tctl 참조
요약
이 가이드는 tctl의 명령어, 인수, 플래그에 대한 종합 목록을 제공합니다. tctl은 클러스터 관리자가 노드, 사용자, 토큰, 인증서, 디바이스를 포함한 클러스터의 모든 리소스를 관리할 수 있는 CLI 도구입니다.
이 가이드는 tctl의 명령어, 인수, 플래그에 대한 종합 목록을 제공합니다.
tctl은 클러스터 관리자가 노드, 사용자, 토큰, 인증서, 디바이스를 포함한 클러스터의 모든 리소스를 관리할 수 있는 CLI 도구입니다.
tctl은 새로운 사용자 역할 생성 또는 신뢰할 수 있는 클러스터 연결과 같이 클러스터의 동적 구성을 수정하는 데에도 사용할 수 있습니다.
tctl에 대한 개념적 개요는 tctl 시작하기를 참조하십시오.
$ tctl [<flags>] <command> [<args> ...]
전역 플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--auth-server |
없음 | 로컬 인증 [127.0.0.1:3025] 대신 특정 auth/proxy 주소에 연결 시도 |
-c, --config |
없음 | Auth Service 인스턴스의 구성 파일 경로 [/etc/teleport.yaml]. TELEPORT_CONFIG_FILE 환경 변수로도 설정 가능. auth_service가 비활성화된 경우 무시됨. |
-d, --[no-]debug |
false |
stderr에 상세 로깅 활성화 |
-i, --identity |
없음 | ID 파일 경로. auth에 원격 연결하려면 제공해야 함. ID 파일은 'tctl auth sign'으로 내보낼 수 있음 |
--[no-]insecure |
false |
--auth-server에서 proxy 주소를 지정할 때, TLS 인증서를 검증하지 않음. 위험: 전송하는 데이터가 공격자에 의해 가로채이거나 수정될 수 있음. |
전역 환경 변수:
| 변수 | 기본값 | 설명 |
|---|---|---|
TELEPORT_AUTH_SERVER |
없음 | 로컬 인증 [127.0.0.1:3025] 대신 특정 auth/proxy 주소에 연결 시도 |
TELEPORT_IDENTITY_FILE |
없음 | ID 파일 경로. auth에 원격 연결하려면 제공해야 함. ID 파일은 'tctl auth sign'으로 내보낼 수 있음 |
tctl acl get#
액세스 목록에 대한 상세 정보를 가져옵니다.
사용법:
$ tctl acl get [<flags>] <access-list-name>
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--format |
yaml |
출력 형식, 'yaml', 'json', 또는 'text' |
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| access-list-name | 없음 (필수) | 액세스 목록 이름. |
tctl acl ls#
클러스터 액세스 목록을 나열합니다.
사용법:
$ tctl acl ls [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--format |
yaml |
출력 형식, 'yaml', 'json', 또는 'text' |
tctl acl users add#
액세스 목록에 사용자를 추가합니다.
사용법:
$ tctl acl users add [<flags>] <access-list-name> <user> [<expires>] [<reason>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--kind |
user |
액세스 목록 멤버 종류, 'user' 또는 'list' |
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| access-list-name | 없음 (필수) | 액세스 목록 이름. |
| expires | 없음 (선택) | 사용자의 액세스가 만료되는 시점 (RFC3339 형식이어야 함). 기본값은 액세스 목록의 만료 시간. |
| reason | 없음 (선택) | 사용자가 액세스 목록에 추가된 이유. 기본값은 빈 값. |
| user | 없음 (필수) | 액세스 목록에 추가할 사용자. |
tctl acl users ls#
액세스 목록의 멤버인 사용자를 나열합니다.
사용법:
$ tctl acl users ls [<flags>] <access-list-name>
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--format |
text |
출력 형식 'json', 또는 'text' |
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| access-list-name | 없음 (필수) | 액세스 목록 이름. |
tctl acl users rm#
액세스 목록에서 사용자를 제거합니다.
사용법:
$ tctl acl users rm <access-list-name> <user>
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| access-list-name | 없음 (필수) | 액세스 목록 이름. |
| user | 없음 (필수) | 액세스 목록에서 제거할 사용자. |
tctl alerts ack#
클러스터 알림을 확인합니다.
사용법:
$ tctl alerts ack [<flags>] <id>
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--format |
text |
출력 형식, 'text', 'json', 또는 'yaml' |
--[no-]clear |
false |
클러스터 알림 확인을 해제합니다. |
--reason |
없음 | 클러스터 알림을 확인하는 이유. |
--ttl |
없음 | 클러스터 알림을 확인하는 기간. |
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| id | 없음 (필수) | 클러스터 알림 ID. |
tctl alerts ack ls#
확인된 클러스터 알림을 나열합니다.
사용법:
$ tctl alerts ack ls
tctl alerts create#
클러스터 알림을 생성합니다.
사용법:
$ tctl alerts create [<flags>] <message>
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--labels |
없음 | 알림에 첨부할 레이블 목록. 예: key1=value1,key2=value2. |
--severity |
low |
알림의 심각도 (low, medium, 또는 high). |
--ttl |
없음 | 알림이 만료되는 기간 (기본값 24h). |
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| message | 없음 (필수) | 알림 본문 메시지. |
tctl alerts delete#
클러스터 알림을 삭제합니다.
사용법:
$ tctl alerts delete <id>
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| id | 없음 (필수) | 클러스터 알림 ID. |
tctl alerts list#
클러스터 알림을 나열합니다.
사용법:
$ tctl alerts list [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--format |
text |
출력 형식, 'text', 'json', 또는 'yaml' |
--labels |
없음 | 레이블로 필터링할 쉼표로 구분된 레이블 목록 (예: key1=value1,key2=value2) |
-v, --[no-]verbose |
false |
확인된 알림을 포함한 상세 알림 정보 표시. |
tctl apps ls#
클러스터에 등록된 모든 애플리케이션을 나열합니다.
사용법:
$ tctl apps ls [<flags>] [<labels>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--format |
text |
출력 형식, 'text', 'json', 또는 'yaml' |
--query |
없음 | 단일 따옴표로 묶인 술어 언어로 쿼리. ==, !=, &&, || 지원 (예: --query='labels["key1"] == "value1" && labels["key2"] != "value2"') |
--search |
없음 | 쉼표로 구분된 검색 키워드 또는 따옴표로 묶인 구의 목록 (예: --search=foo,bar,"some phrase") |
-v, --[no-]verbose |
false |
전체 레이블 출력이 표시되는 상세 테이블 출력 |
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| labels | 없음 (선택) | 레이블로 필터링할 쉼표로 구분된 레이블 목록 (예: key1=value1,key2=value2) |
tctl audit query create#
감사 쿼리를 생성합니다.
사용법:
$ tctl audit query create [<flags>] [<query>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--name |
없음 | 감사 쿼리 이름 |
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| query | 없음 (선택) | SQL 쿼리 |
tctl audit query exec#
감사 쿼리를 실행합니다.
사용법:
$ tctl audit query exec [<query>]
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| query | 없음 (선택) | SQL 쿼리 |
tctl audit query get#
감사 쿼리를 가져옵니다.
사용법:
$ tctl audit query get <name>
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| name | 없음 (필수) | 감사 쿼리의 이름 |
tctl audit query ls#
감사 쿼리를 나열합니다.
사용법:
$ tctl audit query ls
tctl audit query rm#
감사 쿼리를 제거합니다.
사용법:
$ tctl audit query rm <name>
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| name | 없음 (필수) | 감사 쿼리의 이름 |
tctl audit report get#
보안 보고서를 가져옵니다.
사용법:
$ tctl audit report get <name>
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| name | 없음 (필수) | 보안 이름 |
tctl audit report ls#
보안 보고서를 나열합니다.
사용법:
$ tctl audit report ls
tctl audit report run#
보안 보고서를 실행합니다.
사용법:
$ tctl audit report run <name>
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| name | 없음 (필수) | 보안 보고서 이름 |
tctl audit report state#
보안 보고서의 상태를 출력합니다.
사용법:
$ tctl audit report state <name>
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| name | 없음 (필수) | 보안 보고서 이름 |
tctl audit schema#
감사 쿼리 스키마를 출력합니다.
사용법:
$ tctl audit schema
tctl auth crl#
Teleport 인증 기관의 빈 인증서 해지 목록(CRL)을 내보냅니다.
