InfoGrab Docs

고급 Identity Center 옵션

요약

Identity Center 통합은 기본 설치 플로우에서 반드시 지원되지 않는 다양한 고급 사용 사례를 처리하도록 설정할 수 있습니다. AWS IAM Identity Center 통합은 Identity Center 리소스를 읽고 계정 할당을 관리하기 위해 AWS 자격 증명이 필요합니다.

Identity Center 통합은 기본 설치 플로우에서 반드시 지원되지 않는 다양한 고급 사용 사례를 처리하도록 설정할 수 있습니다. 이 가이드는 이러한 고급 옵션과 사용 사례를 설명합니다.

AWS 인증 방법#

AWS IAM Identity Center 통합은 Identity Center 리소스를 읽고 계정 할당을 관리하기 위해 AWS 자격 증명이 필요합니다. tctl plugins install awsic를 실행하기 전에 Teleport 배포에 맞는 자격 증명 소스를 선택하세요.

Teleport Cloud 클러스터는 AWS와 인증하기 위해 AWS OIDC 통합을 사용합니다. 먼저 AWS OIDC 통합을 생성한 다음, Identity Center 설치 프로그램에 해당 이름을 전달하세요:

$ tctl plugins install awsic \
    --no-use-system-credentials \
    --oidc-integration ${AWS_OIDC_INTEGRATION_NAME} \
    ...

자체 호스팅 클러스터는 두 가지 설치 옵션이 있습니다: 앰비언트 시스템 자격 증명과 AWS OIDC.

Auth Service가 EC2 인스턴스 프로파일 또는 다른 AWS SDK 자격 증명 소스와 같이 이미 AWS 자격 증명으로 실행 중이거나, Teleport Proxy Service 엔드포인트가 비공개인 경우 앰비언트 자격 증명을 사용하세요.

AWS가 클러스터의 공개 Proxy Service 엔드포인트에 접근할 수 있고 전용 Teleport 통합을 통해 AWS 신뢰를 관리하려는 경우 AWS OIDC를 사용하세요.

앰비언트 시스템 자격 증명#

앰비언트 자격 증명은 통합에서 사용하는 IAM 역할을 가정(assume)할 수 있어야 합니다.

$ tctl plugins install awsic \
    --use-system-credentials \
    --assume-role-arn ${AWS_IAM_ROLE_ARN} \
    ...

AWS OIDC 통합#

먼저 AWS OIDC 통합을 생성한 다음, Identity Center 설치 프로그램에 해당 이름을 전달하세요.

$ tctl plugins install awsic \
    --no-use-system-credentials \
    --oidc-integration ${AWS_OIDC_INTEGRATION_NAME} \
    ...

계정 할당 역할 생성 비활성화#

기본적으로 AWS Identity Center 통합은 AWS Identity Center 인스턴스에서 관리되는 모든 가능한 AWS 계정과 권한 세트(Permission Set) 조합에 대해 Teleport 역할을 생성합니다. Identity Center가 많은 수의 AWS 계정 및/또는 권한 세트를 관리하는 경우, 너무 많은 역할이 생성되어 Teleport의 성능에 영향을 줄 수 있습니다.

이러한 계정 할당 역할 생성을 방지하려면, tctl을 사용하여 통합을 생성할 때 --roles-sync-mode NONE을 지정하여 이 기능을 비활성화한 상태로 AWS IC 통합을 생성할 수 있습니다:

Note

역할 동기화 모드 설정은 tctl을 통해 Identity Center 통합을 설치할 때만 가능합니다.

역할 동기화 모드 NONE은 설치 중에만 사용할 수 있습니다. 역할 동기화 모드는 나중에 ALL로 변경할 수 있지만, 반대 방향으로는 변경할 수 없습니다.

Teleport 배포에 맞는 설치 명령을 선택하세요:

Teleport Cloud 클러스터는 AWS OIDC 통합을 통해 AWS와 인증합니다. 먼저 AWS OIDC 통합을 생성한 다음, 이 명령을 사용하세요.

