InfoGrab Docs

워크로드 아이덴티티와 tsh

요약

일부 시나리오에서는 tbot 없이 수동으로 SPIFFE SVID를 발급하고 싶을 수 있습니다. 이 가이드에서는 tsh 도구를 사용하여 SPIFFE SVID를 발급합니다. A running Teleport cluster.

일부 시나리오에서는 tbot 없이 수동으로 SPIFFE SVID를 발급하고 싶을 수 있습니다. 이는 디버깅 목적으로 서비스를 가장해야 하거나 인증에 SPIFFE SVID를 사용하는 서비스에 대한 접근 메커니즘을 제공하는 시나리오에서 유용할 수 있습니다.

이 가이드에서는 tsh 도구를 사용하여 SPIFFE SVID를 발급합니다.

사전 요구 사항#

  • SPIFFE SVID 발급을 허용하도록 구성된 역할과 사용자에게 할당된 이 역할. 자세한 정보는 시작하기를 참조하세요.

  • A running Teleport cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment.

  • The tctl and tsh clients.

    Installing `tctl` and `tsh` clients

    1. Determine the version of your Teleport cluster. The tctl and tsh clients must be at most one major version behind your Teleport cluster version. Send a GET request to the Proxy Service at /v1/webapi/find and use a JSON query tool to obtain your cluster version. Replace with the web address of your Teleport Proxy Service:

      $ TELEPORT_DOMAIN=
$ TELEPORT_VERSION="$(curl -s https://$TELEPORT_DOMAIN/v1/webapi/find | jq -r '.server_version')"

    2. Follow the instructions for your platform to install tctl and tsh clients:

1/2단계. tsh를 사용하여 SPIFFE X509 SVID 발급#

먼저 SPIFFE SVID를 쓸 위치를 결정합니다. 디렉터리에 쓰려면 먼저 디렉터리를 생성해야 합니다. 예제에서는 SVID를 svid라는 디렉터리에 쓸 것입니다.

다음으로 X509 SVID를 발급하는 데 사용할 워크로드 아이덴티티 리소스를 결정합니다. 예제에서는 my-workload-identity라는 워크로드 아이덴티티를 사용합니다.

--output을 사용하여 출력 디렉터리를 지정하고 --name-selector를 사용하여 워크로드 아이덴티티 리소스의 이름을 지정하여 SVID를 발급합니다:

$ tsh workload-identity issue-x509 --output ./svid --name-selector my-workload-identity

또한 플래그를 사용하여 SVID를 추가로 사용자 정의할 수 있습니다:

flag 설명
--credential-ttl 결과 X509 SVID의 유효 기간(TTL)을 설정합니다. s, m, h를 사용하여 기간을 지정합니다. 예: 12시간은 12h.

원격 호스트에서 SVID를 발급하기 위한 헤드리스 인증 사용#

일부 시나리오에서는 SSH로 연결한 호스트에서 해당 호스트에서 Teleport에 로그인하지 않고 tsh를 사용하여 SVID를 발급하고 싶을 수 있습니다. 이는 하드웨어 토큰을 사용하여 인증하는 경우와 같이 인증이 불가능할 수 있는 시나리오에서 특히 유용할 수 있습니다.

이 경우 tsh의 헤드리스 인증 기능을 사용할 수 있습니다. 이는 로컬 tsh 클라이언트를 사용하여 원격 머신의 명령을 인증하는 프롬프트를 제공합니다.

헤드리스 인증을 사용하려면 --headless 플래그를 제공하고 --proxy--user 플래그도 지정해야 합니다:

$ tsh --proxy=example.teleport.sh \
  --user example \
  --headless \
  workload-identity issue-x509 \
  --output . \
  --name-selector my-workload-identity

2/2단계. 출력 SVID 사용#

SVID가 발급되면 워크로드가 사용하도록 구성할 수 있습니다. 이는 워크로드에 따라 다릅니다.

디스크에 쓰면 SVID는 세 개의 파일로 작성됩니다:

file 설명
svid_key.pem X509 SVID의 개인 키. PEM으로 래핑되고 PKCS8 형식으로 마샬링됩니다.
svid.pem X509 SVID 자체. PEM으로 래핑되고 DER로 인코딩됩니다.
svid_bundle.pem SPIFFE 신뢰 번들. 신뢰 도메인 내의 인증 기관에 대한 X509 인증서의 연결된 목록. 개별적으로 PEM으로 래핑되고 DER로 인코딩됩니다.

