기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
적용 대상: 엔터프라이즈 에디션 및 스탠다드 에디션 |
대상: 시스템 관리자 |
참고
IAM 자격 증명 페더레이션은 자격 증명 공급자 그룹을 Amazon QuickSight와 함께 동기화하는 것을 지원하지 않습니다.
AWS Identity and Access Management (IAM) 역할과 릴레이 상태 URL을 사용하여 SAML 2.0을 준수하는 ID 제공업체(IdP)를 구성할 수 있습니다. 이 역할은 Amazon QuickSight에 액세스할 수 있는 권한을 사용자에게 부여합니다. 릴레이 상태는 AWS에서 인증에 성공한 후 사용자가 전달되는 포털입니다.
주제
사전 조건
SAML 2.0 연결을 구성하기 전에 다음을 수행해야 합니다.
-
IdP를 구성하여 AWS와 신뢰 관계를 설정합니다:
-
조직 네트워크의 내부에서 Windows Active Directory 같은 자격 증명 스토어를 구성해 SAML 기반 IdP로 작업합니다. SAML 기반 IdP는 Active Directory Federation Services, Shibboleth 등을 포함합니다.
-
IdP를 사용하여 조직을 자격 증명 공급자로 설명하는 메타데이터 문서를 생성합니다.
-
AWS Management Console의 경우와 동일한 단계를 사용하여 SAML 2.0 인증을 설정합니다. 이 프로세스가 완료되면, Amazon QuickSight의 릴레이 상태와 일치하도록 릴레이 상태를 구성할 수 있습니다. 자세한 내용은 5단계: 페더레이션의 릴레이 상태 구성 단원을 참조하십시오.
-
-
Amazon QuickSight 계정을 생성하고 IAM 정책 및 IdP를 구성할 때 사용할 이름을 기록해 둡니다. Amazon QuickSight 계정 생성에 대한 자세한 내용은 Amazon QuickSight 구독 신청하기을(를) 참조하십시오.
자습서에 설명된 AWS Management Console 대로에 페더레이션하도록 설정을 생성한 후 자습서에 제공된 릴레이 상태를 편집할 수 있습니다. 다음 5단계에 설명된 Amazon QuickSight 릴레이 상태로 이렇게 할 수 있습니다.
자세한 정보는 다음 자료를 참조하세요.
-
IAM 사용자 가이드의 타사 SAML 솔루션 공급자와 AWS통합.
-
IAM 사용 설명서의 를 사용한 SAML 2.0 페더레이션 문제 해결 AWS
-
ADFS와 간의 신뢰 설정 AWS 및 Active Directory 자격 증명을 사용하여 ODBC 드라이버로 Amazon Athena에 연결
-이 연습 문서는 QuickSight를 사용하기 위해 Athena를 설정할 필요는 없지만 유용합니다.
1단계:에서 SAML 공급자 생성 AWS
SAML 자격 증명 공급자는 조직의 IdP를 정의합니다 AWS. IdP를 사용하여 이전에 생성된 메타데이터 문서를 사용하여 이를 수행합니다.
에서 SAML 공급자를 생성하려면 AWS
에 로그인 AWS Management Console 하고 https://console.aws.amazon.com/iam/
IAM 콘솔을 엽니다. -
새 SAML 공급자를 생성합니다. 이 공급자는 조직의 자격 증명 공급자에 대한 정보를 보유하고 있는 IAM의 개체입니다. 자세한 내용은 IAM 사용 설명서의 SAML 자격 증명 공급자 생성을 참조하세요.
-
이 프로세스의 일부로 이전 단원에서 기록한 조직의 IdP 소프트웨어에서 생성된 메타데이터 문서를 업로드합니다.
2단계: 페더레이션 사용자를 위해 AWS 에서 권한 구성
다음 단계에서는 조직의 IdP와 iAM 간에 신뢰 관계를 수립하는 IAM 역할을 생성합니다. 이 역할은 연동을 위해 IdP를 보안 주체(신뢰할 수 있는 개체)로 식별합니다. 이 역할은 또한 조직의 IdP에 의해 인증된 어떤 사용자들이 Amazon QuickSight에 액세스할 수 있도록 허용되는지 정의하기도 합니다. SAML IdP를 위한 역할 생성에 대한 자세한 내용은 IAM 사용 설명서의 SAML 2.0 연동을 위한 역할 생성을 참조하십시오.
