기존 자격 증명 소스를 IAM Identity Center에 연결 AWS에서 자격 증명 생성 및 관리 IAM Identity Center의 일반적인 설계 고려 사항

AWS IAM Identity Center

AWS IAM Identity Center는 증가하는 인력 ID를 생성 또는 연결하고 AWS 환경 전체에서 해당 ID에 대한 보안 액세스를 중앙에서 관리할 수 있는 단일 위치를 제공합니다. IAM Organizations와 함께 AWS Identity Center를 활성화할 수 있습니다. 이는 Word 조직 및 AWS 관리형 애플리케이션 내의 여러 AWS 계정에 대한 중앙 AWS 관리형 액세스를 제공하는 데 권장되는 접근 방식입니다.

Amazon Q, Amazon Q Developer, Amazon SageMaker Studio 및 Amazon QuickSight를 포함한 AWS 관리형 서비스는 인증 및 권한 부여를 위해 IAM Identity Center를 통합하고 사용합니다. 자격 증명 소스를 IAM Identity Center에 한 번만 연결하고 모든 온보딩 AWS 관리형 애플리케이션에 대한 인력 액세스를 관리합니다. Microsoft Entra ID, Okta, Google Workspace 및 Microsoft Active Directory와 같은 기존 회사 디렉터리의 ID는 IAM Identity Center에 프로비저닝되어야만 사용자 또는 그룹을 조회하여 AWS 관리형 서비스에 대한 Single Sign-On 액세스 권한을 부여할 수 있습니다. IAM Identity Center는 애플리케이션별 사용자 중심 경험도 지원합니다. 예를 들어 Amazon Q 사용자는 하나의 Amazon Q 통합 서비스에서 다른 서비스로 이동할 때 연속성을 경험합니다.

참고

IAM Identity Center 기능을 개별적으로 사용할 수 있습니다. 예를 들어 Identity Center를 사용하여 Amazon Q와 같은 AWS 관리형 서비스에 대한 액세스를 관리하는 동시에 직접 계정 페더레이션 및 IAM 역할을 사용하여 AWS 계정에 대한 액세스를 관리할 수 있습니다.

신뢰할 수 있는 자격 증명 전파는 AWS 서비스의 데이터에 액세스해야 하는 쿼리 도구 및 비즈니스 인텔리전스(BI) 애플리케이션 사용자에게 간소화된 Single Sign-On 경험을 제공합니다. 데이터 액세스 관리는 사용자의 자격 증명을 기반으로 하므로 관리자는 사용자의 기존 사용자 및 그룹 멤버십을 기반으로 액세스 권한을 부여할 수 있습니다. 신뢰할 수 있는 자격 증명 전파는 애플리케이션이 암호를 공유하지 않고도 사용자 데이터에 안전하게 액세스하고 공유할 수 있도록 허용하는OAuth 2.0 권한 부여 프레임워크를 기반으로 합니다.

Amazon Redshift 쿼리 편집기 v2, Amazon EMR 및 Amazon QuickSight와 같이 신뢰할 수 있는 자격 증명 전파와 통합되는 AWS 관리형 서비스는 IAM Identity Center에서 직접 토큰을 가져옵니다. 또한 IAM Identity Center는 애플리케이션이 외부 OAuth 2.0 권한 부여 서버에서 자격 증명 토큰 및 액세스 토큰을 교환할 수 있는 옵션을 제공합니다. AWS 서비스 및 기타 이벤트에 대한 사용자 액세스는 서비스별 로그 및 in CloudTrail 이벤트에 기록되므로 감사자는 사용자가 수행한 작업과 액세스한 리소스를 알 수 있습니다.

신뢰할 수 있는 자격 증명 전파를 사용하려면 IAM Identity Center를 활성화하고 사용자 및 그룹을 프로비저닝해야 합니다. IAM Identity Center의 조직 인스턴스를 사용하는 것이 좋습니다.

