IAM Identity Center 지침 - AWS Control Tower

IAM Identity Center 지침

AWS Control Tower에서는 AWS 계정에 대한 액세스를 관리하는 데 AWS Identity and Access Management(IAM)를 사용할 것을 권장합니다. 그러나 AWS Control Tower를 통해 IAM Identity Center를 자동으로 설정할지 또는 비즈니스 요구 사항을 가장 효과적으로 충족할 수 있는 방식으로 IAM Identity Center를 직접 설정할지 아니면 계정 액세스를 위한 다른 방법을 선택할지 선택할 수 있습니다.

참고

SSO는 기술 업계에서 Single Sign-On을 나타내는 데 사용되는 약어입니다. 일반적으로 SSO는 세션 및 사용자 인증 서비스입니다. 이 서비스를 사용하면 하나의 로그인 자격 증명 세트를 사용하여 여러 애플리케이션에 액세스할 수 있습니다. AWS에서 Single Sign On 기능이 언급되면 이는 AWS Identity and Access Management라는 AWS 서비스를 말하며, 약칭은 IAM 또는 IAM Identity Center입니다.

기본적으로 AWS Control Tower는 Organizing your AWS environment using multiple accounts에 정의된 모범 사례 지침에 따라 랜딩 존에 대해 AWS IAM Identity Center를 설정합니다. 대부분의 고객은 기본값을 선택합니다. 특정 산업이나 국가에서 또는 AWS IAM Identity Center를 사용할 수 없는 AWS 리전에서 규정 준수를 위해 대체 액세스 방법이 필요할 수 있습니다.

옵션 선택

콘솔에서, AWS Control Tower가 IAM Identity Center를 설정하도록 허용하는 대신 랜딩 존 설정 프로세스 중에 이를 자체 관리하도록 선택할 수 있습니다. 나중에 언제든지 랜딩 존 설정을 수정하고 랜딩 존 설정 페이지에서 랜딩 존을 업데이트하는 방식으로 이 선택을 변경할 수 있습니다.

AWS Control Tower에서 AWS IAM Identity Center를 중단하거나 AWS IAM Identity Center 사용을 시작하려면

  1. 랜딩 존 설정 페이지로 이동합니다.

  2. 구성 탭을 선택합니다.

  3. 그런 다음 적절한 라디오 버튼을 선택하여 AWS IAM Identity Center에 대한 선택을 변경합니다.

AWS IAM Identity Center를 IdP로 자체 관리하도록 선택하면 AWS Control Tower는 AWSControlTowerAdminAWSControlTowerAdminPolicy와 같이 AWS Control Tower를 관리하는 데 필요한 역할 및 정책만 생성합니다. 자체 관리하는 랜딩 존의 경우 AWS Control Tower는 고객의 특정 사용을 위해 더 이상 IAM 역할 및 그룹을 생성하지 않습니다. 이것은 랜딩 존 설정 프로세스 동안뿐만 아니라 Account Factory를 사용한 계정 프로비저닝 동안에도 동일합니다.

참고

AWS Control Tower 랜딩 존에서 AWS IAM Identity Center를 제거해도 AWS Control Tower가 생성한 사용자, 그룹 및 권한 세트는 제거되지 않습니다. 이러한 리소스를 제거하는 것이 좋습니다.

Azure AD, Ping 또는 Okta와 같은 대체 ID 제공업체(idP)를 사용하는 Account Factory 고객은 AWS IAM Identity Center 프로세스에 따라 외부 ID 제공업체에 연결하고 해당 IdP를 온보딩할 수 있습니다. 랜딩 존 설정을 수정하여 AWS Control Tower가 언제든지 그룹화 및 역할을 생성하도록 되돌릴 수 있습니다.

  • AWS Control Tower가 ID 소스를 기반으로 IAM Identity Center와 작동하는 방식에 대한 특정 정보는 이 사용 설명서 시작하기 페이지의 시작 전 검사 섹션에서 AWS IAM Identity Center 고객을 위한 고려 사항을 참조하세요.

  • AWS Control Tower의 동작이 IAM Identity Center 및 다양한 ID 소스와 상호 작용하는 방법에 대한 추가 정보는 IAM Identity Center User GuideConsiderations for Changing Your Identity Source를 참조하세요.

  • AWS Control Tower 및 IAM Identity Center 작업에 대한 자세한 내용은 AWS IAM Identity Center 및 AWS Control Tower 작업 섹션을 참조하세요.