IAM Identity Center 지침 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

IAM Identity Center 지침

AWS Control Tower는 AWS Identity and Access Management (IAM)를 사용하여 에 대한 액세스를 조절하는 것이 좋습니다 AWS 계정. 그러나 AWS Control Tower가 IAM Identity Center를 설정할지, IAM Identity Center를 직접 설정할지, 비즈니스 요구 사항을 가장 효과적으로 충족하는 방식으로 또는 계정 액세스를 위한 다른 방법을 선택할지 선택할 수 있습니다.

참고

SSO 는 기술 업계에서 Single Sign-On을 나타내는 데 사용되는 약어입니다. 일반적으로 SSO는 세션 및 사용자 인증 서비스입니다. 이를 통해 누군가 한 세트의 로그인 자격 증명을 사용하여 여러 애플리케이션에 액세스할 수 있습니다. 에서 Single-sign on 기능을 참조할 때는 이라는 AWS 서비스를 AWS참조하고AWS Identity and Access Management, IAM 또는 IAM Identity Center 로 약칭합니다.

기본적으로 AWS Control Tower는 여러 계정을 사용하여 AWS 환경 구성 에 정의된 모범 사례 지침에 따라 랜딩 영역에 Identity Center를 설정합니다 AWS IAM. 대부분의 고객은 기본값을 선택합니다. 특정 산업 또는 국가 또는 Identity Center AWS 리전 를 AWS IAM 사용할 수 없는 에서 규정 준수를 위해 대체 액세스 방법이 필요할 수 있습니다.

옵션 선택

콘솔에서 AWS Control Tower가 설정하도록 허용하는 대신 랜딩존 설정 프로세스 중에 IAM Identity Center를 자체 관리하도록 선택할 수 있습니다. 나중에 언제든지 랜딩 영역 설정을 수정하고 랜딩 영역 설정 페이지에서 랜딩 영역을 업데이트하여 이 선택을 변경할 수 있습니다.

AWS Control Tower에서 Identity Center를 중단 AWS IAM하거나 Identity Center 사용을 AWS IAM 시작하려면

  1. 랜딩 영역 설정 페이지로 이동합니다.

  2. 구성 탭을 선택합니다.

  3. 그런 다음 적절한 라디오 버튼을 선택하여 Identity Center에 대한 AWS IAM 선택을 변경합니다.

Identity Center를 IdP로 자체 관리 AWS IAM하도록 선택하면 AWS Control Tower는 AWSControlTowerAdmin 및 와 같이 AWS Control Tower를 관리하는 데 필요한 역할 및 정책만 생성합니다AWSControlTowerAdminPolicy. 자체 관리하는 랜딩 영역의 경우 AWS Control Tower는 랜딩 영역 설정 프로세스 또는 Account Factory를 통한 계정 프로비저닝 중에가 아니라 고객별 사용을 위해 더 이상 IAM 역할 및 그룹을 생성하지 않습니다.

참고

AWS Control Tower 랜딩 영역에서 Identity Center를 제거 AWS IAM하면 AWS Control Tower가 생성한 사용자, 그룹 및 권한 세트가 제거되지 않습니다. 이러한 리소스를 제거하는 것이 좋습니다.

Azure AD, Ping 또는 Okta와 같은 대체 자격 증명 공급자(IdPs)가 있는 Account Factory 고객은 Identity Center 프로세스를 따라 AWS IAM 외부 자격 증명 공급자에 연결하고 IdP 를 온보딩할 수 있습니다. 랜딩 영역 설정을 수정하여 언제든지 AWS Control Tower가 그룹화 및 역할을 생성하도록 로 돌아갈 수 있습니다.