참고

신뢰할 수 있는 자격 증명 전파는 다중 계정 권한(권한 세트)을 설정할 필요가 없습니다. IAM Identity Center를 활성화하고 신뢰할 수 있는 자격 증명 전파에만 사용할 수 있습니다.

자세한 내용은 신뢰할 수 있는 자격 증명 전파 사용에 대한 사전 조건 및 고려 사항을 참조하고 자격 증명 전파를 시작할 수 있는 애플리케이션에서 지원하는 특정 사용 사례를 확인하세요.

AWS 액세스 포털은 인증된 사용자에게 AWS 계정 및 클라우드 애플리케이션에 대한 Single Sign-On 액세스를 제공합니다. AWS 액세스 포털에서 생성된 보안 인증을 사용하여 Word 계정의 리소스에 대한 CLI AWS orWordWord 액세스를 구성할 수도 있습니다.AWS SDK AWS 이렇게 하면 프로그래밍 방식 액세스에 장기 보안 인증 정보를 사용하지 않아도 되므로 보안 인증 정보가 손상되고 보안 태세가 개선될 가능성이 크게 줄어듭니다.

IAM Identity Center APIs를 사용하여 계정 및 애플리케이션 액세스 관리를 자동화할 수도 있습니다.

IAM Identity Center는 Word Identity Center에서 사용자가 수행한 작업의 레코드를 제공하는IAMAWS CloudTrail와 통합됩니다. CloudTrail 는 aCreateUserAPI Word호출과 같은 API 이벤트를 기록합니다. 이는 사용자가 System for Cross-domain Identity Management(SCIM) 프로토콜을 사용하여 외부 IdP에서 수동으로 생성되거나 프로비저닝되거나 IAM 자격 증명 센터에 동기화될 때 기록됩니다. CloudTrail 에 기록된 모든 이벤트 또는 로그 항목에는 요청을 생성한 사람에 대한 정보가 포함됩니다.이 기능은 추가 조사가 필요할 수 있는 예상치 못한 변경 사항 또는 활동을 식별하는 데 도움이 됩니다. CloudTrail IAM Identity Center 작업의 전체 목록은 IAM Identity Center 설명서를 참조하세요.

기존 자격 증명 소스를 IAM Identity Center에 연결

ID 페더레이션은 중앙 IdP를 사용하여 사용자 인증을 관리하고 서비스 공급자(SPs) 역할을 하는 여러 애플리케이션 및 서비스에 대한 액세스를 제어하는 액세스 제어 시스템을 구축하는 일반적인 접근 방식입니다. IAM Identity Center는 Okta, Microsoft Entra ID, Ping, Google Workspace, JumpCloud, OneLogin, 온프레미스 Active Directory 및 SAML 2.0 호환 자격 증명 소스를 포함하여 기존 기업 자격 증명 소스에서 자격 증명을 가져올 수 있는 유연성을 제공합니다.

기존 자격 증명 소스를 IAM Identity Center에 연결하는 것이 권장되는 접근 방식입니다. 직원에게 Single Sign-On 액세스 권한과 AWS 서비스 전반에서 일관된 경험을 제공하기 때문입니다. 또한 여러 소스를 유지 관리하는 대신 단일 위치에서 자격 증명을 관리하는 것이 좋습니다. IAM Identity Center는 SAML Identity Center가 external IdPs에서 사용자를 인증할 수 있는 개방형 자격 증명 표준인 IAM 2.0을 사용하여 자격 증명 페더레이션을 지원합니다.IAM Identity Center는 SCIM v2.0 표준에 대한 지원을 제공합니다. 이 표준을 사용하면 지원되는 외부 IdPsand IAM Identity Center 간에 사용자 및 그룹의 자동 프로비저닝, 업데이트 및 프로비저닝 해제가 가능합니다. 단, 현재 Word를 통해서만 사용자 프로비저닝을 지원하는 Google Workspace 및 SCIM Identity Center PingOne는 예외입니다.

