AWS IAM Identity Center 자격 증명 소스 시작하기(콘솔) - Amazon Kendra

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS IAM Identity Center 자격 증명 소스 시작하기(콘솔)

AWS IAM Identity Center 자격 증명 소스에는 사용자 및 그룹에 대한 정보가 포함되어 있습니다. 이는 사용자 컨텍스트 필터링을 설정하는 데 유용합니다. 여기서는 사용자 또는 해당 그룹의 문서 액세스에 따라 다른 사용자에 대한 검색 결과를 Amazon Kendra 필터링합니다.

IAM Identity Center 자격 증명 소스를 생성하려면 IAM Identity Center를 활성화하고에서 조직을 생성해야 합니다 AWS Organizations. IAM Identity Center를 활성화하고 조직을 처음 생성하면 Identity Center 디렉터리가 자격 증명 소스로 자동 설정됩니다. Active Directory(Amazon 관리형 또는 자체 관리형) 또는 외부 ID 공급자로 ID 소스로 변경할 수 있습니다. 이에 대한 올바른 지침을 따라야 합니다. IAM Identity Center 자격 증명 소스 변경을 참조하세요. 조직당 Identity Center 한 개만 가질 수 있습니다.

사용자와 그룹에 서로 다른 수준의 문서 액세스 권한을 할당하려면 문서를 인덱스로 수집할 때 액세스 제어 목록에 사용자와 그룹을 포함해야 합니다. 이렇게 하면 사용자와 그룹이 액세스 수준에 따라 Amazon Kendra 에서 문서를 검색할 수 있습니다. 쿼리를 실행할 때 사용자 ID는 IAM Identity Center의 사용자 이름과 정확히 일치해야 합니다.

또한 IAM Identity Center를와 함께 사용하는 데 필요한 권한을 부여해야 합니다 Amazon Kendra. 자세한 내용은 IAM IAM Identity Center의 역할을 참조하세요.

IAM Identity Center 자격 증명 소스를 설정하려면

  1. IAM Identity Center 콘솔을 엽니다.

  2. IAM Identity Center 활성화를 선택한 다음 AWS 조직 생성을 선택합니다.

    Identity Center 디렉터리는 기본적으로 생성되며 조직과 연결된 이메일 주소를 확인하기 위한 이메일이 사용자에게 전송됩니다.

  3. AWS 조직에 그룹을 추가하려면 탐색 창에서 그룹을 선택합니다.

  4. 그룹 페이지에서 대화 상자에 그룹 이름과 설명을 입력하고 그룹 생성을 선택합니다. 생성(Create)을 선택합니다.

  5. 조직에 사용자를 추가하려면 탐색 창에서 사용자를 선택합니다.

  6. 사용자 페이지에서 사용자 추가를 선택합니다. 사용자 세부 정보에서 모든 필수 필드를 지정합니다. 암호에 대해 사용자에게 이메일 보내기를 선택합니다. Next(다음)를 선택합니다.

  7. 그룹에 사용자를 추가하려면 그룹을 선택하고 그룹을 선택합니다.

  8. 세부 정보 페이지에서 그룹 멤버사용자 추가를 선택합니다.

  9. 그룹에 사용자 추가 페이지에서 그룹 멤버로 추가할 사용자를 선택합니다. 그룹에 추가할 사용자를 여러 명 선택할 수 있습니다.

  10. 사용자 및 그룹 목록을 IAM Identity Center와 동기화하려면 자격 증명 소스를 Active Directory 또는 외부 자격 증명 공급자로 변경합니다.

    Identity Center 디렉터리는 기본 ID 소스이며 공급자가 관리하는 자체 목록이 없는 경우 이 소스를 사용하여 사용자 및 그룹을 수동으로 추가해야 합니다. 자격 증명 소스를 변경하려면 이에 대한 올바른 지침을 따라야 합니다. IAM Identity Center 자격 증명 소스 변경을 참조하세요.

