Teleport의 Opsgenie 통합을 사용하면, 엔지니어들은 공격 벡터가 될 수 있는 영구적인 관리자 권한 없이도 알림을 신속하게 해결하는 데 필요한 인프라에 접근할 수 있습니다.

Teleport의 Opsgenie 통합을 사용하면 Teleport Role Access Request를 Opsgenie 알림으로 처리하고, 적절한 온콜 팀에 알리고, Teleport를 통해 요청을 승인하거나 거부할 수 있습니다. 또한 요청을 하는 사용자가 알림에 영향을 받는 서비스의 온콜 팀에 있는 경우 Role Access Request를 자동으로 승인하도록 플러그인을 설정할 수 있습니다.

이 가이드는 Opsgenie용 Teleport Access Request 플러그인 설정 방법을 설명합니다.

사전 요구사항#

• A running Teleport Enterprise Cloud cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment.

• The tctl and tsh clients.

  Installing `tctl` and `tsh` clients

  1. Determine the version of your Teleport cluster. The tctl and tsh clients must be at most one major version behind your Teleport cluster version. Send a GET request to the Proxy Service at /v1/webapi/find and use a JSON query tool to obtain your cluster version. Replace with the web address of your Teleport Proxy Service:

     $ TELEPORT_DOMAIN=
     $ TELEPORT_VERSION="$(curl -s https://$TELEPORT_DOMAIN/v1/webapi/find | jq -r '.server_version')"
     

  2. Follow the instructions for your platform to install tctl and tsh clients:

• 'read' 및 'create and update' 접근 권한이 있는 API 키를 생성할 수 있는 Opsgenie 계정.

To check that you can connect to your Teleport cluster, sign in with tsh login, then verify that you can run tctl commands using your current credentials.

For example, run the following command, assigning to the domain name of the Teleport Proxy Service in your cluster and to your Teleport username:

$ tsh login --proxy= --user=
$ tctl status
# Cluster  (=teleport.url=)
# Version  (=teleport.version=)
# CA pin   (=presets.ca_pin=)

If you can connect to the cluster and run the tctl status command, you can use your current credentials to run subsequent tctl commands from your workstation. If you host your own Teleport cluster, you can also run tctl commands on the computer that hosts the Teleport Auth Service for full permissions.

1/5단계. 서비스 생성#

teleport-access-request-notifications라는 이름의 Opsgenie 팀을 생성합니다.

특정 사용자가 Access Request를 생성할 때 teleport-access-request-notifications 팀의 알림을 생성하도록 Opsgenie 플러그인을 설정합니다.

2/5단계. RBAC 리소스 정의#

Teleport Opsgenie 플러그인은 Teleport Auth Service에서 Access Request 이벤트를 수신하고, 이 이벤트를 기반으로 Opsgenie API와 상호작용합니다.

요청자 역할 생성#

사용자를 생성하려면 먼저 액세스 -> 역할로 이동합니다. 그런 다음 새 역할 생성을 선택하고 요청자 역할을 생성합니다.

kind: role
version: v5
metadata:
  name: requester
spec:
  allow:
    request:
      roles: ['editor']
      thresholds:
        - approve: 1
          deny: 1
      annotations:
        teleport.dev/notify-services: ['teleport-access-request-notifications']
        teleport.dev/teams: ['teleport-team']
        teleport.dev/schedules: ['teleport-access-alert-schedules']

teleport.dev/notify-services 어노테이션은 알림이 생성될 일정을 지정합니다. teleport.dev/teams 어노테이션은 알림이 생성될 팀을 지정합니다. 이는 여러 에스컬레이션이 있는 일정이나 팀에서만 작동하는 Opsgenie 통합이 있을 때 유용합니다. teleport.dev/schedules 어노테이션은 알림이 확인할 일정을 지정하며, 요청하는 사용자가 온콜 중이면 Access Request를 자동 승인합니다.

액세스를 요청할 사용자 생성#

requester 역할을 가진 myuser라는 사용자를 생성합니다. 이 가이드의 뒷부분에서 Opsgenie 플러그인을 테스트하기 위해 이 사용자로 Access Request를 생성합니다:

사용자를 생성하려면 먼저 제로 트러스트 액세스 -> 사용자로 이동합니다.

3/5단계. Opsgenie API 키 설정#

Opsgenie 플러그인이 알림을 생성 및 수정하고 사용자, 서비스, 온콜 정책을 나열하는 데 사용할 API 키를 생성합니다.

Opsgenie 대시보드에서 설정 → 통합으로 이동합니다.

자세한 내용은 https://support.atlassian.com/opsgenie/docs/create-a-default-api-integration/을 참조하세요.

4/5단계. Opsgenie 플러그인 설정#

이 시점에서 Opsgenie 플러그인이 Opsgenie API에 연결하는 데 사용할 자격 증명을 생성했습니다. 이 API 키를 사용하도록 플러그인을 설정하려면, Web UI의 새로 추가로 이동하여 왼쪽 패널에서 통합을 클릭합니다. Opsgenie 타일을 클릭합니다.

5/5단계. Opsgenie 플러그인 테스트#

Access Request 생성#

Teleport 사용자 myuser로 editor 역할에 대한 Access Request를 생성합니다:

Opsgenie에서 플러그인을 등록할 때 지정된 기본 일정이나 요청자의 역할에 있는 teleport.dev/notify-services 어노테이션으로 지정된 일정에서 Access Request에 대한 정보가 포함된 새 알림이 표시됩니다.

요청 해결#

Once you receive an Access Request message, click the link to visit Teleport and approve or deny the request:

Reviewing from the command line

You can also review an Access Request from the command line:

문제 해결#