특정 표준 및 고려 사항을 준수하는 경우 다른 SAML 2.0 기반 external IdPs 를 IAM Identity Center에 연결할 수도 있습니다.

기존 Microsoft Active Directory를 IAM Identity Center에 연결할 수도 있습니다. 이 옵션을 사용하면 AWS Directory Service를 사용하여 기존 Microsoft Active Directory의 사용자, 그룹 및 그룹 멤버십을 동기화할 수 있습니다. 이 옵션은 온프레미스에 있는 자체 관리형 Active Directory 또는 AWS Managed Microsoft AD의 디렉터리에서 이미 자격 증명을 관리하고 있는 대기업에 적합합니다. AWS Managed Microsoft AD의 디렉터리를 IAM Identity Center에 연결할 수 있습니다. 또한 IAM Identity Center가 인증을 위해 도메인을 신뢰하도록 허용하는 양방향 신뢰 관계를 설정하여 Active Directory의 자체 관리형 디렉터리를 IAM Identity Center에 연결할 수도 있습니다. 또 다른 방법은 클라우드의 정보를 캐싱하지 않고 디렉터리 요청을 자체 관리형 Active Directory로 리디렉션할 수 있는 디렉터리 게이트웨이인 AD Connector를 사용하는 것입니다. 다음 다이어그램은이 옵션을 보여줍니다.

AD Connector 및 양방향 신뢰를 사용하여 온프레미스 Active Directory의 자격 증명 동기화

장점

기존 자격 증명 소스를 IAM 자격 증명 센터에 연결하여 액세스를 간소화하고 AWS 서비스 전반에서 작업 인력에게 일관된 경험을 제공합니다.
AWS 애플리케이션에 대한 인력 액세스를 효율적으로 관리합니다. AWS Identity Center를 통해 자격 증명 소스의 사용자 및 그룹 정보를 사용할 수 있도록 하여 IAM 서비스에 대한 사용자 액세스를 더 쉽게 관리하고 감사할 수 있습니다.
AWS 서비스의 데이터에 대한 사용자 액세스 제어 및 가시성을 개선합니다. 선택한 자격 증명 소스 및 기타 AWS 액세스 관리 구성을 계속 사용하는 동안 비즈니스 인텔리전스 도구에서 사용하는 AWS 데이터 서비스로 사용자 자격 증명 컨텍스트를 전송할 수 있습니다.
다중 계정 AWS 환경에 대한 인력 액세스를 관리합니다. 기존 자격 증명 소스와 함께 IAM Identity Center를 사용하거나 새 디렉터리를 생성하고 AWS 환경의 일부 또는 전체에 대한 인력 액세스를 관리할 수 있습니다.
AWS 관리 콘솔에 대한 긴급 액세스를 설정하여 IAM Identity Center를 활성화한 Word 리전에서 서비스가 중단되는 경우 추가 보호 계층을 제공합니다. AWS

서비스 고려 사항

IAM Identity Center는 현재 유휴 제한 시간 사용을 지원하지 않습니다.이 경우 사용자의 세션 시간이 초과되거나 활동에 따라 확장됩니다. Word AWS 액세스 포털 및 IAM Identity Center 통합 애플리케이션의 세션 기간을 지원합니다. 15분에서 90일 사이의 세션 기간을 구성할 수 있습니다. AWS Identity Center 사용자를 위한 활성 IAM 액세스 포털 세션을 보고 삭제할 수 있습니다. 그러나 AWS 액세스 포털 세션을 수정하고 종료해도 권한 세트로 정의된 AWS Management Console의 세션 지속 시간에는 영향을 미치지 않습니다.https://docs.aws.amazon.com/singlesignon/latest/userguide/howtosessionduration.html

