SAML 설정

SAML IdP에 대한 IAM 역할을 생성하는 방법

1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

2. 탐색 창에서 역할(Roles), 역할 생성(Create role)을 선택합니다.

3. [Role type]에서 [SAML 2.0 federation]을 선택합니다.

4. [SAML Provider]에서 앞서 생성한 SAML IdP를 선택합니다.

   중요

   SAML 2.0 액세스 방법으로 프로그래밍 방식 액세스만 허용 또는 프로그래밍 방식 및 Amazon Web Services 관리 콘솔 액세스 허용 중 하나를 선택하지 마세요.

5. [Attribute]에서 [SAML:sub_type]을 선택합니다.

6. 값에 https://signin.aws.amazon.com/saml를 입력합니다. 이 값은 persistent 값을 갖는 SAML 주체 유형 어설션을 포함하는 SAML 사용자 스트리밍 요청으로 역할 액세스를 제한합니다. SAML:sub_type이 persistent인 경우, IdP는 특정 사용자의 모든 SAML 요청에서 NameID 요소에 대해 동일한 고유한 값을 전송합니다. SAML:sub_type 어설션에 대한 자세한 내용은 API 액세스를 위해 SAML 기반 페더레이션 사용의 SAML 기반 페더레이션에서 사용자 고유 식별 섹션을 참조하세요. AWS

   참고

   https://signin.aws.amazon.com/saml 엔드포인트는 가용성이 높지만의 us-east-1 리전에서만 호스팅됩니다 AWS. 드물지만 리전 엔드포인트의 가용성 중 하나가 영향을 받는 경우 서비스 중단을 방지하려면 리전 엔드포인트를 사용하고 장애 조치를 위한 추가 SAML 로그인 엔드포인트를 설정합니다. 자세한 내용은 장애 조치를 위해 리전 SAML 엔드포인트를 사용하는 방법을 참조하세요.

7. SAML 2.0 신뢰 정보를 검토하여 신뢰할 수 있는 올바른 엔터티와 조건을 확인한 다음 [Next: Permissions]를 선택합니다.

8. Attach permissions policies(권한 정책 연결) 페이지에서 Next: Tags(다음: 태그)를 선택합니다.

9. (선택 사항) 추가할 각 태그의 키와 값을 입력합니다. 자세한 내용은 IAM 사용자 및 역할 태그 지정을 참조하세요.

10. 완료했으면 Next: Review(다음: 검토)를 선택합니다. 나중에 이 역할의 인라인 정책을 생성하고 포함합니다.

11. 역할 이름에 이 역할의 목적을 나타내는 이름을 입력합니다. 다양한 엔터티가 역할을 참조할 수 있기 때문에 역할이 생성된 후에는 역할 이름을 편집할 수 없습니다.

12. (선택 사항) 역할 설명에 새 역할에 대한 설명을 입력합니다.

13. 역할 세부 정보를 검토하고 [Create role]을 선택합니다.

14. (선택 사항) 서드 파티 SAML 2.0 ID 제공업체 또는 인증서 기반 인증을 통해 세션 컨텍스트 또는 속성 기반 애플리케이션 권한을 사용하려는 경우 새 IAM 역할의 신뢰 정책에 sts:TagSession 권한을 추가해야 합니다. 자세한 내용은 서드 파티 SAML 2.0 ID 제공업체를 사용하는 속성 기반 애플리케이션 권한 및 AWS STS에서 세션 태그 전달을 참조하세요.

    새 IAM 역할의 세부 정보에서 신뢰 관계 탭을 선택한 다음 신뢰 관계 편집을 선택합니다. 신뢰 관계 편집 정책 편집기가 시작됩니다. 다음과 같이 sts:TagSession 권한을 추가합니다.

    
    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Principal": {
            "Federated": "arn:aws:iam::ACCOUNT-ID-WITHOUT-HYPHENS:saml-provider/IDENTITY-PROVIDER"
          },
          "Action": [
            "sts:AssumeRoleWithSAML",
            "sts:TagSession"
          ],
          "Condition": {
            "StringEquals": {
              "SAML:sub_type": "persistent"
            }
          }
        }
      ]
    }    
                        

    IDENTITY-PROVIDER를 1단계에서 생성한 SAML IdP의 이름으로 바꿉니다. 그런 다음 신뢰 정책 업데이트를 선택합니다.

1. 만든 IAM 역할의 세부 정보에서 권한 탭을 선택한 다음 인라인 정책 추가를 선택합니다. Create policy(정책 생성) 마법사가 시작됩니다.

2. Create policy(정책 생성)에서 JSON 탭을 선택합니다.

3. 다음 JSON 정책을 복사하여 JSON 창에 붙여넣습니다. 그런 다음 AWS 리전 코드, 계정 ID 및 스택 이름을 입력하여 리소스를 수정합니다. 다음 정책에서 "Action": "appstream:Stream"은 생성한 스택에서 스트리밍 세션에 연결할 권한을 AppStream 2.0 사용자에게 제공하는 작업입니다.

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": "appstream:Stream",
         "Resource": "arn:aws:appstream:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:stack/STACK-NAME",
         "Condition": {
             "StringEquals": {
                 "appstream:userId": "${saml:sub}"           
             }
           }
       }
     ]
   }

   REGION-CODE를 AppStream 2.0 스택이 있는 AWS 리전으로 바꿉니다. STACK-NAME을 스택의 이름으로 바꿉니다. STACK-NAME은 대소문자를 구분하며 AppStream 2.0 관리 콘솔의 스택 대시보드에 표시된 스택 이름과 대소문자 및 철자가 정확히 일치해야 합니다.

   AWS GovCloud (US) 리전의 리소스의 경우 ARN에 다음 형식을 사용합니다.

   arn:aws-us-gov:appstream:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:stack/STACK-NAME

4. (선택 사항) SAML 2.0 멀티 스택 애플리케이션 카탈로그와 함께 서드 파티 SAML 2.0 ID 제공업체를 사용하여 속성 기반 애플리케이션 권한을 사용하려는 경우, 애플리케이션 권한이 스택에 대한 스트리밍 액세스를 제어하도록 하려면 IAM 역할 인라인 정책의 리소스는 "Resource": "arn:aws:appstream:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:stack/*"이어야 합니다. 스택 리소스에 추가 보호를 적용하려면 정책에 명시적 거부를 추가할 수 있습니다. 자세한 내용은 서드 파티 SAML 2.0 ID 제공업체를 사용하는 속성 기반 애플리케이션 권한 및 정책 평가 로직을 참조하세요.

5. 완료했으면 Review policy(정책 검토)를 선택합니다. 정책 검사기가 모든 구문 오류를 보고합니다.