InfoGrab Docs

중첩된 접근 목록

요약

중첩된 접근 목록을 사용하면 접근 목록을 다른 접근 목록의 멤버 또는 소유자로 포함할 수 있습니다. 접근 목록의 상속에 대해 알아봅시다. 상속은 재귀적입니다 – "Engineering Team"의 멤버는 자체 멤버를 가진 접근 목록이 될 수 있으며, 이런 식으로 계속됩니다.

중첩된 접근 목록을 사용하면 접근 목록을 다른 접근 목록의 멤버 또는 소유자로 포함할 수 있습니다. 이를 통해 여러 수준의 상위 접근 목록에서 권한을 상속할 수 있는 계층적 권한 구조가 가능합니다.

이 가이드는 다음을 도와줍니다:

  • 접근 목록에서 중첩과 상속이 어떻게 작동하는지 이해하기
  • 중첩된 접근 목록 만들기
  • 중첩된 접근 목록을 통해 부여된 상속된 권한 확인하기

작동 방식#

접근 목록의 상속에 대해 알아봅시다. 조직에서 사용할 수 있는 두 접근 목록을 상상해 보세요: "Engineering Team"과 "Production Access". "Engineering Team"은 엔지니어 그룹을 나타내고, "Production Access"는 프로덕션 리소스에 대한 접근을 부여하는 상위 수준 접근 목록입니다.

  • 멤버십 상속: "Engineering Team"이 "Production Access"의 멤버로 추가되면, "Engineering Team"의 멤버인 모든 사용자는 "Production Access"의 멤버 부여(역할 및 트레잇)를 상속합니다.
  • 소유권 상속: "Engineering Team"이 "Production Access"의 소유자로 추가되면, "Engineering Team"의 멤버인 모든 사용자는 "Production Access"의 소유자 부여(역할 및 트레잇)를 상속하고, 수정하거나 멤버를 관리하는 것과 같은 소유자 작업을 수행할 수 있습니다.

상속은 재귀적입니다 – "Engineering Team"의 멤버는 자체 멤버를 가진 접근 목록이 될 수 있으며, 이런 식으로 계속됩니다. 그러나 순환 중첩은 허용되지 않으며, 중첩은 최대 깊이 10레벨로 제한됩니다.

자세한 내용은 접근 목록 레퍼런스를 참조하세요.

전제 조건#

  • A running Teleport Enterprise (v17.0.1 or higher) cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment.

  • The tctl and tsh clients.

    Installing `tctl` and `tsh` clients

    1. Determine the version of your Teleport cluster. The tctl and tsh clients must be at most one major version behind your Teleport cluster version. Send a GET request to the Proxy Service at /v1/webapi/find and use a JSON query tool to obtain your cluster version. Replace with the web address of your Teleport Proxy Service:

      $ TELEPORT_DOMAIN=
$ TELEPORT_VERSION="$(curl -s https://$TELEPORT_DOMAIN/v1/webapi/find | jq -r '.server_version')"

    2. Follow the instructions for your platform to install tctl and tsh clients:

To check that you can connect to your Teleport cluster, sign in with tsh login, then verify that you can run tctl commands using your current credentials.

For example, run the following command, assigning to the domain name of the Teleport Proxy Service in your cluster and to your Teleport username:

$ tsh login --proxy= --user=
$ tctl status
# Cluster  (=teleport.url=)
# Version  (=teleport.version=)
# CA pin   (=presets.ca_pin=)

If you can connect to the cluster and run the tctl status command, you can use your current credentials to run subsequent tctl commands from your workstation. If you host your own Teleport cluster, you can also run tctl commands on the computer that hosts the Teleport Auth Service for full permissions.

  • 기본 editor 역할 또는 동등한 권한(접근 목록을 읽고, 만들고, 관리하는 능력)을 가진 사용자.
  • 접근 목록의 기본 개념에 익숙함(접근 목록 시작 가이드 참조).
  • 접근 목록에 추가할 requester 역할만 가진 사용자 최소 한 명.
  • 접근을 부여할 애플리케이션 또는 리소스 최소 하나.