사용법:
$ tctl auth crl --type=TYPE [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--out |
없음 | 설정된 경우, 지정된 경로 접두사로 파일에 내보낸 해지 목록을 작성 |
--type |
없음 | 인증 기관 유형, 다음 중 하나: host, db, db_client, user |
tctl auth export#
클러스터 CA 공개 인증서를 stdout으로 내보냅니다.
사용법:
$ tctl auth export [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--compat |
없음 | 특정 버전의 Teleport와 호환되는 인증서 내보내기 |
--fingerprint |
없음 | 지문으로 기관 필터링 |
--integration |
없음 | 통합 이름. "github" CA에만 적용됨. |
--[no-]keys |
false |
설정된 경우, 개인 키 출력 |
--out |
없음 | 설정된 경우, 지정된 경로 접두사로 파일에 내보낸 기관 작성 |
--type |
없음 | 내보낼 인증서 유형 (user, host, tls-host, tls-user, tls-user-der, tls-spiffe, windows, db, db-der, db-client, db-client-der, openssh, saml-idp, github, awsra) |
tctl auth ls#
연결된 auth 서버를 나열합니다.
사용법:
$ tctl auth ls [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--format |
yaml |
출력 형식: 'yaml', 'json' 또는 'text' |
tctl auth rotate#
클러스터의 인증 기관을 로테이션합니다. 기본적으로 대화형 모드로 시작하며, 수동으로 로테이션 요청을 보내려면 --type을 제공하십시오.
사용법:
$ tctl auth rotate [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--grace-period |
30h0m0s |
유예 기간은 이전 인증 기관 서명을 유효하게 유지합니다. 0으로 설정하면 사용자가 다시 로그인하고 노드가 다시 등록하도록 강제합니다. |
--[no-]interactive |
false |
대화형 모드 활성화 |
--[no-]manual |
false |
수동 로테이션 활성화, 로테이션 단계를 수동으로 설정 |
--phase |
없음 | 설정할 대상 로테이션 단계, 수동 로테이션에서 사용, 다음 중 하나: init, standby, update_clients, update_servers, rollback |
--type |
없음 | 로테이션할 인증 기관, 다음 중 하나: host, user, db, db_client, openssh, jwt, saml_idp, oidc_idp, spiffe, okta, awsra, bound_keypair |
tctl auth sign#
지정된 사용자의 ID 파일을 생성합니다.
사용법:
$ tctl auth sign --out=OUT [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--app-name |
없음 | ID 파일을 생성할 애플리케이션. "--db-service"와 함께 사용 불가. |
--compat |
없음 | OpenSSH 호환성 플래그 |
--db-name |
없음 | ID 파일에 배치할 데이터베이스 이름. "--db-service"가 설정된 경우에만 사용. |
--db-service |
없음 | ID 파일을 생성할 데이터베이스. "--app-name"과 함께 사용 불가. |
--db-user |
없음 | ID 파일에 배치할 데이터베이스 사용자. "--db-service"가 설정된 경우에만 사용. |
--format |
file |
ID 형식: file, openssh, tls, kubernetes, db, windows, mongodb, cockroachdb, redis, snowflake, elasticsearch, cassandra, scylla, oracle. file이 기본값. |
--host |
없음 | Teleport 호스트 이름 |
--kube-cluster-name |
없음 | --format이 "kubernetes"로 설정된 경우 ID 파일을 생성할 Kubernetes 클러스터 |
--leaf-cluster |
없음 | --format이 "kubernetes"로 설정된 경우 ID 파일을 생성할 리프 클러스터 |
--[no-]omit-cdp |
false |
인증서에서 CRL 배포 지점을 생략. --format이 "windows"로 설정된 경우에만 사용 |
--[no-]overwrite |
false |
기존 대상 파일을 덮어쓸지 여부. 설정되지 않으면 기존 파일 덮어쓰기 전에 사용자에게 확인 요청. |
--[no-]tar |
false |
결과 인증서의 tarball을 생성하여 stdout으로 스트리밍. |
-o, --out |
없음 | ID 출력 |
--proxy |
없음 | Teleport proxy 주소. --format이 "kubernetes"로 설정된 경우 이 주소가 생성된 kubeconfig 파일의 클러스터 주소로 설정됨 |
--ttl |
12h0m0s |
생성된 인증서의 TTL (유효 기간). |
--user |
없음 | Teleport 사용자 이름 |
--windows-domain |
없음 | 이 인증서가 유효한 Active Directory 도메인. --format이 "windows"로 설정된 경우에만 사용 |
--windows-pki-domain |
없음 | CRL이 위치할 Active Directory 도메인. --format이 "windows"로 설정된 경우에만 사용 |
--windows-sid |
없음 | 인증서에 임베드할 선택적 보안 식별자. --format이 "windows"로 설정된 경우에만 사용 |
--windows-user |
없음 | ID 파일에 배치할 Windows 사용자. --format이 "windows"로 설정된 경우에만 사용 |
tctl autoupdate agents mark-done#
하나 또는 여러 그룹을 업데이트 완료로 표시합니다.
사용법:
$ tctl autoupdate agents mark-done [<groups>...]
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| groups | 없음 (선택) | 완료로 표시할 그룹. |
tctl autoupdate agents report#
에이전트 자동 업데이트 보고서를 집계하고 버전별, 업데이트 그룹별 에이전트 수를 표시합니다.
사용법:
$ tctl autoupdate agents report
tctl autoupdate agents rollback#
하나 또는 여러 그룹을 롤백합니다.
사용법:
$ tctl autoupdate agents rollback [<groups>...]
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| groups | 없음 (선택) | 롤백할 그룹. 비어 있으면 이미 시작된 모든 그룹이 롤백됨. |
tctl autoupdate agents start-update#
하나 또는 여러 그룹의 업데이트를 시작합니다.
사용법:
$ tctl autoupdate agents start-update [<flags>] [<groups>...]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--[no-]force |
false |
카나리아 또는 백프레셔와 같은 점진적 배포 메커니즘을 건너뜁니다. |
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| groups | 없음 (선택) | 업데이트를 시작할 그룹. |
tctl autoupdate agents status#
에이전트 자동 업데이트 상태를 출력합니다.
사용법:
$ tctl autoupdate agents status
tctl autoupdate client-tools disable#
클라이언트 도구 자동 업데이트를 비활성화합니다. 클라이언트에 대상 버전으로 업데이트하라는 알림이 전송되지 않습니다.
사용법:
$ tctl autoupdate client-tools disable
tctl autoupdate client-tools enable#
클라이언트 도구 자동 업데이트를 활성화합니다. 클라이언트에 대상 버전으로 업데이트하라는 알림이 전송됩니다.
사용법:
$ tctl autoupdate client-tools enable
tctl autoupdate client-tools status#
클라이언트 도구 업데이트의 활성화/비활성화 여부와 지정된 형식의 대상 버전을 출력합니다.
사용법:
$ tctl autoupdate client-tools status [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--format |
yaml |
출력 형식: 'yaml' 또는 'json' |
--proxy |
없음 | Teleport proxy 주소. 정의된 경우 이 주소가 클라이언트 도구 자동 업데이트 구성을 검색하는 데 사용됨. |
tctl autoupdate client-tools target#
클라이언트 도구의 대상 버전을 설정합니다. 이 명령은 Teleport Cloud에서 지원되지 않습니다.
사용법:
$ tctl autoupdate client-tools target [<flags>] [<version>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--[no-]clear |
false |
대상 버전을 제거하며, Teleport는 현재 proxy 버전으로 기본 설정됨. |
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| version | 없음 (선택) | 클라이언트 도구 대상 버전. 클라이언트에 이 버전으로 업데이트하라는 알림이 전송됨. |
tctl bots add#
클러스터에 새 인증서 갱신 봇을 추가합니다.
사용법:
$ tctl bots add [<flags>] <name>
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--logins |
없음 | 봇 사용자에 대해 허용된 SSH 로그인 목록 |
--max-session-ttl |
없음 | 봇의 내부 ID에 대한 최대 세션 TTL 설정. 기본값 12h, 최대 168h. |
--roles |
없음 | 봇이 가정할 수 있는 역할. |
--token |
없음 | 사용할 기존 토큰의 이름. |
--ttl |
없음 | 봇 참가 토큰의 TTL. |
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| name | 없음 (필수) | 클러스터에서 이 봇을 고유하게 식별하는 이름. |
tctl bots instances add#
기존 봇에 새 인스턴스를 추가합니다.
