AWS IAM Identity Center 및 AWS Organizations - AWS Organizations
서비스 연결 역할서비스 보안 주체신뢰할 수 있는 액세스 활성화신뢰할 수 있는 액세스 비활성화위임된 관리자 계정 활성화

AWS IAM Identity Center 및 AWS Organizations

AWS IAM Identity Center은 모든 AWS 계정 및 클라우드 애플리케이션에 대한 Single Sign-On(SSO) 서비스를 제공합니다. AWS Directory Service를 통해 Microsoft Active Directory와 연결하여 해당 디렉터리에 있는 사용자가 기존 Active Directory 사용자 이름 및 암호를 사용하여 개인화된 AWS 액세스 포털에 로그인할 수 있도록 합니다. 사용자는 AWS 액세스 포털에서 권한이 있는 모든 AWS 계정 및 클라우드 애플리케이션에 액세스할 수 있습니다.

IAM Identity Center에 대한 자세한 내용은 AWS IAM Identity Center 사용 설명서를 참조하세요.

다음 정보는 AWS IAM Identity Center를 AWS Organizations와 통합하는 데 도움을 줍니다.

통합 활성화 시 서비스 연결 역할 생성

신뢰할 수 있는 액세스를 활성화하면 다음 서비스 연결 역할이 조직의 관리 계정에 자동으로 생성됩니다. 이 역할을 통해 IAM Identity Center는 조직의 계정 내에서 지원되는 작업을 수행할 수 있습니다.

IAM Identity Center와 Organizations 간의 신뢰할 수 있는 액세스를 비활성화하거나 조직에서 멤버 계정을 제거한 경우에만 이 역할을 삭제하거나 수정할 수 있습니다.

  • AWSServiceRoleForSSO

서비스 연결 역할이 사용하는 서비스 보안 주체

앞 부분에서 다룬 서비스 연결 역할은 역할에 대해 정의된 신뢰 관계에 의해 권한이 부여되는 서비스 보안 주체만 맡을 수 있습니다. IAM Identity Center가 사용하는 서비스 연결 역할은 다음 서비스 보안 주체에 대한 액세스 권한을 부여합니다.

  • sso.amazonaws.com

IAM Identity Center와의 신뢰할 수 있는 액세스 활성화

신뢰할 수 있는 액세스를 활성화하는 데 필요한 권한에 관한 내용은 신뢰할 수 있는 액세스를 활성화하는 데 필요한 권한 단원을 참조하세요.

AWS IAM Identity Center 콘솔 또는 AWS Organizations 콘솔을 사용하여 신뢰할 수 있는 액세스를 활성화할 수 있습니다.

중요

가능하면 항상 AWS IAM Identity Center 콘솔 또는 도구를 사용하여 Organizations 통합을 활성화할 것을 적극 권장합니다. 이렇게 하면 AWS IAM Identity Center가 서비스에 필요한 리소스 생성 등 모든 필수 구성을 수행합니다. AWS IAM Identity Center에서 제공하는 도구를 사용하여 통합을 활성화할 수 없는 경우에만 다음 단계를 진행합니다. 자세한 내용은 이 메모를 참조하십시오.

AWS IAM Identity Center 콘솔 또는 도구를 사용하여 신뢰할 수 있는 액세스를 활성화할 수 있다면 이 단계를 완료할 필요가 없습니다.

IAM Identity Center가 작동하려면 AWS Organizations와의 신뢰할 수 있는 액세스가 필요합니다. 신뢰할 수 있는 액세스는 IAM Identity Center를 설정할 때 활성화합니다. 자세한 내용은 AWS IAM Identity Center 사용 설명서시작하기 - 1단계: AWS IAM Identity Center 활성화를 참조하세요.

AWS Organizations 콘솔을 사용하거나, AWS CLI 명령을 실행하거나, AWS SDK 중 하나에서 API 작업을 호출하여 신뢰할 수 있는 액세스를 활성화할 수 있습니다.

AWS Management Console
Organizations 콘솔을 사용하여 신뢰할 수 있는 서비스 액세스를 활성화하려면

  1. AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.

  2. 탐색 창에서 서비스를 선택합니다.

  3. 서비스 목록에서 AWS IAM Identity Center를 선택합니다.

  4. 신뢰할 수 있는 액세스 활성화를 선택합니다.

  5. AWS IAM Identity Center에 대한 신뢰할 수 있는 액세스 활성화 대화 상자에서 활성화를 입력하여 확인한 다음 신뢰할 수 있는 액세스 활성화를 선택합니다.

  6. 본인이 AWS Organizations에서만 관리자인 경우 AWS IAM Identity Center의 관리자에게 콘솔에서 해당 서비스를 활성화하여 AWS Organizations와 연동할 수 있다고 알립니다.

