InfoGrab Docs

Access Graph Crown Jewels로 권한 변경 사항 확인

요약

Access Graph의 Crown Jewels 기능을 사용하면 가장 민감한 사용자나 리소스에 대한 액세스 변경 사항을 추적할 수 있습니다. 이 가이드에서는 Crown Jewels를 구성하는 방법, 리소스를 Crown Jewels로 표시하는 방법 및 이러한 리소스에 대한 권한 변경 사항을 확인하는 방법을 설명합니다.

Access Graph의 Crown Jewels 기능을 사용하면 가장 민감한 사용자나 리소스에 대한 액세스 변경 사항을 추적할 수 있습니다. 리소스를 Crown Jewel로 표시하면, 해당 리소스에 대한 액세스가 변경될 때마다 Teleport가 감사 이벤트를 생성합니다. Crown Jewels를 사용하면 조직의 액세스 제어 변경이 리소스에 대한 액세스를 의도치 않게 허용하는 것을 방지할 수 있습니다.

이 가이드에서는 Crown Jewels를 구성하는 방법, 리소스를 Crown Jewels로 표시하는 방법 및 이러한 리소스에 대한 권한 변경 사항을 확인하는 방법을 설명합니다.

사전 요구 사항#

Tip

더 나은 경험을 위해 Teleport 로컬 사용자와 함께 Crown Jewels를 사용하거나 Okta 또는 Microsoft Entra ID와 통합하는 것을 권장합니다. 이 설정은 Teleport Auth 커넥터를 통해 높은 권한의 임시 사용자가 로그인할 때 생성되는 액세스 경로 변경 항목의 수를 최소화하는 데 도움이 됩니다.

  • v16.2.0 이상의 실행 중인 Teleport Enterprise 클러스터.
  • 자체 호스팅 클러스터의 경우, Teleport Identity Security가 활성화된 업데이트된 license.pem.
  • 자체 호스팅 클러스터의 경우, v1.24.0 이상의 실행 중인 Access Graph 노드. Access Graph 설정 방법에 대한 자세한 내용은 Access Graph 페이지를 확인하세요.

Access Graph is a feature of the Teleport Identity Security product available to Teleport Enterprise edition customers.

To verify that Access Graph is set up correctly for your cluster, sign in to the Teleport Web UI, click the Identity Security sidebar button, and then the Browse menu item. Identities, resources, etc. should be listed.

필수 RBAC 권한#

Crown Jewels를 생성하고 보려면 다음 RBAC 권한이 필요합니다:

kind: role
metadata:
  name: crown-jewels-admin
spec:
  allow:
    rules:
    - resources:
      - crown_jewel
      verbs:
      - '*'
version: v7

Crown Jewel 생성#

Crown Jewel을 생성하려면 리소스나 사용자를 중요 항목으로 표시해야 합니다. 표시된 리소스 및 사용자에 대한 변경 사항만 Identity Security에 의해 기록됩니다. 리소스 또는 사용자를 Crown Jewel로 표시하려면 Access Graph를 열고 "Crown Jewels" 탭으로 이동하세요.

Create Page

"Create Crown Jewel"을 클릭하고 중요 항목으로 표시할 리소스나 사용자를 선택하세요.

Create Selector

Crown Jewel의 이름을 선택하고 "Create"를 클릭하세요.

Create Matcher Name

이제 Crown Jewel이 생성되며 Crown Jewels 목록에서 확인할 수 있습니다. Access Graph는 이제 리소스나 사용자에 대한 액세스 경로가 변경될 때마다 Teleport 감사 로그에 감사 이벤트를 생성하고 "Crown Jewels" 메뉴의 "Access Changes" 탭에 새 항목을 추가합니다.

권한 변경 사항 보기#

권한 변경 사항을 보려면 Access Graph를 열고 "Crown Jewels" 탭으로 이동하세요. 여기서 모든 Crown Jewels 목록과 변경 사항을 확인할 수 있습니다.

Changes

생성된 변경 사항은 제거된 노드를 "-"로, 추가된 노드를 "+"로 표시하는 diff 형식을 사용합니다. Crown Jewel에 변경이 발생할 때마다 목록에 새 항목이 추가되고 Teleport 감사 로그에 감사 이벤트가 생성됩니다.

감사 이벤트#

Crown Jewel에 변경이 발생할 때마다 Teleport 감사 로그에 감사 이벤트가 생성됩니다. 다음은 예시 감사 이벤트의 모습입니다:

{
  "affected_resource_name": "bob",
  "affected_resource_source": "TELEPORT",
  "affected_resource_type": "teleport_node",
  "change_id": "0110b3c4-d0b5-4af9-8585-aa49a064c85d",
  "cluster_name": "ssh-node",
  "code": "TAG001I",
  "ei": 0,
  "event": "access_graph.access_path_changed",
  "time": "2024-09-20T19:50:38.194Z",
  "uid": "5447d050-699a-4009-a901-ab8ed2614bc2"
}

이벤트 핸들러를 사용하여 감사 이벤트를 내보낼 수 있습니다. 설정 방법은 여기에서 설명합니다.