사용법:
$ tctl bots instances add [<flags>] <name>
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--format |
text |
출력 형식, 다음 중 하나: text, json |
--token |
없음 | 사용할 토큰 (있는 경우). 설정되지 않으면 일회성 토큰이 생성됨. |
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| name | 없음 (필수) | 새 인스턴스를 추가할 기존 봇의 이름. |
tctl bots instances list#
봇 인스턴스를 나열합니다.
사용법:
$ tctl bots instances list [<flags>] [<name>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--format |
text |
출력 형식, 'text' 또는 'json' |
--query |
없음 | 봇 인스턴스를 필터링하는 데 사용되는 Teleport 술어 언어의 표현식 |
--search |
없음 | 봇 인스턴스를 필터링하는 데 사용되는 퍼지 검색 쿼리 |
--sort-index |
bot_name |
정렬 인덱스 요청, 'bot_name', 'active_at_latest', 'version_latest' 또는 'host_name_latest' |
--sort-order |
ascending |
정렬 순서 요청, 'ascending' 또는 'descending' |
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| name | 없음 (선택) | 인스턴스를 나열할 봇의 이름. 설정되지 않으면 모든 봇의 인스턴스 나열. |
tctl bots instances show#
특정 봇 인스턴스에 대한 정보를 표시합니다.
사용법:
$ tctl bots instances show <id>
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| id | 없음 (필수) | 봇 인스턴스의 전체 ID, [bot name]/[uuid] 형식 |
tctl bots ls#
클러스터에 등록된 모든 인증서 갱신 봇을 나열합니다.
사용법:
$ tctl bots ls
tctl bots rm#
클러스터에서 인증서 갱신 봇을 영구적으로 제거합니다.
사용법:
$ tctl bots rm <name>
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| name | 없음 (필수) | 제거할 기존 봇의 이름. |
tctl bots update#
기존 봇을 업데이트합니다.
사용법:
$ tctl bots update [<flags>] <name>
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--add-logins |
없음 | 기존 봇에 쉼표로 구분된 로그인 목록을 추가합니다. |
--add-roles |
없음 | 기존 봇에 쉼표로 구분된 역할 목록을 추가합니다. |
--set-logins |
없음 | 봇의 로그인을 지정된 쉼표로 구분된 목록으로 설정하여 기존 로그인을 교체합니다. |
--set-max-session-ttl |
없음 | 최대 세션 TTL을 설정합니다. 최대 168h. |
--set-roles |
없음 | 봇의 역할을 지정된 쉼표로 구분된 목록으로 설정하여 기존 역할을 교체합니다. |
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| name | 없음 (필수) | 업데이트할 기존 봇의 이름. |
tctl bound-keypair request-rotation#
다음 참가 시도에서 키 쌍 로테이션을 요청합니다.
사용법:
$ tctl bound-keypair request-rotation <name>
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| name | 없음 (필수) | 토큰의 이름 |
tctl create#
YAML 파일에서 Teleport 리소스를 생성하거나 업데이트합니다.
사용법:
$ tctl create [<flags>] [<filename>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
-f, --[no-]force |
false |
이미 존재하는 경우 리소스를 덮어씁니다 |
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| filename | 없음 (선택) | 리소스 정의 파일, stdin의 경우 비어 있음 |
tctl db ls#
클러스터에 등록된 모든 데이터베이스를 나열합니다.
사용법:
$ tctl db ls [<flags>] [<labels>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--format |
text |
출력 형식, 'text', 'json', 또는 'yaml' |
--query |
없음 | 단일 따옴표로 묶인 술어 언어로 쿼리. ==, !=, &&, || 지원 (예: --query='labels["key1"] == "value1" && labels["key2"] != "value2"') |
--search |
없음 | 쉼표로 구분된 검색 키워드 또는 따옴표로 묶인 구의 목록 (예: --search=foo,bar,"some phrase") |
-v, --[no-]verbose |
false |
전체 레이블 출력이 표시되는 상세 테이블 출력 |
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| labels | 없음 (선택) | 레이블로 필터링할 쉼표로 구분된 레이블 목록 (예: key1=value1,key2=value2) |
tctl desktop bootstrap#
Active Directory를 부트스트랩하기 위한 PowerShell 스크립트를 생성합니다.
사용법:
$ tctl desktop bootstrap
tctl desktop ls#
클러스터에 등록된 모든 데스크톱을 나열합니다.
사용법:
$ tctl desktop ls [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--format |
text |
출력 형식, 'text', 'json' 또는 'yaml' |
-v, --[no-]verbose |
false |
전체 레이블 출력이 표시되는 상세 테이블 출력 |
tctl devices add#
관리 디바이스를 등록합니다.
사용법:
$ tctl devices add [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--asset-tag |
없음 | 디바이스의 인벤토리 식별자 (예: Mac 시리얼 번호) |
--enroll-ttl |
없음 | 등록 토큰의 유효 기간 |
--format |
text |
출력 형식, 'text', 'json', 또는 'yaml' |
--[no-]current-device |
false |
현재 디바이스를 등록합니다. --os 및 --asset-tag를 재정의합니다. |
--[no-]enroll |
false |
설정된 경우, 디바이스 등록 토큰을 생성합니다 |
--os |
없음 | 운영 체제 |
tctl devices enroll#
새 디바이스 등록 토큰을 생성합니다.
사용법:
$ tctl devices enroll [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--asset-tag |
없음 | 디바이스의 인벤토리 식별자 |
--device-id |
없음 | 디바이스 식별자 |
--[no-]current-device |
false |
현재 디바이스를 등록합니다. --device-id 및 --asset-tag를 재정의합니다. |
--ttl |
없음 | 등록 토큰의 유효 기간 |
tctl devices lock#
디바이스를 잠급니다.
사용법:
$ tctl devices lock [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--asset-tag |
없음 | 디바이스의 인벤토리 식별자 |
--device-id |
없음 | 디바이스 식별자 |
--expires |
없음 | 잠금이 만료되는 시점 (RFC3339) |
--message |
없음 | 잠긴 사용자에게 표시할 메시지 |
--[no-]current-device |
false |
현재 디바이스를 잠급니다. --device-id 및 --asset-tag를 재정의합니다. |
--ttl |
없음 | 잠금이 만료되는 기간 |
tctl devices ls#
관리 디바이스를 나열합니다.
사용법:
$ tctl devices ls [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--format |
text |
출력 형식, 'text', 'json', 또는 'yaml' |
tctl devices rm#
관리 디바이스를 제거합니다.
사용법:
$ tctl devices rm [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--asset-tag |
없음 | 디바이스의 인벤토리 식별자 |
--device-id |
없음 | 디바이스 식별자 |
--[no-]current-device |
false |
현재 디바이스를 제거합니다. --device-id 및 --asset-tag를 재정의합니다. |
tctl edit#
Teleport 리소스를 편집합니다.
사용법:
$ tctl edit [<resource type/resource name>]
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| resource type/resource name | 없음 (선택) | 업데이트할 리소스, 예: "user/myuser" |
tctl get#
다양한 Teleport 리소스의 YAML 선언을 출력합니다.
사용법:
$ tctl get [<flags>] <resources>
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--format |
yaml |
출력 형식: 'yaml', 'json' 또는 'text' |
--[no-]with-secrets |
false |
인증 기관 또는 OIDC 커넥터와 같은 리소스에 비밀 포함 |
-v, --[no-]verbose |
false |
전체 레이블 출력이 표시되는 상세 테이블 출력 |
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| resources | 없음 (필수) | 리소스 사양: 'type/[name][,...]' 또는 'all' |
tctl help#
도움말을 표시합니다.
사용법:
$ tctl help [<command>...]
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| command | 없음 (선택) | 명령에 대한 도움말 표시. |
tctl idp saml test-attribute-mapping#
속성 매핑의 표현식 평가를 테스트합니다.
사용법:
$ tctl idp saml test-attribute-mapping --users=USERS --sp=SP [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--format |
없음 | 출력 형식, 'yaml' 또는 'json' |
--sp |
없음 | 서비스 제공자 사양이 포함된 파일 이름 |
-u, --users |
없음 | 사용자 이름 또는 사용자 사양이 포함된 파일 이름 |
tctl inventory list#
Teleport 인스턴스 인벤토리를 나열합니다.
사용법:
$ tctl inventory list [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--exact-version |
없음 | teleport 버전으로 출력 필터링 |
--format |
text |
출력 형식, 'text' 또는 'json' |
--newer-than |
없음 | 더 새로운 teleport 버전으로 필터링 |
--older-than |
없음 | 더 오래된 teleport 버전으로 필터링 |
--services |
없음 | 서비스로 출력 필터링 (node,kube,proxy,etc) |
--update-group |
없음 | 업데이트 그룹으로 출력 필터링 |
--upgrader |
없음 | 업그레이더로 출력 필터링 (kube,unit,none) |
tctl inventory ping#
로컬에서 연결된 인스턴스에 ping을 보냅니다.