$ tctl plugins install awsic \
    --instance-arn ${IDENTITY_CENTER_INSTANCE_ARN} \
    --instance-region ${IDENTITY_CENTER_INSTANCE_REGION} \
    --no-use-system-credentials \
    --oidc-integration ${AWS_OIDC_INTEGRATION_NAME} \
    --scim-url ${IDENTITY_CENTER_SCIM_BASE_URL} \
    --scim-token ${IDENTITY_CENTER_SCIM_BEARER_TOKEN} \
    --access-list-default-owner ${TELEPORT_ACCESS_LIST_DEFAULT_OWNER} \
    --roles-sync-mode NONE

자체 호스팅 클러스터는 앰비언트 시스템 자격 증명 또는 AWS OIDC를 사용할 수 있습니다. 자격 증명 소스 선택에 대한 안내는 AWS 인증 방법을 참조하세요.

앰비언트 시스템 자격 증명

이 명령은 Auth Service에 사용 가능한 AWS 자격 증명 공급자 체인을 사용합니다. 자격 증명은 --assume-role-arn에 전달된 IAM 역할을 가정할 수 있어야 합니다.

$ tctl plugins install awsic \
    --instance-arn ${IDENTITY_CENTER_INSTANCE_ARN} \
    --instance-region ${IDENTITY_CENTER_INSTANCE_REGION} \
    --use-system-credentials \
    --assume-role-arn ${AWS_IAM_ROLE_ARN} \
    --scim-url ${IDENTITY_CENTER_SCIM_BASE_URL} \
    --scim-token ${IDENTITY_CENTER_SCIM_BEARER_TOKEN} \
    --access-list-default-owner ${TELEPORT_ACCESS_LIST_DEFAULT_OWNER} \
    --roles-sync-mode NONE

AWS OIDC 통합

이 명령은 앰비언트 AWS 자격 증명 대신 --oidc-integration으로 지정된 AWS OIDC 통합을 사용합니다. 설치 프로그램을 실행하기 전에 AWS OIDC 통합을 생성하세요.

$ tctl plugins install awsic \
    --instance-arn ${IDENTITY_CENTER_INSTANCE_ARN} \
    --instance-region ${IDENTITY_CENTER_INSTANCE_REGION} \
    --no-use-system-credentials \
    --oidc-integration ${AWS_OIDC_INTEGRATION_NAME} \
    --scim-url ${IDENTITY_CENTER_SCIM_BASE_URL} \
    --scim-token ${IDENTITY_CENTER_SCIM_BEARER_TOKEN} \
    --access-list-default-owner ${TELEPORT_ACCESS_LIST_DEFAULT_OWNER} \
    --roles-sync-mode NONE

역할 동기화 모드#

역할 동기화 모드는 IC 통합이 가능한 각 AWS 계정 할당에 대해 계정 할당 역할을 생성할지 여부를 제어합니다. 현재 두 가지 가능한 값이 있습니다: ALL(모든 가능한 계정 할당에 대해 역할 생성) 및 NONE(어떠한 가능한 계정 할당에 대해서도 역할을 생성하지 않음).

Warning

통합의 그룹 가져오기 프로세스는 이러한 계정 할당 역할을 사용하여 생성하는 접근 목록(Access List)에 대한 접근을 프로비저닝합니다. 통합이 잘못된 접근 목록을 생성하는 것을 방지하기 위해, 역할 동기화 모드를 NONE으로 설정하면 통합의 그룹 가져오기 필터에 단일 전체 제외(exclude-all) 절이 포함되어야 합니다.

Teleport는 이 제한을 강제하여 잘못된 설정의 실수로 인한 생성을 방지합니다.

역할 동기화 모드 전환#

설치 후 tctl plugins edit를 사용하여 역할 동기화 모드를 NONE에서 ALL로 전환할 수 있습니다.

$ tctl plugins edit awsic --roles-sync-mode ALL
Warning

역할 동기화 모드를 ALL에서 NONE으로 이동하면 Teleport가 사용 중인 역할을 잠재적으로 삭제할 수 있으므로, 해당 전환은 허용되지 않습니다.

현재 NONE으로 다시 이동하는 유일한 방법은 통합을 삭제하고 다시 설치하는 것입니다.