설계 고려 사항

한 번에 단일 IAM 리전에서 AWS Identity Center의 인스턴스를 활성화할 수 있습니다. IAM Identity Center를 활성화하면 기본 리전에서 권한 세트 및 통합 애플리케이션에 대한 액세스를 제어합니다. 즉, 드물게이 리전에서 IAM Identity Center 서비스가 중단되는 경우 사용자는 계정 및 애플리케이션에 액세스하기 위해 로그인할 수 없습니다. 추가 보호를 제공하려면 AWS 2.0 기반 페더레이션을 사용하여 Word Management Console에 대한 긴급 액세스를 설정하는 것이 좋습니다. SAML

참고
이 긴급 액세스 권장 사항은 타사 외부 IdP를 자격 증명 소스로 사용하고 IAM 서비스 데이터 영역과 외부 IdP를 사용할 수 있을 때 작동하는 경우에 적용됩니다.
Active Directory를 사용하거나 IAM Identity Center에서 사용자를 생성하는 경우 표준 AWS 브레이크 글라스 지침을 따릅니다.
AD Connector를 사용하여 온프레미스 Active Directory를 IAM Identity Center에 연결하려는 경우 AD Connector는 Active Directory 도메인과 one-on-one 신뢰 관계가 있으며 전이적 신뢰를 지원하지 않는다는 점을 고려하세요. 즉, IAM Identity Center는 생성한 AD Connector에 연결된 단일 도메인의 사용자 및 그룹만 액세스할 수 있습니다. 여러 도메인 또는 포리스트를 지원해야 하는 경우 AWS Managed Microsoft AD를 사용합니다.
외부 IdP를 사용하는 경우 다단계 인증(MFA)은 IAM Identity Center가 아닌 외부 IdP에서 관리됩니다. IAM Identity Center는 ID 소스가 MFA Identity Center의 ID 스토어, IAM Managed Microsoft AD 또는 AD Connector로 구성된 경우에만 AWS 기능을 지원합니다.

AWS에서 자격 증명 생성 및 관리

외부 IdP와 함께 IAM Identity Center를 사용하는 것이 좋습니다. 그러나 기존 IdP가 없는 경우 서비스의 기본 자격 증명 소스인 IAM Identity Center 디렉터리에서 사용자 및 그룹을 생성하고 관리할 수 있습니다. 이 옵션은 다음 다이어그램에 나와 있습니다. 인력 사용자를 위해 각 IAM 계정에서 AWS 사용자 또는 역할을 생성하는 것보다 선호됩니다. 자세한 내용은 IAM Identity Center 설명서를 참조하세요.

서비스 고려 사항

IAM Identity Center에서 자격 증명을 생성하고 관리할 때 사용자는 수정할 수 없는 기본 암호 정책을 준수해야 합니다. 자격 증명에 대한 자체 암호 정책을 정의하고 사용하려면 자격 증명 소스를 Active Directory 또는 외부 IdP로 변경합니다. IdP
IAM Identity Center에서 자격 증명을 생성하고 관리할 때는 재해 복구 계획을 고려하세요. IAM Identity Center는 여러 가용 영역에서 작동하여 가용 영역의 장애를 견디도록 구축된 리전 서비스입니다. 그러나 드물지만 IAM Identity Center가 활성화된 리전에서 중단이 발생하는 경우 Word에서 권장하는 긴급 액세스 설정을 구현하고 사용할 수 없습니다. 사용자 및 그룹이 포함된 IAM Identity Center 디렉터리도 해당 리전의 중단에 영향을 받기 AWS때문입니다. 재해 복구를 구현하려면 자격 증명 소스를 외부 SAML 2.0 IdP 또는 Active Directory로 변경해야 합니다.

설계 고려 사항

IAM Identity Center는 한 번에 하나의 자격 증명 소스만 사용할 수 있도록 지원합니다. 그러나 현재 자격 증명 소스를 다른 두 자격 증명 소스 옵션 중 하나로 변경할 수 있습니다. 이 변경을 수행하기 전에 자격 증명 소스 변경 고려 사항을 검토하여 영향을 평가하세요.
IAM Identity Center 디렉터리를 자격 증명 소스로 사용하는 경우 WordMFA는 2023년 11월 15일 이후에 생성된 인스턴스에 대해 기본적으로 활성화됩니다. 신규 사용자는 MFA Identity Center에 처음 로그인할 때 IAM 디바이스를 등록하라는 메시지가 표시됩니다. 관리자는 보안 요구 사항에 따라 사용자의 MFA 설정을 업데이트할 수 있습니다.