사용법:
$ tctl inventory ping <server-id>
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| server-id | 없음 (필수) | 대상 서버 ID |
tctl inventory status#
인벤토리 상태 요약을 표시합니다.
사용법:
$ tctl inventory status [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--format |
text |
출력 형식, 'text' 또는 'json' |
--[no-]connected |
false |
로컬에서 연결된 인스턴스 요약 표시 |
tctl kube ls#
클러스터에 등록된 모든 Kubernetes 클러스터를 나열합니다.
사용법:
$ tctl kube ls [<flags>] [<labels>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--format |
text |
출력 형식, 'text', 'json', 또는 'yaml' |
--query |
없음 | 단일 따옴표로 묶인 술어 언어로 쿼리. ==, !=, &&, || 지원 (예: --query='labels["key1"] == "value1" && labels["key2"] != "value2"') |
--search |
없음 | 쉼표로 구분된 검색 키워드 또는 따옴표로 묶인 구의 목록 (예: --search=foo,bar,"some phrase") |
-v, --[no-]verbose |
false |
전체 레이블 출력이 표시되는 상세 테이블 출력 |
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| labels | 없음 (선택) | 레이블로 필터링할 쉼표로 구분된 레이블 목록 (예: key1=value1,key2=value2) |
tctl lock#
새 잠금을 생성합니다.
사용법:
$ tctl lock [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--access-request |
없음 | 비활성화할 액세스 요청의 UUID. |
--bot-instance-id |
없음 | 비활성화할 봇 인스턴스의 UUID |
--device |
없음 | 비활성화할 신뢰할 수 있는 디바이스의 UUID. |
--expires |
없음 | 잠금이 만료되는 시점 (RFC3339). |
--join-token |
없음 | 비활성화할 봇 참가 토큰 이름 |
--login |
없음 | 비활성화할 로컬 UNIX 사용자의 이름. |
--message |
없음 | 잠긴 사용자에게 표시할 메시지. |
--mfa-device |
없음 | 비활성화할 사용자 MFA 디바이스의 UUID. |
--role |
없음 | 비활성화할 Teleport 역할의 이름. |
--server-id |
없음 | 비활성화할 Teleport 서버의 UUID. |
--ttl |
없음 | 잠금이 만료되는 기간. |
--user |
없음 | 비활성화할 Teleport 사용자의 이름. |
--windows-desktop |
없음 | 비활성화할 Windows 데스크톱의 이름. |
tctl login_rule test#
로그인 규칙의 파싱 및 평가를 테스트합니다.
사용법:
$ tctl login_rule test [<flags>] [<traits-file>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--format |
yaml |
출력 형식: 'yaml' 또는 'json' |
--[no-]load-from-cluster |
false |
연결된 Teleport 클러스터에서 기존 로그인 규칙 로드 |
--resource-file |
없음 | 로그인 규칙 리소스 파일 이름 (YAML 또는 JSON) |
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| traits-file | 없음 (선택) | 입력 사용자 특성 파일 이름 (YAML 또는 JSON), stdin의 경우 비어 있음 |
tctl nodes add#
노드 초대 토큰을 생성합니다.
사용법:
$ tctl nodes add [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--roles |
node |
새 노드가 가정할 역할의 쉼표로 구분된 목록 [node] |
--token |
없음 | 기본적으로 생성된 임의 토큰을 지정된 값으로 재정의 |
--ttl |
30m0s |
생성된 토큰의 유효 기간 |
tctl nodes ls#
클러스터 내의 모든 활성 SSH 노드를 나열합니다.
사용법:
$ tctl nodes ls [<flags>] [<labels>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--format |
text |
출력 형식, 'text' 또는 'yaml' |
--query |
없음 | 단일 따옴표로 묶인 술어 언어로 쿼리. ==, !=, &&, || 지원 (예: --query='labels["key1"] == "value1" && labels["key2"] != "value2"') |
--search |
없음 | 쉼표로 구분된 검색 키워드 또는 따옴표로 묶인 구의 목록 (예: --search=foo,bar,"some phrase") |
-v, --[no-]verbose |
false |
전체 레이블 출력이 표시되는 상세 테이블 출력 |
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| labels | 없음 (선택) | 레이블로 필터링할 쉼표로 구분된 레이블 목록 (예: key1=value1,key2=value2) |
tctl notifications create#
클러스터 알림을 생성합니다.
사용법:
$ tctl notifications create --title=TITLE --content=CONTENT [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--content |
없음 | 알림의 내용을 설정합니다. |
--labels |
없음 | 알림에 첨부할 레이블 목록. 예: key1=value1,key2=value2. |
--[no-]require-all-roles |
false |
제공된 모든 역할을 가진 사용자를 대상으로 하는지 여부를 설정합니다. |
--[no-]warning |
false |
이 알림이 경고 알림인지 여부를 설정합니다. |
--roles |
없음 | 특정 역할 집합을 대상으로 합니다. 기본적으로 제공된 역할 중 하나라도 있는 모든 사용자를 대상으로 하며, --require-all-roles를 사용하여 모든 역할을 가진 사용자만 대상으로 합니다. |
-t, --title |
없음 | 알림의 제목을 설정합니다. |
--ttl |
30d |
알림이 만료되는 기간 (기본값 30일). |
--user |
없음 | 특정 사용자를 대상으로 합니다. |
tctl notifications ls#
tctl notifications create를 사용하여 수동으로 생성된 알림을 나열합니다. 기본적으로 역할 기반 알림과 같이 여러 사용자를 대상으로 할 수 있는 알림을 나열합니다. 특정 사용자에게만 전달되는 알림을 나열하려면 --user 플래그를 사용하십시오. Teleport에서 생성된 알림을 포함하려면 --all을 사용하십시오.
사용법:
$ tctl notifications ls [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--format |
text |
출력 형식, 'yaml', 'json', 또는 'text' |
--labels |
없음 | 레이블로 필터링할 쉼표로 구분된 레이블 목록 (예: key1=value1,key2=value2) |
--[no-]all |
false |
tctl notifications create를 사용하여 생성된 알림만 아닌, Teleport에서 생성된 알림을 포함하여 모든 알림을 포함할지 여부를 설정합니다. |
--user |
없음 | 사용자별 알림을 나열할 사용자를 설정하거나, 본인의 알림을 나열하려면 비워 두십시오. |
tctl notifications rm#
클러스터 알림을 제거합니다.
사용법:
$ tctl notifications rm [<flags>] <id>
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--user |
없음 | 제거할 알림이 속한 사용자 (있는 경우). |
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| id | 없음 (필수) | 제거할 알림의 ID. |
tctl plugins cleanup#
지정된 플러그인 유형을 정리합니다.
사용법:
$ tctl plugins cleanup [<flags>] <type>
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--[no-]dry-run |
true |
정리 명령을 드라이 런합니다. 드라이 런은 기본적으로 활성화되어 있습니다. |
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| type | 없음 (필수) | 정리할 플러그인 유형. 현재 Okta만 지원합니다. |
tctl plugins delete#
플러그인 인스턴스를 제거합니다.
사용법:
$ tctl plugins delete [<name>]
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| name | 없음 (선택) | 삭제할 SCIM 플러그인 리소스의 이름 |
tctl plugins edit awsic#
AWS IAM Identity Center 통합의 설정을 편집합니다.
사용법:
$ tctl plugins edit awsic [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--plugin-name |
aws-identity-center |
업데이트할 AWS Identity Center 통합 인스턴스의 이름. 기본값은 aws-identity-center. |
--roles-sync-mode |
없음 | 계정 할당 역할 생성 제어. ALL은 가능한 모든 계정 할당에 대한 역할을 생성합니다. NONE은 역할을 생성하지 않으며, 완전 배타적인 그룹 가져오기 필터를 의미합니다. |
tctl plugins install awsic#
AWS IAM Identity Center 통합을 설치합니다.