고급 Identity Center 옵션

원문 보기
요약

Identity Center 통합은 기본 설치 플로우에서 반드시 지원되지 않는 다양한 고급 사용 사례를 처리하도록 설정할 수 있습니다. AWS IAM Identity Center 통합은 Identity Center 리소스를 읽고 계정 할당을 관리하기 위해 AWS 자격 증명이 필요합니다.

Identity Center 통합은 기본 설치 플로우에서 반드시 지원되지 않는 다양한 고급 사용 사례를 처리하도록 설정할 수 있습니다. 이 가이드는 이러한 고급 옵션과 사용 사례를 설명합니다.

AWS 인증 방법#

AWS IAM Identity Center 통합은 Identity Center 리소스를 읽고 계정 할당을 관리하기 위해 AWS 자격 증명이 필요합니다. tctl plugins install awsic를 실행하기 전에 Teleport 배포에 맞는 자격 증명 소스를 선택하세요.

Teleport Cloud 클러스터는 AWS와 인증하기 위해 AWS OIDC 통합을 사용합니다. 먼저 AWS OIDC 통합을 생성한 다음, Identity Center 설치 프로그램에 해당 이름을 전달하세요:

$ tctl plugins install awsic \
    --no-use-system-credentials \
    --oidc-integration ${AWS_OIDC_INTEGRATION_NAME} \
    ...

자체 호스팅 클러스터는 두 가지 설치 옵션이 있습니다: 앰비언트 시스템 자격 증명과 AWS OIDC.

Auth Service가 EC2 인스턴스 프로파일 또는 다른 AWS SDK 자격 증명 소스와 같이 이미 AWS 자격 증명으로 실행 중이거나, Teleport Proxy Service 엔드포인트가 비공개인 경우 앰비언트 자격 증명을 사용하세요.

AWS가 클러스터의 공개 Proxy Service 엔드포인트에 접근할 수 있고 전용 Teleport 통합을 통해 AWS 신뢰를 관리하려는 경우 AWS OIDC를 사용하세요.

앰비언트 시스템 자격 증명#

앰비언트 자격 증명은 통합에서 사용하는 IAM 역할을 가정(assume)할 수 있어야 합니다.

$ tctl plugins install awsic \
    --use-system-credentials \
    --assume-role-arn ${AWS_IAM_ROLE_ARN} \
    ...

AWS OIDC 통합#

먼저 AWS OIDC 통합을 생성한 다음, Identity Center 설치 프로그램에 해당 이름을 전달하세요.

$ tctl plugins install awsic \
    --no-use-system-credentials \
    --oidc-integration ${AWS_OIDC_INTEGRATION_NAME} \
    ...

계정 할당 역할 생성 비활성화#

기본적으로 AWS Identity Center 통합은 AWS Identity Center 인스턴스에서 관리되는 모든 가능한 AWS 계정과 권한 세트(Permission Set) 조합에 대해 Teleport 역할을 생성합니다. Identity Center가 많은 수의 AWS 계정 및/또는 권한 세트를 관리하는 경우, 너무 많은 역할이 생성되어 Teleport의 성능에 영향을 줄 수 있습니다.

이러한 계정 할당 역할 생성을 방지하려면, tctl을 사용하여 통합을 생성할 때 --roles-sync-mode NONE을 지정하여 이 기능을 비활성화한 상태로 AWS IC 통합을 생성할 수 있습니다:

Note

역할 동기화 모드 설정은 tctl을 통해 Identity Center 통합을 설치할 때만 가능합니다.

역할 동기화 모드 NONE은 설치 중에만 사용할 수 있습니다. 역할 동기화 모드는 나중에 ALL로 변경할 수 있지만, 반대 방향으로는 변경할 수 없습니다.

Teleport 배포에 맞는 설치 명령을 선택하세요:

Teleport Cloud 클러스터는 AWS OIDC 통합을 통해 AWS와 인증합니다. 먼저 AWS OIDC 통합을 생성한 다음, 이 명령을 사용하세요.