중첩된 접근 목록을 만들고 상속을 설정하는 과정을 살펴보겠습니다. 이 예시에서는 상위 "Production Access"로부터 권한을 상속하는 하위 접근 목록 "Engineering Team"을 만들 것입니다.

1/3단계. 하위 접근 목록 만들기#

Teleport Web UI에서 "Identity" 탭으로 이동하고 사이드바에서 "Access Lists"를 선택합니다. "Create New Access List"를 클릭하고 세부 정보를 입력합니다:

  • Title: Engineering Team
  • Deadline for First Review: 미래 날짜 선택.
  • Member Grants: 상위의 멤버 부여를 상속할 것이므로 비워 둡니다.
  • Owners: 귀하 또는 적절한 사용자를 소유자로 추가합니다.
  • Members: 이 접근 목록의 일부가 되어야 하는 사용자(예: test-user)를 추가합니다.

"Create Access List"를 클릭하여 접근 목록을 저장합니다.

2/3단계. 상위 접근 목록 만들기#

"Access Lists" 페이지에서 "Create New Access List"를 클릭하고 상위 목록의 세부 정보를 입력합니다:

  • Title: Production Access
  • Deadline for First Review: 미래 날짜 선택.
  • Member Grants: access 역할을 추가합니다.
  • Owners: 귀하 또는 적절한 사용자를 소유자로 추가합니다.
  • Members: 드롭다운에서 하위 접근 목록 'Engineering Team'을 선택합니다.

"Create Access List"를 클릭하여 접근 목록을 저장합니다.

3/3단계. 상속된 권한 확인#

"Engineering Team"의 멤버가 "Production Access"의 멤버 부여를 상속했는지 확인하려면, 하위 접근 목록의 멤버(예: test-user)로 로그인합니다. 사용자가 이제 "Engineering Team"과 "Production Access" 모두에서 부여된 리소스에 접근할 수 있는지 확인합니다. 예를 들어, 디버깅 애플리케이션이 활성화된 Teleport Application Service 인스턴스가 설정되어 있고 "Production Access"를 통해 access 역할이 부여된 경우, 사용자에게 "dumper" 앱이 표시됩니다.

다음 단계#

중첩된 접근 목록

원문 보기
요약

중첩된 접근 목록을 사용하면 접근 목록을 다른 접근 목록의 멤버 또는 소유자로 포함할 수 있습니다. 접근 목록의 상속에 대해 알아봅시다. 상속은 재귀적입니다 – "Engineering Team"의 멤버는 자체 멤버를 가진 접근 목록이 될 수 있으며, 이런 식으로 계속됩니다.

중첩된 접근 목록을 사용하면 접근 목록을 다른 접근 목록의 멤버 또는 소유자로 포함할 수 있습니다. 이를 통해 여러 수준의 상위 접근 목록에서 권한을 상속할 수 있는 계층적 권한 구조가 가능합니다.

이 가이드는 다음을 도와줍니다:

  • 접근 목록에서 중첩과 상속이 어떻게 작동하는지 이해하기
  • 중첩된 접근 목록 만들기
  • 중첩된 접근 목록을 통해 부여된 상속된 권한 확인하기

작동 방식#

접근 목록의 상속에 대해 알아봅시다. 조직에서 사용할 수 있는 두 접근 목록을 상상해 보세요: "Engineering Team"과 "Production Access". "Engineering Team"은 엔지니어 그룹을 나타내고, "Production Access"는 프로덕션 리소스에 대한 접근을 부여하는 상위 수준 접근 목록입니다.

  • 멤버십 상속: "Engineering Team"이 "Production Access"의 멤버로 추가되면, "Engineering Team"의 멤버인 모든 사용자는 "Production Access"의 멤버 부여(역할 및 트레잇)를 상속합니다.
  • 소유권 상속: "Engineering Team"이 "Production Access"의 소유자로 추가되면, "Engineering Team"의 멤버인 모든 사용자는 "Production Access"의 소유자 부여(역할 및 트레잇)를 상속하고, 수정하거나 멤버를 관리하는 것과 같은 소유자 작업을 수행할 수 있습니다.