사용법:
$ tctl plugins install awsic --access-list-default-owner=ACCESS-LIST-DEFAULT-OWNER --scim-url=SCIM-URL --scim-token=SCIM-TOKEN --instance-region=INSTANCE-REGION --instance-arn=INSTANCE-ARN [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--access-list-default-owner |
없음 | 가져온 액세스 목록의 기본 소유자로 설정할 Teleport 사용자. 여러 플래그 허용. |
--account-id |
없음 | ID로 계정 가져오기 목록에 AWS 계정 추가. 계정 가져오기 목록에 항목이 추가되지 않으면 모든 AWS 계정이 가져와짐. |
--account-name |
없음 | 이름으로 계정 가져오기 목록에 AWS 계정 추가. 글로브일 수 있으며, 정규 표현식을 지정하려면 ^$로 묶습니다. 계정 가져오기 목록에 항목이 추가되지 않으면 모든 AWS 계정이 가져와짐. |
--assume-role-arn |
없음 | 시스템 자격 증명이 가정해야 할 역할의 ARN. |
--exclude-account-id |
없음 | ID로 가져오기 목록에서 AWS 계정 제외. |
--exclude-account-name |
없음 | 이름으로 가져오기 목록에서 AWS 계정 제외. 글로브 또는 정규 표현식 (^$로 묶음)일 수 있습니다. |
--exclude-group-name |
없음 | 이름으로 가져오기 목록에서 AWS 그룹 제외. 글로브 또는 정규 표현식 (^$로 묶음)일 수 있습니다. |
--group-name |
없음 | 이름으로 그룹 가져오기 목록에 AWS 그룹 추가. 글로브일 수 있으며, 정규 표현식을 지정하려면 ^$로 묶습니다. 필터가 제공되지 않으면 모든 AWS 그룹이 가져와짐. |
--instance-arn |
없음 | AWS Identity center 인스턴스 ARN |
--instance-region |
없음 | AWS Identity Center 인스턴스 리전 |
--[no-]force-scim-url |
false |
SCIM 엔드포인트 검증이 실패해도 제공된 SCIM 프로비저닝 엔드포인트 사용 |
--[no-]use-system-credentials |
true |
OIDC 대신 시스템 자격 증명 사용. |
--oidc-integration |
없음 | AWS 인증 시 사용할 Teleport OIDC 통합의 이름. --no-use-system-credentials 설정 시 제공해야 함. |
--roles-sync-mode |
ALL |
계정 할당 역할 생성 제어. ALL은 가능한 모든 계정 할당에 대한 Teleport 역할을 생성합니다. NONE은 Teleport 역할을 생성하지 않으며, 완전 배타적인 그룹 가져오기 필터를 의미합니다. |
--scim-token |
없음 | AWS Identity Center SCIM 프로비저닝 토큰. |
--scim-url |
없음 | AWS Identity Center SCIM 프로비저닝 엔드포인트 |
--user-label |
없음 | 사용자 레이블 필터 추가, "name=value" 쌍의 쉼표로 구분된 목록 형식. 레이블 필터가 제공되지 않으면 모든 Teleport 사용자가 Identity Center에 프로비저닝됨 |
--user-origin |
없음 | "--user-label teleport.dev/origin=ORIGIN"의 약어 |
tctl plugins install entraid#
Microsoft Entra ID 통합을 설치합니다.
사용법:
$ tctl plugins install entraid --default-owner=DEFAULT-OWNER [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--access-list-owners-source |
plugin |
액세스 목록 소유자의 소스. |
--auth-connector-name |
entra-id-default |
생성할 SAML 커넥터 리소스의 이름 |
--default-owner |
없음 | 가져온 액세스 목록의 기본 소유자인 Teleport 사용자 목록. 여러 플래그 허용. |
--exclude-group-id |
없음 | 지정된 그룹 ID와 일치하는 그룹 제외. |
--exclude-group-name |
없음 | 지정된 그룹 이름 정규식과 일치하는 그룹 제외. |
-f, --[no-]force |
false |
플러그인이 이미 존재해도 설치를 진행합니다. |
--group-id |
없음 | 지정된 그룹 ID와 일치하는 그룹 포함. |
--group-name |
없음 | 지정된 그룹 이름 정규식과 일치하는 그룹 포함. |
-m, --[no-]manual-setup |
false |
EntraID 통합을 수동으로 설정합니다. |
--name |
entra-id |
생성할 플러그인 리소스의 이름 |
--[no-]access-graph |
true |
Access Graph 캐시 빌드를 활성화합니다. |
--[no-]use-system-credentials |
false |
OIDC 대신 시스템 자격 증명 사용. |
tctl plugins install github#
Access Graph Github 통합을 설치합니다.
사용법:
$ tctl plugins install github [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--start-date |
<today> |
YYYY-MM-DD 형식의 감사 로그 수집 시작 날짜. |
tctl plugins install netiq#
Access Graph NetIQ 통합을 설치합니다.
사용법:
$ tctl plugins install netiq [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--[no-]insecure-skip-verify |
false |
NetIQ 서버의 SSL 인증서 검증을 건너뜁니다. |
tctl plugins install okta#
Okta 통합을 설치합니다.
사용법:
$ tctl plugins install okta --org=ORG --saml-connector=SAML-CONNECTOR [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
-a, --app-filter |
없음 | 앱 필터를 추가합니다. 기본적으로 글로브를 지원합니다. 전체 정규식 지원을 위해 ^pattern$로 묶으세요. |
--api-token |
없음 | 플러그인이 사용할 Okta API 토큰 |
--app-id |
없음 | SAML을 통한 SSO에 사용되는 APP의 Okta ID |
-g, --group-filter |
없음 | 그룹 필터를 추가합니다. 기본적으로 글로브를 지원합니다. 전체 정규식 지원을 위해 ^pattern$로 묶으세요. |
--name |
okta |
생성할 플러그인 리소스의 이름 |
--[no-]accesslist-sync |
true |
그룹에서 액세스 목록으로의 동기화 활성화 |
--[no-]appgroup-sync |
true |
Okta 애플리케이션 및 그룹 동기화 활성화 |
--[no-]assign-default-roles |
true |
사용자 동기화가 활성화된 경우, 동기화된 사용자에게 내장 okta-requester 역할 할당 |
--[no-]scim |
false |
SCIM Okta 통합 활성화 |
--[no-]system-logs-export |
false |
Okta용 Teleport Identity Security SIEM 통합을 활성화합니다. |
--[no-]users-sync |
true |
사용자 동기화 활성화 |
-o, --owner |
없음 | 동기화된 액세스 목록의 기본 소유자 추가 |
--org |
없음 | Okta 조직의 URL |
--saml-connector |
없음 | Okta SSO 로그인에 사용되는 SAML 커넥터. |
tctl plugins install scim#
Teleport SCIM 플러그인을 설치합니다.
사용법:
$ tctl plugins install scim --connector=CONNECTOR [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--auth |
oauth |
플러그인 인증 유형. |
--connector |
없음 | 사용할 Teleport 커넥터의 이름. |
--connector-type |
없음 | 사용할 Teleport 커넥터의 유형. |
tctl plugins rotate awsic#
AWS Identity Center SCIM 베어러 토큰을 로테이션합니다.
사용법:
$ tctl plugins rotate awsic [<flags>] TOKEN
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--[no-]validate-token |
true |
제공된 토큰이 구성된 다운스트림 SCIM 서비스에 유효한지 검증 |
--plugin-name |
aws-identity-center |
업데이트할 AWSIC 플러그인 인스턴스의 이름. 기본값은 aws-identity-center. |
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| token | 없음 (필수) | 새 SCIM 베어러 토큰. |
tctl proxy ls#
클러스터에 연결된 proxy를 나열합니다.
사용법:
$ tctl proxy ls [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--format |
yaml |
출력 형식: 'yaml', 'json' 또는 'text' |
tctl recordings download#
클러스터의 녹화 저장소에서 세션 녹화를 로컬 파일로 다운로드합니다. 출력 디렉터리를 생략하면 녹화가 현재 작업 디렉터리에 저장됩니다.
클러스터에서 세션 녹화 암호화가 활성화된 경우, 녹화는 다운로드 중에 복호화됩니다.
예시#
$ tctl recordings download [--output-dir <output-dir>] <session_id>
tctl recordings encryption complete-rotation#
진행 중인 암호화 키 로테이션을 완료합니다.
사용법:
$ tctl recordings encryption complete-rotation
tctl recordings encryption rollback-rotation#
진행 중인 암호화 키 로테이션을 롤백합니다.
사용법:
$ tctl recordings encryption rollback-rotation
tctl recordings encryption rotate#
세션 녹화 암호화에 사용되는 암호화 키를 로테이션합니다.
사용법:
$ tctl recordings encryption rotate
tctl recordings encryption status#
현재 로테이션 상태를 표시합니다.