$ tctl plugins install awsic \
    --instance-arn ${IDENTITY_CENTER_INSTANCE_ARN} \
    --instance-region ${IDENTITY_CENTER_INSTANCE_REGION} \
    --no-use-system-credentials \
    --oidc-integration ${AWS_OIDC_INTEGRATION_NAME} \
    --scim-url ${IDENTITY_CENTER_SCIM_BASE_URL} \
    --scim-token ${IDENTITY_CENTER_SCIM_BEARER_TOKEN} \
    --access-list-default-owner ${TELEPORT_ACCESS_LIST_DEFAULT_OWNER} \
    --roles-sync-mode NONE

자체 호스팅 클러스터는 앰비언트 시스템 자격 증명 또는 AWS OIDC를 사용할 수 있습니다. 자격 증명 소스 선택에 대한 안내는 AWS 인증 방법을 참조하세요.

앰비언트 시스템 자격 증명

이 명령은 Auth Service에 사용 가능한 AWS 자격 증명 공급자 체인을 사용합니다. 자격 증명은 --assume-role-arn에 전달된 IAM 역할을 가정할 수 있어야 합니다.

$ tctl plugins install awsic \
    --instance-arn ${IDENTITY_CENTER_INSTANCE_ARN} \
    --instance-region ${IDENTITY_CENTER_INSTANCE_REGION} \
    --use-system-credentials \
    --assume-role-arn ${AWS_IAM_ROLE_ARN} \
    --scim-url ${IDENTITY_CENTER_SCIM_BASE_URL} \
    --scim-token ${IDENTITY_CENTER_SCIM_BEARER_TOKEN} \
    --access-list-default-owner ${TELEPORT_ACCESS_LIST_DEFAULT_OWNER} \
    --roles-sync-mode NONE

AWS OIDC 통합

이 명령은 앰비언트 AWS 자격 증명 대신 --oidc-integration으로 지정된 AWS OIDC 통합을 사용합니다. 설치 프로그램을 실행하기 전에 AWS OIDC 통합을 생성하세요.

$ tctl plugins install awsic \
    --instance-arn ${IDENTITY_CENTER_INSTANCE_ARN} \
    --instance-region ${IDENTITY_CENTER_INSTANCE_REGION} \
    --no-use-system-credentials \
    --oidc-integration ${AWS_OIDC_INTEGRATION_NAME} \
    --scim-url ${IDENTITY_CENTER_SCIM_BASE_URL} \
    --scim-token ${IDENTITY_CENTER_SCIM_BEARER_TOKEN} \
    --access-list-default-owner ${TELEPORT_ACCESS_LIST_DEFAULT_OWNER} \
    --roles-sync-mode NONE

역할 동기화 모드#

역할 동기화 모드는 IC 통합이 가능한 각 AWS 계정 할당에 대해 계정 할당 역할을 생성할지 여부를 제어합니다. 현재 두 가지 가능한 값이 있습니다: ALL(모든 가능한 계정 할당에 대해 역할 생성) 및 NONE(어떠한 가능한 계정 할당에 대해서도 역할을 생성하지 않음).

Warning

통합의 그룹 가져오기 프로세스는 이러한 계정 할당 역할을 사용하여 생성하는 접근 목록(Access List)에 대한 접근을 프로비저닝합니다. 통합이 잘못된 접근 목록을 생성하는 것을 방지하기 위해, 역할 동기화 모드를 NONE으로 설정하면 통합의 그룹 가져오기 필터에 단일 전체 제외(exclude-all) 절이 포함되어야 합니다.

Teleport는 이 제한을 강제하여 잘못된 설정의 실수로 인한 생성을 방지합니다.

역할 동기화 모드 전환#

설치 후 tctl plugins edit를 사용하여 역할 동기화 모드를 NONE에서 ALL로 전환할 수 있습니다.

$ tctl plugins edit awsic --roles-sync-mode ALL
Warning

역할 동기화 모드를 ALL에서 NONE으로 이동하면 Teleport가 사용 중인 역할을 잠재적으로 삭제할 수 있으므로, 해당 전환은 허용되지 않습니다.

현재 NONE으로 다시 이동하는 유일한 방법은 통합을 삭제하고 다시 설치하는 것입니다.