Access Graph Crown Jewels로 권한 변경 사항 확인

원문 보기
요약

Access Graph의 Crown Jewels 기능을 사용하면 가장 민감한 사용자나 리소스에 대한 액세스 변경 사항을 추적할 수 있습니다. 이 가이드에서는 Crown Jewels를 구성하는 방법, 리소스를 Crown Jewels로 표시하는 방법 및 이러한 리소스에 대한 권한 변경 사항을 확인하는 방법을 설명합니다.

Access Graph의 Crown Jewels 기능을 사용하면 가장 민감한 사용자나 리소스에 대한 액세스 변경 사항을 추적할 수 있습니다. 리소스를 Crown Jewel로 표시하면, 해당 리소스에 대한 액세스가 변경될 때마다 Teleport가 감사 이벤트를 생성합니다. Crown Jewels를 사용하면 조직의 액세스 제어 변경이 리소스에 대한 액세스를 의도치 않게 허용하는 것을 방지할 수 있습니다.

이 가이드에서는 Crown Jewels를 구성하는 방법, 리소스를 Crown Jewels로 표시하는 방법 및 이러한 리소스에 대한 권한 변경 사항을 확인하는 방법을 설명합니다.

사전 요구 사항#

Tip

더 나은 경험을 위해 Teleport 로컬 사용자와 함께 Crown Jewels를 사용하거나 Okta 또는 Microsoft Entra ID와 통합하는 것을 권장합니다. 이 설정은 Teleport Auth 커넥터를 통해 높은 권한의 임시 사용자가 로그인할 때 생성되는 액세스 경로 변경 항목의 수를 최소화하는 데 도움이 됩니다.

  • v16.2.0 이상의 실행 중인 Teleport Enterprise 클러스터.
  • 자체 호스팅 클러스터의 경우, Teleport Identity Security가 활성화된 업데이트된 license.pem.
  • 자체 호스팅 클러스터의 경우, v1.24.0 이상의 실행 중인 Access Graph 노드. Access Graph 설정 방법에 대한 자세한 내용은 Access Graph 페이지를 확인하세요.

Access Graph is a feature of the Teleport Identity Security product available to Teleport Enterprise edition customers.

To verify that Access Graph is set up correctly for your cluster, sign in to the Teleport Web UI, click the Identity Security sidebar button, and then the Browse menu item. Identities, resources, etc. should be listed.

필수 RBAC 권한#

Crown Jewels를 생성하고 보려면 다음 RBAC 권한이 필요합니다:

kind: role
metadata:
  name: crown-jewels-admin
spec:
  allow:
    rules:
    - resources:
      - crown_jewel
      verbs:
      - '*'
version: v7

Crown Jewel 생성#

Crown Jewel을 생성하려면 리소스나 사용자를 중요 항목으로 표시해야 합니다. 표시된 리소스 및 사용자에 대한 변경 사항만 Identity Security에 의해 기록됩니다. 리소스 또는 사용자를 Crown Jewel로 표시하려면 Access Graph를 열고 "Crown Jewels" 탭으로 이동하세요.

Create Page

"Create Crown Jewel"을 클릭하고 중요 항목으로 표시할 리소스나 사용자를 선택하세요.

Create Selector

Crown Jewel의 이름을 선택하고 "Create"를 클릭하세요.

Create Matcher Name

이제 Crown Jewel이 생성되며 Crown Jewels 목록에서 확인할 수 있습니다. Access Graph는 이제 리소스나 사용자에 대한 액세스 경로가 변경될 때마다 Teleport 감사 로그에 감사 이벤트를 생성하고 "Crown Jewels" 메뉴의 "Access Changes" 탭에 새 항목을 추가합니다.

권한 변경 사항 보기#

권한 변경 사항을 보려면 Access Graph를 열고 "Crown Jewels" 탭으로 이동하세요. 여기서 모든 Crown Jewels 목록과 변경 사항을 확인할 수 있습니다.

Changes

생성된 변경 사항은 제거된 노드를 "-"로, 추가된 노드를 "+"로 표시하는 diff 형식을 사용합니다. Crown Jewel에 변경이 발생할 때마다 목록에 새 항목이 추가되고 Teleport 감사 로그에 감사 이벤트가 생성됩니다.

감사 이벤트#

Crown Jewel에 변경이 발생할 때마다 Teleport 감사 로그에 감사 이벤트가 생성됩니다. 다음은 예시 감사 이벤트의 모습입니다:

{
  "affected_resource_name": "bob",
  "affected_resource_source": "TELEPORT",
  "affected_resource_type": "teleport_node",
  "change_id": "0110b3c4-d0b5-4af9-8585-aa49a064c85d",
  "cluster_name": "ssh-node",
  "code": "TAG001I",
  "ei": 0,
  "event": "access_graph.access_path_changed",
  "time": "2024-09-20T19:50:38.194Z",
  "uid": "5447d050-699a-4009-a901-ab8ed2614bc2"
}

이벤트 핸들러를 사용하여 감사 이벤트를 내보낼 수 있습니다. 설정 방법은 여기에서 설명합니다.