사용법:
$ tctl recordings encryption status [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--format |
text |
출력 형식 (text, json, yaml). 기본값은 'text'. |
tctl recordings ls#
녹화된 세션을 나열합니다.
사용법:
$ tctl recordings ls [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--format |
text |
출력 형식 (text, json, yaml). 기본값은 'text'. |
--from-utc |
없음 | 녹화가 나열되는 시간 범위의 시작. 형식 2006-01-02. 기본값은 24시간 전. |
--last |
없음 | 세션 녹화가 나열되어야 하는 과거의 기간. 형식 5h30m40s |
--limit |
50 |
표시할 최대 녹화 수. 기본값 50. |
--to-utc |
없음 | 녹화가 나열되는 시간 범위의 끝. 형식 2006-01-02. 기본값은 현재 시간. |
tctl requests approve#
대기 중인 액세스 요청을 승인합니다.
사용법:
$ tctl requests approve [<flags>] <request-id>
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--annotations |
없음 | 해결 속성 <key>=<val>[,...] |
--assume-start-time |
없음 | 요청자가 역할을 가정할 수 있는 시간 설정 (RFC3339 예: 2023-12-12T23:20:50.52Z) |
--delegator |
없음 | 선택적 위임 ID |
--reason |
없음 | 선택적 이유 메시지 |
--roles |
없음 | 요청된 역할 재정의 <role>[,...] |
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| request-id | 없음 (필수) | 대상 요청 ID |
tctl requests create#
대기 중인 액세스 요청을 생성합니다.
사용법:
$ tctl requests create [<flags>] <username>
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--[no-]dry-run |
false |
실제로 액세스 요청을 생성하지 않음 |
--reason |
없음 | 선택적 이유 메시지 |
--resource |
없음 | 요청할 리소스 ID |
--roles |
없음 | 요청할 역할 |
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| username | 없음 (필수) | 대상 사용자 이름 |
tctl requests deny#
대기 중인 액세스 요청을 거부합니다.
사용법:
$ tctl requests deny [<flags>] <request-id>
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--annotations |
없음 | 해결 주석 <key>=<val>[,...] |
--delegator |
없음 | 선택적 위임 ID |
--reason |
없음 | 선택적 이유 메시지 |
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| request-id | 없음 (필수) | 대상 요청 ID |
tctl requests get#
ID로 액세스 요청을 표시합니다.
사용법:
$ tctl requests get <request-id>
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| request-id | 없음 (필수) | 대상 요청 ID |
tctl requests ls#
활성 액세스 요청을 표시합니다.
사용법:
$ tctl requests ls [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--sort-index |
created |
요청 정렬 인덱스, 'created' 또는 'state' |
--sort-order |
descending |
요청 정렬 순서, 'ascending' 또는 'descending' |
tctl requests review#
액세스 요청을 검토합니다.
사용법:
$ tctl requests review --author=AUTHOR [<flags>] <request-id>
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--author |
없음 | 검토자의 사용자 이름 |
--[no-]approve |
false |
검토에서 승인 제안 |
--[no-]deny |
false |
검토에서 거부 제안 |
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| request-id | 없음 (필수) | 대상 요청 ID |
tctl requests rm#
액세스 요청을 삭제합니다.
사용법:
$ tctl requests rm [<flags>] <request-id>
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
-f, --[no-]force |
false |
활성 액세스 요청의 강제 삭제 |
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| request-id | 없음 (필수) | 대상 요청 ID |
tctl rm#
리소스를 삭제합니다.
사용법:
$ tctl rm [<resource type/resource name>]
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| resource type/resource name | 없음 (선택) | 삭제할 리소스 |
\<resource type\> 리소스 유형 \[예: connector,user,cluster,token\]
\<resource name\> 삭제할 리소스 이름
예시:
$ tctl rm role/devs
$ tctl rm cluster/main|
tctl saml export#
SAML 서명 키를 .crt 형식으로 내보냅니다.
사용법:
$ tctl saml export <connector_name>
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| connector_name | 없음 (필수) | 키를 내보낼 SAML 커넥터의 이름 |
tctl scoped status#
범위가 지정된 리소스의 상태를 표시합니다
사용법:
$ tctl scoped status
tctl scoped tokens add#
범위가 지정된 초대 토큰을 생성합니다.
사용법:
$ tctl scoped tokens add --type=TYPE [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--assign-scope |
없음 | 이 토큰에 의해 프로비저닝된 리소스에 적용되어야 하는 범위 |
--format |
없음 | 출력 형식, 'text', 'json', 또는 'yaml' |
--name |
없음 | 기본적으로 생성된 임의 토큰 이름을 지정된 이름으로 재정의 |
--scope |
없음 | 토큰 자체에 할당된 범위 |
--ttl |
30m0s |
토큰의 만료 시간 설정, 기본값은 30분 |
--type |
없음 | 추가할 토큰 유형, 예: --type=node |
tctl scoped tokens ls#
초대 토큰을 나열합니다.
사용법:
$ tctl scoped tokens ls [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--format |
없음 | 출력 형식, 'text', 'json' 또는 'yaml' |
--[no-]with-secrets |
false |
참가 토큰을 수정하지 않음 |
tctl scoped tokens rm#
범위가 지정된 초대 토큰을 삭제/취소합니다.
사용법:
$ tctl scoped tokens rm [<token>]
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| token | 없음 (선택) | 삭제할 토큰 |
tctl sso configure github#
GitHub 인증 커넥터를 구성합니다.
사용법:
$ tctl sso configure github --teams-to-roles=org,team,role1,role2,... --id=ID --secret=SECRET [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--api-endpoint-url |
https://api.github.com |
GitHub 인스턴스의 API 엔드포인트 URL. |
--display |
없음 | 커넥터 표시 이름 설정. |
--endpoint-url |
https://github.com |
GitHub 인스턴스의 엔드포인트 URL. |
--id |
없음 | GitHub 앱 클라이언트 ID. |
-n, --name |
github |
커넥터 이름. |
--[no-]ignore-missing-roles |
false |
--teams-to-roles에서 참조된 누락된 역할 무시. |
--redirect-url |
없음 | 인증 콜백 URL. |
-r, --teams-to-roles |
없음 | 'organization,name,role1,role2,...' 형식을 사용하여 팀-역할 매핑 설정. 반복 가능. |
--secret |
없음 | GitHub 앱 클라이언트 비밀. |
tctl sso configure oidc#
OIDC 인증 커넥터를 구성합니다. 선택적으로 프리셋 사용. 사용 가능한 프리셋: [google gitlab okta].
사용법:
$ tctl sso configure oidc --claims-to-roles=name,value,role1,role2,... --secret=SECRET [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--acr |
없음 | 인증 컨텍스트 클래스 참조 값. |
--display |
없음 | 커넥터 표시 이름 설정. |
--google-acc |
없음 | Google만. Google 서비스 계정 자격 증명이 포함된 문자열. |
--google-acc-uri |
없음 | Google만. 서비스 계정 자격 증명을 가리키는 URI. 예: file:///var/lib/teleport/gworkspace-creds.json. |
--google-admin |
없음 | Google만. 가장할 Google 관리자의 이메일. |
--google-id |
없음 | .apps.googleusercontent.com으로 --id 플래그를 설정하는 약어 |
--id |
없음 | OIDC 앱 클라이언트 ID. |
--issuer-url |
없음 | 발급자 URL. |
-n, --name |
없음 | 커넥터 이름. 프리셋에서 암시되지 않는 한 필수. |
--[no-]google-legacy |
false |
Google만. 도메인으로 필터링된 직접 멤버십이 있는 그룹을 선택하는 플래그 (레거시 동작). 기본적으로 비활성화. 자세한 정보: https://goteleport.com/docs/enterprise/sso/google-workspace/#how-teleport-uses-google-workspace-apis |
--[no-]ignore-missing-roles |
false |
--claims-to-roles에서 참조된 누락된 역할 무시. |
-p, --preset |
없음 | 프리셋. 다음 중 하나: [google gitlab okta] |
--prompt |
없음 | 선택적 OIDC 프롬프트. 예시 값: none, select_account, login, consent. |
--provider |
없음 | IdP 특정 해결 방법을 활성화하기 위한 외부 ID 제공자 유형 설정. 예시: ping, adfs, netiq, okta. |
-r, --claims-to-roles |
없음 | 'claim_name,claim_value,role1,role2,...' 형식을 사용하여 클레임-역할 매핑 설정. 반복 가능. |
--redirect-url |
없음 | 인증 콜백 URL. 플래그를 반복할 때마다 하나의 redirectURL이 선언됨. |
--scope |
없음 | 제공자가 설정한 추가 범위 지정. 플래그를 반복할 때마다 하나의 범위가 선언됨. 예시: email, groups, openid. |
--secret |
없음 | OIDC 앱 클라이언트 비밀. |
tctl sso configure saml#
SAML 인증 커넥터를 구성합니다. 선택적으로 프리셋 사용. 사용 가능한 프리셋: [okta onelogin ad adfs].
