IAM에서 SAML ID 공급자 생성
IAM SAML 2.0 자격 증명 공급자는 SAML 2.0(Security Assertion Markup Language 2.0)
이 시나리오에 대한 자세한 내용은 SAML 2.0 연동를 참조하세요.
AWS Management Console에서 또는 AWS CLI, Tools for Windows PowerShell 또는 AWS API 호출을 사용하여 IAM 자격 증명 공급자를 생성하고 관리할 수 있습니다.
SAML 공급자를 생성한 후에는 1개 이상의 IAM 역할을 생성해야 합니다. 역할은 AWS의 자격 증명으로서 자신만의 고유한 자격 증명이 없지만(사용자가 그러하듯이), 이 콘텍스트에서는 조직의 IdP에 의해 인증된 페더레이션 사용자에게 동적으로 할당됩니다. 그 역할은 조직의 IdP가 AWS에 액세스하기 위해 임시 보안 자격 증명을 요청할 수 있도록 허용합니다. 역할에 할당된 정책은 페더레이션 사용자가 AWS에서 하도록 허용된 것이 무엇인지 결정합니다. SAML 연동을 위한 역할을 생성하려면 타사 ID 제공업체의 역할 생성(페더레이션) 섹션을 참조하세요.
마지막으로 역할을 만든 후에는 AWS에 대한 정보와 페더레이션 사용자가 사용하도록 하고 싶은 역할(들)로 IdP를 구성하여 SAML 신뢰를 완료합니다. 이를 가리켜 IdP와 AWS 간 신뢰 당사자 신뢰 구성이라고 합니다. 신뢰 당사자 신뢰를 구성하려면 신뢰 당사자 신뢰 및 클레임 추가를 통해 SAML 2.0 IdP 구성 섹션을 참조하세요.
주제
사전 조건
SAML 자격 증명 공급자를 생성하려면 IdP에서 가져온 다음 정보가 있어야 합니다.
-
IdP에서 SAML 메타데이터 문서를 가져옵니다. 이 문서에는 발급자 이름, 만료 정보 및 IdP에서 가져온 SAML 인증 응답(어설션)을 확인하는 데 사용할 수 있는 키가 포함되어 있습니다. 메타데이터 문서를 생성하려면 외부 IdP가 제공하는 자격 증명 관리 소프트웨어를 사용하세요.
중요
이 메타데이터 파일에는 발급자 이름, 만료 정보 및 IdP에서 가져온 SAML 인증 응답(어설션)을 확인하는 데 사용할 수 있는 키가 포함되어 있습니다. 메타데이터 파일은 바이트 순서 표시(BOM)가 없는 UTF-8 형식으로 인코딩되어야 합니다. BOM을 제거하려면 Notepad++와 같은 텍스트 편집 도구를 사용해 파일을 UTF-8로 인코딩합니다.
SAML 메타데이터 문서의 일부로 포함된 x.509 인증서는 1,024비트 이상의 키를 사용해야 합니다. 또한 x.509 인증서에는 반복되는 확장이 없어야 합니다. 확장을 사용할 수 있지만 확장은 인증서에 한 번만 나타날 수 있습니다. x.509 인증서가 두 조건 중 하나를 충족하지 못하면 IdP 생성에 실패하고 “메타데이터를 구문 분석할 수 없음” 오류를 반환합니다.
SAML V2.0 Metadata Interoperability Profile Version 1.0
의 정의에 따라, IAM은 메타데이터 문서의 X.509 인증서 만료를 평가하거나 이에 대해 조치를 취하지 않습니다.
필요한 SAML 메타데이터 문서를 생성하는 방법을 비롯해, 사용 가능한 다수의 IdP를 구성하여 AWS에서 작동되도록 하는 방법에 대한 지침은 서드 파티 SAML 솔루션 공급자를 AWS와 통합 섹션을 참조하세요.
SAML 페더레이션에 대한 도움이 필요하면 SAML 페더레이션 문제 해결을 참조하세요.
IAM SAML 자격 증명 공급자 생성 및 관리(콘솔)
AWS Management Console을 사용하여 IAM SAML 자격 증명 공급자를 생성, 업데이트, 삭제할 수 있습니다. SAML 페더레이션에 대한 도움이 필요하면 SAML 페더레이션 문제 해결을 참조하세요.
IAM SAML 자격 증명 공급자를 생성하려면(콘솔)
AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/
에서 IAM 콘솔을 엽니다. -
탐색 창에서 [자격 증명 공급자(Identity providers)]를 선택한 다음 [공급자 추가(Add provider)]를 선택합니다.
-
[공급자 구성(Configure provider)]에 대해 [SAML]을 선택합니다.
-
자격 증명 공급자의 이름을 입력합니다.
-
[메타데이터 문서(Metadata document)에서 [파일 선택(Choose file)을 선택하고 사전 조건에서 다운로드한 SAML 메터데이터 문서를 지정합니다.
-
(선택 사항) [태그 추가(Add tags)]에 키 값 페어를 추가하여 IdP를 식별하고 구성할 수 있습니다. 태그를 사용하여 AWS 리소스에 대한 액세스를 제어할 수도 있습니다. SAML 자격 증명 공급자의 태깅에 대한 자세한 내용은 IAM SAML ID 제공업체 태깅 섹션을 참조하세요.
태그 추가를 선택합니다. 각 태그 키 값 페어의 값을 입력합니다.
-
제공한 정보를 확인합니다. 완료되면 [공급자 추가(Add provider)]를 선택합니다.
