령을 실행합니다:

$ tctl users update myuser --set-azure-identities \
/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/id1,\
/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/id2

이 명령은 --set-azure-identities 플래그를 사용하여 사용자에게 Azure ID를 추가합니다. 이 플래그의 값은 쉼표로 구분된 Azure ID URI 목록입니다.

Azure 관리 ID에 대한 접근 활성화에 관한 자세한 내용은 Azure CLI 가이드를 참조하세요.

다음 단계#