사용법:
$ tctl sso configure saml --attributes-to-roles=ATTRIBUTES-TO-ROLES [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--acs |
없음 | AssertionConsumerService는 서비스 제공자 (Teleport 측)의 어설션 소비자 서비스 URL입니다. |
--assertion-cert-file |
없음 | SAML 어설션 보안에 사용되는 인증서가 있는 파일. --assertion-key-file과 함께 사용해야 함. |
--assertion-key-file |
없음 | SAML 어설션 보안에 사용되는 키가 있는 파일. --assertion-cert-file과 함께 사용해야 함. |
--audience |
없음 | Audience는 서비스 제공자를 고유하게 식별합니다. |
--cert |
없음 | IdP 인증서 PEM이 있는 인증서 파일. IdP는 이 인증서를 사용하여 응답에 서명합니다. |
--display |
없음 | 커넥터 표시 이름 설정. |
-e, --entity-descriptor |
없음 | 엔티티 디스크립터 설정. 유효한 값: 파일, URL, XML 내용. 개별 요소 대신 단일 XML로 구성 매개변수를 제공합니다. |
--issuer |
없음 | Issuer는 ID 제공자 발급자입니다. |
-n, --name |
없음 | 커넥터 이름. 프리셋에서 암시되지 않는 한 필수. |
--[no-]allow-idp-initiated |
false |
IdP가 SSO 흐름을 시작할 수 있도록 허용. |
--[no-]ignore-missing-roles |
false |
--attributes-to-roles에서 참조된 누락된 역할 무시. |
-p, --preset |
없음 | 프리셋. 다음 중 하나: [okta onelogin ad adfs] |
--provider |
없음 | 외부 ID 제공자 유형 설정. 예시: ping, adfs. |
-r, --attributes-to-roles |
없음 | 'attr_name,attr_value,role1,role2,...' 형식을 사용하여 속성-역할 매핑 설정. 반복 가능. |
--service-provider-issuer |
없음 | ServiceProviderIssuer는 서비스 제공자 (Teleport)의 발급자입니다. |
--signing-cert-file |
없음 | 요청 인증서가 있는 파일. --signing-key-file과 함께 사용해야 함. |
--signing-key-file |
없음 | 요청 서명 키가 있는 파일. --signing-cert-file과 함께 사용해야 함. |
--sso |
없음 | SSO는 ID 제공자의 SSO 서비스 URL입니다. |
tctl sso test#
제공된 인증 커넥터 정의를 사용하여 SSO 흐름의 종단 간 테스트를 수행합니다.
사용법:
$ tctl sso test [<flags>] [<filename>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--browser |
없음 | 로그인 시 브라우저 열기를 억제하려면 'none'으로 설정. |
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| filename | 없음 (선택) | 커넥터 리소스 정의 파일 이름. stdin의 경우 비어 있음. |
tctl stable-unix-users ls#
클러스터에 현재 지속된 안정적인 UNIX 사용자를 나열합니다.
사용법:
$ tctl stable-unix-users ls [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--format |
text |
출력 형식, 'text' 또는 'json' |
tctl status#
클러스터 상태를 보고합니다.
사용법:
$ tctl status
tctl terraform env#
인증서를 획득하고 환경 변수에 로드합니다. 임시 MachineID 봇을 생성합니다.
사용법:
$ tctl terraform env [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--bot-ttl |
1h |
Bot 리소스의 유효 기간. 이 기간 후에 봇이 제거됩니다. 기본값은 [1h] |
--resource-prefix |
tctl-terraform-env- |
Terraform 역할 및 봇 생성 시 사용할 리소스 접두사. 기본값은 [tctl-terraform-env-] |
--role |
없음 | Terraform이 사용하는 역할. 역할은 이미 Teleport에 존재해야 합니다. 지정되지 않은 경우 기본 역할 "terraform-provider"를 사용합니다 |
tctl tokens add#
초대 토큰을 생성합니다.
사용법:
$ tctl tokens add --type=TYPE [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--app-name |
example-app |
추가할 애플리케이션의 이름 |
--app-uri |
http://localhost:8080 |
추가할 애플리케이션의 URI |
--db-name |
없음 | 추가할 데이터베이스의 이름 |
--db-protocol |
없음 | 사용할 데이터베이스 프로토콜. 지원되는 프로토콜: [postgres mysql mongodb oracle cockroachdb redis snowflake sqlserver cassandra elasticsearch opensearch dynamodb clickhouse clickhouse-http spanner] |
--db-uri |
없음 | 데이터베이스에 접근할 수 있는 주소 |
--format |
없음 | 출력 형식, 'text', 'json', 또는 'yaml' |
--labels |
없음 | 토큰 레이블 설정, 예: env=prod,region=us-west |
--ttl |
30m0s |
토큰의 만료 시간 설정, 기본값은 30분 |
--type |
없음 | 추가할 토큰 유형, 예: --type=node,app,db,proxy,etc |
--value |
없음 | 기본적으로 생성된 임의 토큰을 지정된 값으로 재정의 |
tctl tokens configure-kube#
Kubernetes 클러스터의 워크로드가 Teleport 클러스터에 참가할 수 있는 토큰을 생성합니다.
사용법:
$ tctl tokens configure-kube --service-account=SERVICE-ACCOUNT [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--bot |
없음 | 이 토큰이 액세스를 부여할 봇의 이름. 설정된 경우 봇 토큰을 생성합니다. --type을 재정의합니다 |
--cluster-name |
없음 | Kubernetes 클러스터의 이름. 설정되지 않으면 컨텍스트 이름으로 기본 설정됩니다. |
--context |
없음 | 사용할 Kubernetes 컨텍스트. 설정되지 않으면 활성 컨텍스트로 기본 설정됩니다. |
-f, --[no-]force |
false |
토큰이 이미 존재해도 토큰 생성을 강제합니다 |
-j, --join-with |
auto |
Kubernetes 참가 유형, 가능한 값은 'oidc', 'jwks', 'auto'. 자세한 내용: https://goteleport.com/docs/reference/join-methods/#kubernetes-kubernetes |
-n, --namespace |
teleport |
토큰을 사용하는 Kubernetes 서비스 계정의 네임스페이스. 'teleport-kube-agent' 및 'tbot' Helm 차트의 경우 릴리즈 네임스페이스입니다. |
-o, --out |
./values.yaml |
출력 파일의 경로. |
-s, --service-account |
없음 | 토큰을 사용하는 Kubernetes 서비스 계정의 이름. 'teleport-kube-agent' 및 'tbot' Helm 차트의 경우 릴리즈 이름입니다. |
--token-name |
없음 | 생성된 참가 토큰의 선택적 이름. 설정되지 않으면 '(-)'로 기본 설정됩니다 |
--type |
kube,app,discovery |
추가할 토큰 유형, 예: --type=kube,app,db,discovery,proxy,etc |
--update-group |
없음 | 버전 감지 및 에이전트 업데이터 구성에 사용되는 선택적 업데이트 그룹 |
tctl tokens ls#
노드 및 사용자 초대 토큰을 나열합니다.
사용법:
$ tctl tokens ls [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--format |
없음 | 출력 형식, 'text', 'json' 또는 'yaml' |
--labels |
없음 | 레이블로 필터링할 쉼표로 구분된 레이블 목록 (예: key1=value1,key2=value2) |
--[no-]with-secrets |
false |
참가 토큰을 수정하지 않음 |
tctl tokens rm#
초대 토큰을 삭제/취소합니다.
사용법:
$ tctl tokens rm [<token>]
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| token | 없음 (선택) | 삭제할 토큰 |
tctl top#
진단 정보를 보고합니다.
사용법:
$ tctl top [<diag-addr>] [<refresh>]
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| diag-addr | 없음 (선택) | 진단 HTTP URL |
| refresh | 5s (선택) |
새로 고침 기간 |
tctl update#
리소스 필드를 업데이트합니다.