-
자격 증명 공급자에 IAM 역할을 할당하여 자격 증명 공급자가 관리하는 외부 사용자 자격 증명에 계정의 AWS 리소스에 대한 액세스 권한을 부여합니다. ID 연동을 위한 역할을 생성하는 방법에 대한 자세한 내용은 타사 ID 제공업체의 역할 생성(페더레이션) 섹션을 참조하세요.
참고
역할 신뢰 정책에 사용되는 SAML IDP는 해당 역할이 속한 계정과 동일한 계정에 있어야 합니다.
SAML 공급자를 삭제하려면(콘솔)
AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/
에서 IAM 콘솔을 엽니다. -
탐색 창에서 [자격 증명 공급자(Identity providers)]를 선택합니다.
-
삭제할 자격 증명 공급자 옆의 라디오 버튼을 선택합니다.
-
Delete(삭제)를 선택합니다. 새 창이 열립니다.
-
필드에 단어
delete
를 입력하여 공급자 삭제를 확인합니다. 그런 다음 삭제를 선택합니다.
IAM SAML 자격 증명 공급자 생성(AWS CLI)
AWS CLI를 사용하여 SAML 공급자를 생성, 업데이트, 삭제할 수 있습니다. SAML 페더레이션에 대한 도움이 필요하면 SAML 페더레이션 문제 해결을 참조하세요.
IAM 자격 증명 공급자를 생성하고 메타데이터 문서를 업로드하려면(AWS CLI)
-
다음 명령을 실행합니다.
aws iam create-saml-provider
IAM SAML 자격 증명 공급자를 업데이트하려면(AWS CLI)
-
다음 명령을 실행합니다.
aws iam update-saml-provider
기존 IAM 자격 증명 공급자를 태깅하려면(AWS CLI)
-
다음 명령을 실행합니다.
aws iam tag-saml-provider
기존 IAM 자격 증명 공급자의 태그를 나열하려면(AWS CLI)
-
다음 명령을 실행합니다.
aws iam list-saml-provider-tags
기존 IAM 자격 증명 공급자에서 태그를 제거하려면(AWS CLI)
-
다음 명령을 실행합니다.
aws iam untag-saml-provider
IAM SAML 자격 증명 공급자를 삭제하려면(AWS CLI)
-
(선택 사항) ARN, 생성 날짜, 만료 등 모든 공급자에 대한 정보를 나열하려면 다음 명령을 실행합니다.
-
(선택 사항) ARN, 생성 날짜, 만료 날짜, 암호화 설정, 프라이빗 키 정보 등 특정 공급자에 대한 정보를 얻으려면 다음 명령을 실행합니다.
-
IAM 자격 증명 공급자를 삭제하려면 다음 명령을 실행합니다.
IAM SAML 자격 증명 공급자 생성 및 관리(AWS API)
AWS API를 사용하여 SAML 공급자를 생성, 업데이트, 삭제할 수 있습니다. SAML 페더레이션에 대한 도움이 필요하면 SAML 페더레이션 문제 해결을 참조하세요.
IAM 자격 증명 공급자를 생성하고 메타데이터 문서를 업로드하려면(AWS API)
-
다음 연산을 호출합니다.
CreateSAMLProvider
IAM SAML 자격 증명 공급자를 업데이트하려면(AWS API)
-
다음 연산을 호출합니다.
UpdateSAMLProvider
기존 IAM 자격 증명 공급자를 태깅하려면(AWS API)
-
다음 연산을 호출합니다.
TagSAMLProvider
기존 IAM 자격 증명 공급자의 태그를 나열하려면(AWS API)
-
다음 연산을 호출합니다.
ListSAMLProviderTags
기존 IAM 자격 증명 공급자에서 태그를 제거하려면(AWS API)
-
다음 연산을 호출합니다.
UntagSAMLProvider
IAM 자격 증명 공급자를 삭제하려면(AWS API)
-
(선택 사항)ARN, 생성 날짜, 만료 등 모든 IdP에 대한 정보를 나열하려면 다음 연산을 호출합니다.
-
(선택 사항) ARN, 생성 날짜, 만료 날짜, 암호화 설정, 프라이빗 키 정보 등 특정 공급자에 대한 정보를 얻으려면 다음 연산을 호출합니다.
-
IdP를 삭제하려면 다음 연산을 호출합니다.
다음 단계
SAML ID 제공업체를 생성한 후 IdP와의 신뢰 당사자 트러스트를 설정합니다. IdP의 인증 응답에서 가져온 클레임을 정책에서 사용하여 역할에 대한 액세스를 제어할 수도 있습니다.
-
IdP에 서비스 공급자로서 AWS의 정보를 알려야 합니다. 이를 가리켜 IdP와 AWS 간 신뢰 당사자 트러스트 추가라고 합니다. 신뢰 당사자 신뢰를 추가하기 위한 정확한 프로세스는 사용 중인 IdP에 따라 달라집니다. 세부 정보는 신뢰 당사자 신뢰 및 클레임 추가를 통해 SAML 2.0 IdP 구성을 참조하세요.
-
IdP가 AWS에 클레임이 포함된 리소스를 전송하는 경우 수신 클레임 중 다수가 AWS 콘텍스트 키에 매핑됩니다. Condition 요소를 사용하여 IAM 정책에서 이러한 컨텍스트 키를 사용하고 역할에 대한 액세스를 제어할 수 있습니다. 자세한 내용은 인증 응답에 대한 SAML 어설션 구성을 참조하세요.