역할을 생성한 후에는 인라인 정책을 역할에 연결하여 Amazon QuickSight에 대한 권한만 보유하도록 역할을 제한할 수 있습니다. 다음 샘플 정책 문서는 Amazon QuickSight에 대한 액세스를 제공합니다. 이 정책은 Amazon QuickSight에 대한 사용자 액세스를 허용하고 사용자가 작성자 계정과 독자 계정을 모두 만들 수 있도록 허용합니다.
참고
다음 예에서는 <YOUR_AWS_ACCOUNT_ID>
를 12자리 AWS 계정
ID(하이픈 제외 ‘‐’)로 교체합니다.
{
"Statement": [
{
"Action": [
"quicksight:CreateUser"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>
:user/${aws:userid}"
]
}
],
"Version": "2012-10-17"
}
Amazon QuickSight에 액세스할 수 있고 Amazon QuickSight 관리자, 작성자(표준 사용자), 독자를 생성할 수 있는 권한을 제공하려면 다음 정책 예시를 사용할 수 있습니다.
{
"Statement": [
{
"Action": [
"quicksight:CreateAdmin"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight::<YOUR_AWS_ACCOUNT_ID>
:user/${aws:userid}"
]
}
],
"Version": "2012-10-17"
}
에서 계정 세부 정보를 볼 수 있습니다 AWS Management Console.
SAML 및 IAM 정책(하나 이상)을 설정하고 나면 사용자를 수동으로 초대하지 않아도 됩니다. 처음으로 사용자가 Amazon QuickSight를 열 때 정책 내 최고 수준의 권한을 사용하여 자동으로 프로비저닝합니다. 예를 들어 quicksight:CreateUser
및 quicksight:CreateReader
모두에 대한 권한이 있으면 작성자로 프로비저닝합니다. quicksight:CreateAdmin
에 대한 권한이 있으면 관리자로 프로비저닝합니다. 각 권한 수준에는 동일 수준 이하의 사용자를 생성할 수 있는 능력이 포함됩니다. 예를 들어 작성자는 다른 작성자나 독자를 추가할 수 있습니다.
수동으로 초대받은 사용자는 초대한 사람이 할당한 역할로 생성됩니다. 그 사용자가 그에게 권한을 부여하는 정책을 가질 필요는 없습니다.
3단계: SAML IdP 구성
IAM 역할을 생성한 후 서비스 공급자 AWS 로에 대한 SAML IdP를 업데이트합니다. 이렇게 하려면 https://signin.aws.amazon.com/static/saml-metadata.xmlsaml-metadata.xml
파일을 설치하십시오.
IdP 메타데이터를 업데이트하기 위해 IdP가 제공한 지침을 검토합니다. 어떤 공급자는 URL을 입력할 수 있는 옵션을 제공하고, 그 결과 IdP가 그 파일을 획득하고 설치해 줍니다. 다른 IdP들의 경우에는 URL에서 파일을 내려받은 다음 로컬 파일로 제공해야 합니다.
자세한 내용은 IdP 문서를 참조하십시오.
4단계: SAML 인증 응답을 위한 어설션 생성
그런 다음 IdP가 인증 응답의 AWS 일부로 SAML 속성으로 전달하는 정보를 구성합니다. 자세한 내용은 IAM User Guide의 Configuring SAML Assertions for the Authentication Response를 참조하세요.
5단계: 페더레이션의 릴레이 상태 구성
마지막으로, QuickSight 릴레이 상태 URL을 가리키도록 연동의 릴레이 상태도 구성합니다. 에서 인증 AWS에 성공하면 사용자는 SAML 인증 응답에서 릴레이 상태로 정의된 Amazon QuickSight로 이동합니다.
Amazon QuickSight의 릴레이 상태 URL은 다음과 같습니다.
https://quicksight.aws.amazon.com