상속은 재귀적입니다 – "Engineering Team"의 멤버는 자체 멤버를 가진 접근 목록이 될 수 있으며, 이런 식으로 계속됩니다. 그러나 순환 중첩은 허용되지 않으며, 중첩은 최대 깊이 10레벨로 제한됩니다.

자세한 내용은 접근 목록 레퍼런스를 참조하세요.

전제 조건#

  • A running Teleport Enterprise (v17.0.1 or higher) cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment.

  • The tctl and tsh clients.

    Installing `tctl` and `tsh` clients

    1. Determine the version of your Teleport cluster. The tctl and tsh clients must be at most one major version behind your Teleport cluster version. Send a GET request to the Proxy Service at /v1/webapi/find and use a JSON query tool to obtain your cluster version. Replace with the web address of your Teleport Proxy Service:

      $ TELEPORT_DOMAIN=
$ TELEPORT_VERSION="$(curl -s https://$TELEPORT_DOMAIN/v1/webapi/find | jq -r '.server_version')"

    2. Follow the instructions for your platform to install tctl and tsh clients:

To check that you can connect to your Teleport cluster, sign in with tsh login, then verify that you can run tctl commands using your current credentials.

For example, run the following command, assigning to the domain name of the Teleport Proxy Service in your cluster and to your Teleport username:

$ tsh login --proxy= --user=
$ tctl status
# Cluster  (=teleport.url=)
# Version  (=teleport.version=)
# CA pin   (=presets.ca_pin=)

If you can connect to the cluster and run the tctl status command, you can use your current credentials to run subsequent tctl commands from your workstation. If you host your own Teleport cluster, you can also run tctl commands on the computer that hosts the Teleport Auth Service for full permissions.

  • 기본 editor 역할 또는 동등한 권한(접근 목록을 읽고, 만들고, 관리하는 능력)을 가진 사용자.
  • 접근 목록의 기본 개념에 익숙함(접근 목록 시작 가이드 참조).
  • 접근 목록에 추가할 requester 역할만 가진 사용자 최소 한 명.
  • 접근을 부여할 애플리케이션 또는 리소스 최소 하나.

중첩된 접근 목록을 만들고 상속을 설정하는 과정을 살펴보겠습니다. 이 예시에서는 상위 "Production Access"로부터 권한을 상속하는 하위 접근 목록 "Engineering Team"을 만들 것입니다.

1/3단계. 하위 접근 목록 만들기#

Teleport Web UI에서 "Identity" 탭으로 이동하고 사이드바에서 "Access Lists"를 선택합니다. "Create New Access List"를 클릭하고 세부 정보를 입력합니다:

  • Title: Engineering Team
  • Deadline for First Review: 미래 날짜 선택.
  • Member Grants: 상위의 멤버 부여를 상속할 것이므로 비워 둡니다.
  • Owners: 귀하 또는 적절한 사용자를 소유자로 추가합니다.
  • Members: 이 접근 목록의 일부가 되어야 하는 사용자(예: test-user)를 추가합니다.

"Create Access List"를 클릭하여 접근 목록을 저장합니다.

2/3단계. 상위 접근 목록 만들기#

"Access Lists" 페이지에서 "Create New Access List"를 클릭하고 상위 목록의 세부 정보를 입력합니다:

  • Title: Production Access
  • Deadline for First Review: 미래 날짜 선택.
  • Member Grants: access 역할을 추가합니다.
  • Owners: 귀하 또는 적절한 사용자를 소유자로 추가합니다.
  • Members: 드롭다운에서 하위 접근 목록 'Engineering Team'을 선택합니다.

"Create Access List"를 클릭하여 접근 목록을 저장합니다.

3/3단계. 상속된 권한 확인#

"Engineering Team"의 멤버가 "Production Access"의 멤버 부여를 상속했는지 확인하려면, 하위 접근 목록의 멤버(예: test-user)로 로그인합니다. 사용자가 이제 "Engineering Team"과 "Production Access" 모두에서 부여된 리소스에 접근할 수 있는지 확인합니다. 예를 들어, 디버깅 애플리케이션이 활성화된 Teleport Application Service 인스턴스가 설정되어 있고 "Production Access"를 통해 access 역할이 부여된 경우, 사용자에게 "dumper" 앱이 표시됩니다.

다음 단계#