참고

Active Directory 또는 외부 자격 증명 공급자를 자격 증명 소스로 사용하는 경우 도메인 간 자격 증명 관리 시스템(SCIM) 프로토콜을 지정할 때 사용자의 이메일 주소를 IAM Identity Center 사용자 이름에 매핑해야 합니다. 자세한 내용은 IAM Identity Center 활성화를 위한 SCIM의 IAM Identity Center 안내서를 참조하세요.

IAM Identity Center 자격 증명 소스를 설정한 후에는 인덱스를 생성하거나 편집할 때 콘솔에서 이를 활성화할 수 있습니다. 인덱스 설정에서 사용자 액세스 제어로 이동하여 설정을 편집하여 IAM Identity Center에서 사용자 그룹 정보를 가져올 수 있도록 허용합니다.

IAM 객체를 사용하여 UserGroupResolutionConfiguration Identity Center를 활성화할 수도 있습니다. 를 UserGroupResolutionMode 로 제공하고 sso:ListDirectoryAssociations, , sso-directory:SearchUsers,를 호출할 수 있는 권한을 부여하는 IAM 역할을 AWS_SSO 생성합니다sso-directory:ListGroupsForUsersso-directory:DescribeGroups.

주의

Amazon Kendra 는 현재 IAM Identity Center 자격 증명 소스에 AWS 대해 조직 멤버 계정과 UserGroupResolutionConfiguration 함께를 사용하는 것을 지원하지 않습니다. UserGroupResolutionConfiguration을 사용하려면 조직의 관리 계정에서 인덱스를 생성해야 합니다.

다음은 사용자 컨텍스트에 따라 검색 결과를 필터링하기 위해 UserGroupResolutionConfiguration 및 사용자 액세스 제어를 사용하여 데이터 소스를 설정하는 방법에 대한 개요입니다. 이렇게 하면 인덱스와 인덱스에 대한 IAM 역할을 이미 생성했다고 가정합니다. 인덱스를 생성하고 CreateIndex API를 사용하여 IAM 역할을 제공합니다.

UserGroupResolutionConfiguration 및 사용자 컨텍스트 필터링을 사용하여 데이터 소스 설정

  1. IAM Identity Center 자격 증명 소스에 액세스할 수 있는 권한을 부여하는 IAM 역할을 생성합니다.

  2. 모드를 로 설정UserGroupResolutionConfiguration하여를 구성AWS_SSO하고 UpdateIndex를 호출하여 IAM Identity Center를 사용하도록 인덱스를 업데이트합니다.

  3. 토큰 기반 사용자 액세스 제어를 사용하여 사용자 컨텍스트에서 검색 결과를 필터링하려면를 호출할 USER_TOKENUserContextPolicy를 로 설정합니다UpdateIndex. 그렇지 않으면 대부분의 데이터 소스 커넥터에 대한 각 문서의 액세스 제어 목록을 Amazon Kendra 크롤링합니다. 에서 사용자 및 그룹 정보를 제공하여 쿼리 API의 사용자 컨텍스트에 대한 검색 결과를 필터링할 수도 있습니다UserContext. 또한 PutPrincipalMapping를 사용하여 사용자를 그룹에 매핑할 수 있으므로 쿼리를 실행할 때 사용자 ID만 제공하면 됩니다.

  4. 데이터 소스에 액세스할 수 있는 권한을 부여하는 IAM 역할을 만듭니다.

  5. 데이터 소스를 구성합니다. 데이터 소스에 연결하는 데 필요한 연결 정보를 제공해야 합니다.

  6. CreateDataSource API를 사용하여 데이터 소스를 생성합니다. TemplateConfiguration, 인덱스의 ID, 데이터 소스의 IAM 역할, 데이터 소스 유형을 포함하는 DataSourceConfiguration 객체를 제공하고 데이터 소스에 이름을 지정합니다. 데이터 소스를 업데이트할 수도 있습니다.