사용법:
$ tctl update [<flags>] [<resource type/resource name>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--set-labels |
없음 | 레이블 설정 |
--set-ttl |
없음 | TTL 설정 |
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| resource type/resource name | 없음 (선택) | 업데이트할 리소스 |
\<resource type\> 리소스 유형 \[예: rc\]
\<resource name\> 업데이트할 리소스 이름
예시:
$ tctl update rc/remote|
tctl users add#
사용자 초대 토큰을 생성합니다 [Teleport 로컬 사용자만 해당].
사용법:
$ tctl users add --roles=ROLES [<flags>] <account>
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--aws-role-arns |
없음 | 새 사용자에 대해 허용된 AWS 역할 ARN 목록 |
--azure-identities |
없음 | 새 사용자에 대해 허용된 Azure ID 목록 |
--db-names |
없음 | 새 사용자에 대해 허용된 데이터베이스 이름 목록 |
--db-roles |
없음 | 자동 데이터베이스 사용자 프로비저닝을 위한 데이터베이스 역할 목록 |
--db-users |
없음 | 새 사용자에 대해 허용된 데이터베이스 사용자 목록 |
--default-relay-addr |
없음 | 클라이언트가 기본적으로 사용해야 하는 릴레이 주소 |
--gcp-service-accounts |
없음 | 새 사용자에 대해 허용된 GCP 서비스 계정 목록 |
--host-user-gid |
없음 | 자동 프로비저닝된 호스트 사용자가 사용할 GID |
--host-user-uid |
없음 | 자동 프로비저닝된 호스트 사용자가 사용할 UID |
--kubernetes-groups |
없음 | 새 사용자에 대해 허용된 Kubernetes 그룹 목록 |
--kubernetes-users |
없음 | 새 사용자에 대해 허용된 Kubernetes 사용자 목록 |
--logins |
없음 | 새 사용자에 대해 허용된 SSH 로그인 목록 |
--mcp-tools |
없음 | 새 사용자에 대해 허용된 MCP 도구 목록 |
--roles |
없음 | 새 사용자가 가정할 역할 목록 |
--ttl |
1h0m0s |
토큰의 만료 시간 설정, 기본값 1h0m0s, 최대 48h0m0s |
--windows-logins |
없음 | 새 사용자에 대해 허용된 Windows 로그인 목록 |
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| account | 없음 (필수) | Teleport 사용자 계정 이름 |
tctl users ls#
모든 사용자 계정을 나열합니다.
사용법:
$ tctl users ls
tctl users reset#
사용자 비밀번호를 초기화하고 새 토큰을 생성합니다 [Teleport 로컬 사용자만 해당].
사용법:
$ tctl users reset [<flags>] <account>
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--ttl |
8h0m0s |
토큰의 만료 시간 설정, 기본값 8h0m0s, 최대 24h0m0s |
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| account | 없음 (필수) | Teleport 사용자 계정 이름 |
tctl users rm#
사용자 계정을 삭제합니다.
사용법:
$ tctl users rm <logins>
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| logins | 없음 (필수) | 삭제할 사용자 로그인의 쉼표로 구분된 목록 |
tctl users update#
사용자 계정을 업데이트합니다.
사용법:
$ tctl users update [<flags>] <account>
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--set-aws-role-arns |
없음 | 사용자에 대해 허용된 AWS 역할 ARN 목록, 현재 AWS 역할 ARN 교체 |
--set-azure-identities |
없음 | 사용자에 대해 허용된 Azure ID 목록, 현재 Azure ID 교체 |
--set-db-names |
없음 | 사용자에 대해 허용된 데이터베이스 이름 목록, 현재 데이터베이스 이름 교체 |
--set-db-roles |
없음 | 자동 데이터베이스 사용자 프로비저닝을 위한 허용된 데이터베이스 역할 목록, 현재 데이터베이스 역할 교체 |
--set-db-users |
없음 | 사용자에 대해 허용된 데이터베이스 사용자 목록, 현재 데이터베이스 사용자 교체 |
--set-default-relay-addr |
없음 | 클라이언트가 기본적으로 사용해야 하는 릴레이 주소. 빈 문자열을 제공하여 값을 재설정할 수 있음 |
--set-gcp-service-accounts |
없음 | 사용자에 대해 허용된 GCP 서비스 계정 목록, 현재 서비스 계정 교체 |
--set-host-user-gid |
없음 | 자동 프로비저닝된 호스트 사용자가 사용할 GID. 빈 문자열을 제공하여 값을 재설정할 수 있음 |
--set-host-user-uid |
없음 | 자동 프로비저닝된 호스트 사용자가 사용할 UID. 빈 문자열을 제공하여 값을 재설정할 수 있음 |
--set-kubernetes-groups |
없음 | 사용자에 대해 허용된 Kubernetes 그룹 목록, 현재 Kubernetes 그룹 교체 |
--set-kubernetes-users |
없음 | 사용자에 대해 허용된 Kubernetes 사용자 목록, 현재 Kubernetes 사용자 교체 |
--set-logins |
없음 | 사용자에 대해 허용된 SSH 로그인 목록, 현재 로그인 교체 |
--set-mcp-tools |
없음 | 사용자에 대해 허용된 MCP 도구 목록, 현재 허용된 MCP 도구 교체. |
--set-roles |
없음 | 사용자가 가정할 역할 목록, 현재 역할 교체 |
--set-windows-logins |
없음 | 사용자에 대해 허용된 Windows 로그인 목록, 현재 Windows 로그인 교체 |
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| account | 없음 (필수) | Teleport 사용자 계정 이름 |
tctl version#
tctl 바이너리의 버전을 출력합니다.
사용법:
$ tctl version
tctl workload-identity ls#
워크로드 ID 구성을 나열합니다.
사용법:
$ tctl workload-identity ls
tctl workload-identity revocations add#
새 해지를 생성합니다.
사용법:
$ tctl workload-identity revocations add --serial=SERIAL --type=TYPE --reason=REASON [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--expires-at |
없음 | 해지가 만료되어야 하는 시간, 일반적으로 자격 증명의 만료 시간과 일치해야 합니다. RFC3339를 사용하여 지정해야 합니다 (예: '2024-02-05T15:04:00Z'). 지정되지 않으면 지금으로부터 1주 후의 시간이 사용됩니다. |
--reason |
없음 | 해지 이유. |
--serial |
없음 | 해지할 인증서의 일련 번호. |
--type |
없음 | 해지할 자격 증명 유형 (x509) |
tctl workload-identity revocations crl#
기존 해지에 대한 서명된 CRL을 가져옵니다.
사용법:
$ tctl workload-identity revocations crl [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--[no-]follow |
false |
CRL 업데이트 스트림을 따릅니다. |
--out |
없음 | CRL을 파일로 쓸 경로. 지정되지 않으면 STDOUT이 사용됩니다. |
tctl workload-identity revocations ls#
해지를 나열합니다.
사용법:
$ tctl workload-identity revocations ls
tctl workload-identity revocations rm#
해지를 삭제합니다.
사용법:
$ tctl workload-identity revocations rm --serial=SERIAL --type=TYPE
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--serial |
없음 | 해지를 제거할 인증서의 일련 번호. |
--type |
없음 | 해지를 제거할 자격 증명 유형 (x509). |
tctl workload-identity rm#
워크로드 ID 구성을 삭제합니다.
사용법:
$ tctl workload-identity rm <name>
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| name | 없음 (필수) | 삭제할 워크로드 ID 구성의 이름. |
tctl workload-identity x509-issuer-overrides create#
지정된 인증서 체인에서 발급자 재정의를 생성합니다.
사용법:
$ tctl workload-identity x509-issuer-overrides create [<flags>] <fullchain.pem>...
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
-f, --[no-]force |
false |
이미 존재하는 경우 기존 재정의를 덮어씁니다. |
--name |
default |
쓸 재정의 리소스의 이름. |
--[no-]dry-run |
false |
실제로 생성하지 않고 생성될 workload_identity_x509_issuer_override를 출력합니다. |
인수:
| 인수 | 기본값 | 설명 |
|---|---|---|
| fullchain.pem | 없음 (필수) | 발급자와 선택적 체인이 각각 포함된 PEM 파일. |
tctl workload-identity x509-issuer-overrides sign-csrs#
SPIFFE X.509 CA 키로 CSR에 서명합니다.
사용법:
$ tctl workload-identity x509-issuer-overrides sign-csrs [<flags>]
플래그:
| 플래그 | 기본값 | 설명 |
|---|---|---|
--creation-mode |
same |
발급자의 속성이 CSR에 인코딩되는 방법: "same", "empty". |
-f, --[no-]force |
false |
오류가 있어도 가능한 많은 CSR에 서명을 시도합니다. |