기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS Control Tower에서 IAM Identity Center를 사용하면 중앙 클라우드 관리자와 최종 사용자가 여러 AWS 계정 및 비즈니스 애플리케이션에 대한 액세스를 관리할 수 있습니다. 기본적으로 AWS Control Tower는 ID 및 액세스 제어를 자체 관리하는 옵션을 선택하지 않은 한 이 서비스를 사용하여 Account Factory를 통해 생성된 계정에 대한 액세스를 설정하고 관리합니다.
ID 공급자 선택에 대한 자세한 내용은 IAM Identity Center 지침 섹션을 참조하세요.
AWS Control Tower에서 IAM Identity Center 사용자 및 권한을 설정하는 방법에 대한 간단한 자습서를 보려면 이 비디오(6:23)를 확인하세요. 동영상 오른쪽 하단에 있는 아이콘을 선택하여 전체 화면으로 확대하면 더 잘 보입니다. 자막을 사용할 수 있습니다.
IAM Identity Center를 사용하여 AWS Control Tower 설정
AWS Control Tower를 처음 설정할 때 루트 사용자와 올바른 권한을 가진 IAM 사용자만 IAM Identity Center 사용자를 추가할 수 있습니다. 그러나 최종 사용자가 AWSAccountFactory 그룹에 추가되면 Account Factory 마법사에서 새 IAM Identity Center 사용자를 생성할 수 있습니다. 자세한 내용은 Account Factory로 계정 프로비저닝 및 관리 섹션을 참조하세요.
권장 기본값을 선택하는 경우 AWS Control Tower는 사용자 ID 및 Single Sign-On을 관리하는 데 도움이 되는 미리 구성된 디렉터리로 랜딩 존을 설정하여 사용자가 계정 간에 페더레이션 액세스 권한을 갖도록 합니다. 랜딩 존을 설정하면 사용자 그룹 및 권한 세트를 포함하는 기본 디렉터리가 생성됩니다.
참고
IAM Identity Center의 위임된 관리자 기능을 사용하여 조직에서의 관리를 관리 계정 이외의 계정으로 위임할 수 AWS IAM Identity Center 있습니다. 이 기능을 사용하도록 선택한 경우 그룹 멤버십을 관리할 수 있는 액세스 권한이 있는 관리자도 관리 계정에 할당된 그룹을 관리할 수 있습니다. 자세한 내용은 AWS SSO 위임 관리 시작하기라는 제목의 블로그 게시물을 참조하세요
IAM Identity Center 계정 및 AWS Control Tower에 대해 알아야 할 사항
다음은 AWS Control Tower에서 IAM Identity Center 사용자 계정에 대한 작업을 수행할 때 알아야 할 사항입니다.
-
AWS IAM Identity Center 사용자 계정이 비활성화된 경우 Account Factory에서 새 계정을 프로비저닝하려고 할 때 오류 메시지가 표시됩니다. IAM Identity Center 콘솔에서 IAM Identity Center 사용자를 다시 활성화할 수 있습니다.
-
Account Factory에서 제공한 계정과 연결된 프로비저닝된 제품을 업데이트할 때 새 IAM Identity Center 사용자 이메일 주소를 지정하면 AWS Control Tower가 새 IAM Identity Center 사용자 계정을 생성합니다. 이전에 만든 사용자 계정은 제거되지 않습니다. AWS IAM Identity Center에서 이전 IAM Identity Center 사용자 이메일 주소를 제거하려면 사용자 비활성화를 참조하세요.
-
AWS IAM Identity Center는 Azure Active Directory와 통합
되었으며 기존 Azure Active Directory를 AWS Control Tower에 연결할 수 있습니다. -
AWS Control Tower의 동작이 IAM Identity Center 및 다양한 자격 증명 소스와 AWS 상호 작용하는 방법에 대한 자세한 내용은 AWS IAM Identity Center 설명서의 자격 증명 소스 변경 시 고려 사항을 참조하세요.