AWS CLI, AWS API
Organizations CLI/SDK를 사용하여 신뢰할 수 있는 서비스 액세스를 활성화하려면

다음 AWS CLI 명령 또는 API 작업을 사용하면 신뢰할 수 있는 서비스 액세스를 활성화할 수 있습니다.

  • AWS CLI: enable-aws-service-access

    다음 명령을 실행하면 Organizations와 상호 신뢰할 수 있는 서비스로 AWS IAM Identity Center를 활성화할 수 있습니다.

    $ aws organizations enable-aws-service-access \ 
    --service-principal sso.amazonaws.com

    이 명령은 성공 시 출력을 생성하지 않습니다.

  • AWS API: EnableAWSServiceAccess

IAM Identity Center와의 신뢰할 수 있는 액세스 비활성화

신뢰할 수 있는 액세스를 비활성화하는 데 필요한 권한에 관한 내용은 신뢰할 수 있는 액세스를 비활성화하는 데 필요한 권한 단원을 참조하세요.

IAM Identity Center가 작동하려면 AWS Organizations와의 신뢰할 수 있는 액세스가 필요합니다. AWS Organizations를 사용하는 동안 IAM Identity Center를 사용하여 신뢰할 수 있는 액세스를 비활성화하면 조직에 액세스하지 못해 작동이 중단됩니다. 사용자는 IAM Identity Center를 사용하여 계정에 액세스할 수 없게 됩니다. IAM Identity Center가 생성한 역할은 그대로 남아 있지만 IAM Identity Center 서비스가 해당 역할에 액세스할 수 없습니다. IAM Identity Center 서비스 연결 역할은 그대로 유지됩니다. 신뢰할 수 있는 액세스를 다시 활성화하면 IAM Identity Center가 이전과 같이 계속 작동하므로 서비스를 다시 구성할 필요가 없습니다.

조직에서 계정을 제거한 경우 IAM Identity Center는 서비스 연결 역할과 같은 모든 메타데이터 및 리소스를 자동으로 정리합니다. 조직에서 제거된 독립 실행형 계정은 더 이상 IAM Identity Center에서 사용할 수 없습니다.

신뢰할 수 있는 액세스는 Organizations 도구로만 비활성화할 수 있습니다.

AWS Organizations 콘솔을 사용하거나, Organizations AWS CLI 명령을 실행하거나, AWS SDK 중 하나에서 Organizations API 작업을 호출하여 신뢰할 수 있는 액세스를 비활성화할 수 있습니다.

AWS Management Console
Organizations 콘솔을 사용하여 신뢰할 수 있는 서비스 액세스를 비활성화하려면

  1. AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.

  2. 탐색 창에서 서비스를 선택합니다.

  3. 서비스 목록에서 AWS IAM Identity Center를 선택합니다.

  4. 신뢰할 수 있는 액세스 비활성화를 선택합니다.

  5. AWS IAM Identity Center에 대한 신뢰할 수 있는 액세스 비활성화 대화 상자에서 비활성화를 입력하여 확인한 다음 신뢰할 수 있는 액세스 비활성화를 선택합니다.

  6. 본인이 AWS Organizations에서만 관리자인 경우 AWS IAM Identity Center의 관리자에게 콘솔 또는 도구에서 해당 서비스를 비활성화하여 AWS Organizations와 연동할 수 없다고 알립니다.

AWS CLI, AWS API
Organizations CLI/SDK를 사용하여 신뢰할 수 있는 서비스 액세스를 비활성화하려면

다음 AWS CLI 명령 또는 API 작업을 사용하여 신뢰할 수 있는 서비스 액세스를 비활성화할 수 있습니다.

  • AWS CLI: disable-aws-service-access

    다음 명령을 실행하면 Organizations와 상호 신뢰할 수 있는 서비스로서 AWS IAM Identity Center를 비활성화할 수 있습니다.

    $ aws organizations disable-aws-service-access \
    --service-principal sso.amazonaws.com

    이 명령은 성공 시 출력을 생성하지 않습니다.

  • AWS API: DisableAWSServiceAccess

IAM Identity Center에 대한 위임된 관리자 계정 활성화

멤버 계정을 조직의 위임된 관리자로 지정하면 해당 계정의 사용자 및 역할이 IAM Identity Center에 대한 관리 작업을 수행할 수 있습니다. 그렇지 않은 경우 조직의 관리 계정에 속한 사용자 또는 역할만 관리 작업을 수행할 수 있습니다. 이는 IAM Identity Center 관리와 조직 관리를 분리하는 데 도움이 됩니다.

최소 권한

Organizations 관리 계정의 사용자 또는 역할만 멤버 계정을 조직의 IAM Identity Center에 대한 위임된 관리자로 구성할 수 있습니다.

IAM Identity Center에 대한 위임된 관리자 계정을 활성화하는 방법에 대한 지침은 AWS IAM Identity Center 사용 설명서위임된 관리를 참조하세요.