다음 단계#

워크로드 아이덴티티와 tsh

원문 보기
요약

일부 시나리오에서는 tbot 없이 수동으로 SPIFFE SVID를 발급하고 싶을 수 있습니다. 이 가이드에서는 tsh 도구를 사용하여 SPIFFE SVID를 발급합니다. A running Teleport cluster.

일부 시나리오에서는 tbot 없이 수동으로 SPIFFE SVID를 발급하고 싶을 수 있습니다. 이는 디버깅 목적으로 서비스를 가장해야 하거나 인증에 SPIFFE SVID를 사용하는 서비스에 대한 접근 메커니즘을 제공하는 시나리오에서 유용할 수 있습니다.

이 가이드에서는 tsh 도구를 사용하여 SPIFFE SVID를 발급합니다.

사전 요구 사항#

  • SPIFFE SVID 발급을 허용하도록 구성된 역할과 사용자에게 할당된 이 역할. 자세한 정보는 시작하기를 참조하세요.

  • A running Teleport cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment.

  • The tctl and tsh clients.

    Installing `tctl` and `tsh` clients

    1. Determine the version of your Teleport cluster. The tctl and tsh clients must be at most one major version behind your Teleport cluster version. Send a GET request to the Proxy Service at /v1/webapi/find and use a JSON query tool to obtain your cluster version. Replace with the web address of your Teleport Proxy Service:

      $ TELEPORT_DOMAIN=
$ TELEPORT_VERSION="$(curl -s https://$TELEPORT_DOMAIN/v1/webapi/find | jq -r '.server_version')"

    2. Follow the instructions for your platform to install tctl and tsh clients:

1/2단계. tsh를 사용하여 SPIFFE X509 SVID 발급#

먼저 SPIFFE SVID를 쓸 위치를 결정합니다. 디렉터리에 쓰려면 먼저 디렉터리를 생성해야 합니다. 예제에서는 SVID를 svid라는 디렉터리에 쓸 것입니다.

다음으로 X509 SVID를 발급하는 데 사용할 워크로드 아이덴티티 리소스를 결정합니다. 예제에서는 my-workload-identity라는 워크로드 아이덴티티를 사용합니다.

--output을 사용하여 출력 디렉터리를 지정하고 --name-selector를 사용하여 워크로드 아이덴티티 리소스의 이름을 지정하여 SVID를 발급합니다:

$ tsh workload-identity issue-x509 --output ./svid --name-selector my-workload-identity

또한 플래그를 사용하여 SVID를 추가로 사용자 정의할 수 있습니다:

flag 설명
--credential-ttl 결과 X509 SVID의 유효 기간(TTL)을 설정합니다. s, m, h를 사용하여 기간을 지정합니다. 예: 12시간은 12h.

원격 호스트에서 SVID를 발급하기 위한 헤드리스 인증 사용#

일부 시나리오에서는 SSH로 연결한 호스트에서 해당 호스트에서 Teleport에 로그인하지 않고 tsh를 사용하여 SVID를 발급하고 싶을 수 있습니다. 이는 하드웨어 토큰을 사용하여 인증하는 경우와 같이 인증이 불가능할 수 있는 시나리오에서 특히 유용할 수 있습니다.

이 경우 tsh의 헤드리스 인증 기능을 사용할 수 있습니다. 이는 로컬 tsh 클라이언트를 사용하여 원격 머신의 명령을 인증하는 프롬프트를 제공합니다.

헤드리스 인증을 사용하려면 --headless 플래그를 제공하고 --proxy--user 플래그도 지정해야 합니다:

$ tsh --proxy=example.teleport.sh \
  --user example \
  --headless \
  workload-identity issue-x509 \
  --output . \
  --name-selector my-workload-identity

2/2단계. 출력 SVID 사용#

SVID가 발급되면 워크로드가 사용하도록 구성할 수 있습니다. 이는 워크로드에 따라 다릅니다.

디스크에 쓰면 SVID는 세 개의 파일로 작성됩니다:

file 설명
svid_key.pem X509 SVID의 개인 키. PEM으로 래핑되고 PKCS8 형식으로 마샬링됩니다.
svid.pem X509 SVID 자체. PEM으로 래핑되고 DER로 인코딩됩니다.
svid_bundle.pem SPIFFE 신뢰 번들. 신뢰 도메인 내의 인증 기관에 대한 X509 인증서의 연결된 목록. 개별적으로 PEM으로 래핑되고 DER로 인코딩됩니다.

다음 단계#