InfoGrab Docs

워크로드 아이덴티티 폐지

요약

폐지 메커니즘은 발행된 X509 워크로드 신원 자격 증명을 폐지된 것으로 표시하는 방법을 제공합니다. 일반적으로 Teleport 워크로드 아이덴티티가 발행하는 X509 SVID의 수명이 짧은 특성상 폐지가 필요하지 않습니다.

폐지 메커니즘은 발행된 X509 워크로드 신원 자격 증명을 폐지된 것으로 표시하는 방법을 제공합니다. 이는 워크로드에게 이 자격 증명이 더 이상 유효한 것으로 간주되어서는 안 된다는 것을 나타냅니다.

일반적으로 Teleport 워크로드 아이덴티티가 발행하는 X509 SVID의 수명이 짧은 특성상 폐지가 필요하지 않습니다. 그러나 어떤 경우에는 만료 전에 발행된 자격 증명을 폐지하고 싶을 수 있습니다.

X509 SVID가 폐지되면, 서명된 인증서 폐지 목록(CRL)이 Workload API를 통해 또는 workload-identity-x509 출력에 작성된 svid-crl.pem 파일을 통해 워크로드에 배포됩니다.

워크로드와 타사 서비스는 CRL을 지원하기 위해 명시적인 CRL 지원이 있어야 합니다. 일부 환경에서는 이 기능에 대한 지원이 제한적일 수 있으므로, 이 기능을 활용하기 전에 CRL 지원을 감사하는 것을 권장합니다.

tctl을 사용하여 X509 SVID 폐지하기#

X509 SVID를 폐지하기 전에, 폐지하려는 X509 SVID의 일련 번호가 필요합니다. 이는 Teleport 감사 로그를 통해 확인할 수 있습니다.

폐지를 생성할 때 폐지 이유도 제공해야 합니다. 이는 폐지에 대한 추가적인 맥락을 제공하는 데 사용할 수 있는 자유 형식 문자열입니다.

tctl workload-identity revocations add를 사용하여 새 폐지를 생성합니다:

$ tctl workload-identity revocations add --type x509 --serial aabbcc11 --reason compromised

tctl을 사용하여 폐지 목록 조회하기#

tctl workload-identity revocations ls 명령을 사용하여 현재 폐지된 X509 SVID를 나열할 수 있습니다:

$ tctl workload-identity revocations ls
Type Serial   Revoked At           Expires At                        Reason
---- -------- -------------------- --------------------------------- -------
x509 aabbcc11 2025-02-20T11:44:13Z 2025-02-27T11:44:13Z (34m21s)     example

tctl을 사용하여 폐지 제거하기#

tctl workload-identity revocations rm 명령을 사용하여 기존 폐지를 제거할 수 있습니다:

$ tctl workload-identity revocations rm --type x509 --serial aabbcc11

그러나 일반적으로 폐지를 제거하는 것보다 새 X509 SVID를 발행하는 것이 선호됩니다. 이는 검증자가 폐지를 캐시할 수 있으며, 폐지 제거가 즉시 효과를 발휘하지 않을 수 있기 때문입니다.

tctl을 사용하여 서명된 CRL 가져오기#

서명된 CRL을 타사 서비스(예: AWS Roles Anywhere)로 가져오기 위해 내보내야 하는 경우, tctl workload-identity revocations crl 명령을 사용할 수 있습니다:

$ tctl workload-identity revocations crl
2025-02-27T10:54:02.526Z INFO  Received CRL from server common/workload_identity_command.go:435
-----BEGIN X509 CRL-----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-----END X509 CRL-----

이를 파일에 직접 쓰려면 --out 플래그와 파일을 쓸 경로를 제공할 수 있습니다.

워크로드 아이덴티티 폐지

원문 보기
요약

폐지 메커니즘은 발행된 X509 워크로드 신원 자격 증명을 폐지된 것으로 표시하는 방법을 제공합니다. 일반적으로 Teleport 워크로드 아이덴티티가 발행하는 X509 SVID의 수명이 짧은 특성상 폐지가 필요하지 않습니다.

폐지 메커니즘은 발행된 X509 워크로드 신원 자격 증명을 폐지된 것으로 표시하는 방법을 제공합니다. 이는 워크로드에게 이 자격 증명이 더 이상 유효한 것으로 간주되어서는 안 된다는 것을 나타냅니다.

일반적으로 Teleport 워크로드 아이덴티티가 발행하는 X509 SVID의 수명이 짧은 특성상 폐지가 필요하지 않습니다. 그러나 어떤 경우에는 만료 전에 발행된 자격 증명을 폐지하고 싶을 수 있습니다.

X509 SVID가 폐지되면, 서명된 인증서 폐지 목록(CRL)이 Workload API를 통해 또는 workload-identity-x509 출력에 작성된 svid-crl.pem 파일을 통해 워크로드에 배포됩니다.

워크로드와 타사 서비스는 CRL을 지원하기 위해 명시적인 CRL 지원이 있어야 합니다. 일부 환경에서는 이 기능에 대한 지원이 제한적일 수 있으므로, 이 기능을 활용하기 전에 CRL 지원을 감사하는 것을 권장합니다.

tctl을 사용하여 X509 SVID 폐지하기#

X509 SVID를 폐지하기 전에, 폐지하려는 X509 SVID의 일련 번호가 필요합니다. 이는 Teleport 감사 로그를 통해 확인할 수 있습니다.

폐지를 생성할 때 폐지 이유도 제공해야 합니다. 이는 폐지에 대한 추가적인 맥락을 제공하는 데 사용할 수 있는 자유 형식 문자열입니다.

tctl workload-identity revocations add를 사용하여 새 폐지를 생성합니다:

$ tctl workload-identity revocations add --type x509 --serial aabbcc11 --reason compromised

tctl을 사용하여 폐지 목록 조회하기#

tctl workload-identity revocations ls 명령을 사용하여 현재 폐지된 X509 SVID를 나열할 수 있습니다:

$ tctl workload-identity revocations ls
Type Serial   Revoked At           Expires At                        Reason
---- -------- -------------------- --------------------------------- -------
x509 aabbcc11 2025-02-20T11:44:13Z 2025-02-27T11:44:13Z (34m21s)     example

tctl을 사용하여 폐지 제거하기#

tctl workload-identity revocations rm 명령을 사용하여 기존 폐지를 제거할 수 있습니다:

$ tctl workload-identity revocations rm --type x509 --serial aabbcc11

그러나 일반적으로 폐지를 제거하는 것보다 새 X509 SVID를 발행하는 것이 선호됩니다. 이는 검증자가 폐지를 캐시할 수 있으며, 폐지 제거가 즉시 효과를 발휘하지 않을 수 있기 때문입니다.

tctl을 사용하여 서명된 CRL 가져오기#

서명된 CRL을 타사 서비스(예: AWS Roles Anywhere)로 가져오기 위해 내보내야 하는 경우, tctl workload-identity revocations crl 명령을 사용할 수 있습니다:

$ tctl workload-identity revocations crl
2025-02-27T10:54:02.526Z INFO  Received CRL from server common/workload_identity_command.go:435
-----BEGIN X509 CRL-----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-----END X509 CRL-----

이를 파일에 직접 쓰려면 --out 플래그와 파일을 쓸 경로를 제공할 수 있습니다.