IAM Identity Center의 일반적인 설계 고려 사항

IAM Identity Center는 속성을 사용하여 세분화된 권한을 생성할 수 있는 권한 부여 전략인 속성 기반 액세스 제어(ABAC)를 지원합니다. IAM Identity Center에 액세스 제어를 위한 속성을 전달하는 방법에는 두 가지가 있습니다.
- 외부 IdP를 사용하는 경우 접두사를 사용하여 SAML 어설션에서 직접 속성을 전달할 수 있습니다https://aws.amazon.com/SAML/Attributes/AccessControl.
- IAM Identity Center를 자격 증명 소스로 사용하는 경우 IAM Identity Center 자격 증명 스토어에 있는 속성을 추가하고 사용할 수 있습니다.
- 모든 경우에 ABAC를 사용하려면 먼저 IAM Identity Center 콘솔의 액세스 제어 속성 페이지에서 액세스 제어 속성을 선택해야 합니다. SAML 어설션을 사용하여 전달하려면 IdP의 속성 이름을 로 설정해야 합니다https://aws.amazon.com/SAML/Attributes/AccessControl:<AttributeName>.
- IAM Identity Center 콘솔 액세스 제어용 속성 페이지에 정의된 속성은 IdP에서 SAML 어설션을 통해 전달된 속성보다 우선합니다. SAML 어설션에서만 전달된 속성을 사용하려면 IAM Identity Center에서 속성을 수동으로 정의하지 마세요. IdP 또는 IAM Identity Center에서 속성을 정의한 후 aws:PrincipalTag 전역 조건 키를 사용하여 권한 세트에서 사용자 지정 권한 정책을 생성할 수 있습니다. 이렇게 하면 리소스의 태그와 일치하는 속성을 가진 사용자만 AWS 계정의 해당 리소스에 액세스할 수 있습니다.
IAM Identity Center는 직원 자격 증명 관리 서비스이므로 프로그래밍 방식 액세스를 위한 인증 프로세스를 완료하려면 인적 상호 작용이 필요합니다. Word 인증에 machine-to-machine Roles Anywhere의 워크로드에 대한 Amazon Word EC2 인스턴스 프로필AWS 외부의 워크로드를 탐색합니다. AWS IAM
IAM Identity Center는 조직 내 AWS 계정의 리소스에 대한 액세스를 제공합니다. 그러나 조직에 계정을 초대하지 않고 IAM Identity Center를 사용하여 외부 계정(즉, 조직 외부의 AWS 계정)에 대한 Single Sign-On 액세스를 제공하려는 경우 IAM Identity Center에서 외부 계정을 SAML 애플리케이션으로 구성할 수 있습니다.
IAM Identity Center는 임시 고급 액세스 관리(TEAM) 솔루션( just-in-time 액세스라고도 함)과의 통합을 지원합니다. 이 통합을 통해 다중 계정 AWS 환경에 대규모로 시간 제한적으로 액세스할 수 있습니다. 임시 액세스 권한 상승을 통해 사용자는 특정 기간 동안 특정 작업을 수행할 수 있는 액세스를 요청할 수 있습니다. 승인자는 각 요청을 검토하고 요청을 승인할지 거부할지 결정합니다. IAM Identity Center는 지원되는 TEAM 보안 파트너 또는 자체 관리형 솔루션의 공급업체 관리형 Word 솔루션을 모두 지원하며, 이를 유지 관리하고 시간 제한 액세스 요구 사항을 해결하도록 조정할 수 있습니다. AWS

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

인력 자격 증명 관리

IAM 페더레이션