IAM Identity Center를 사용하여 AWS SDK 및 도구 인증 - AWS SDKs 및 도구

사전 조건 IAM Identity Center를 사용하여 프로그래밍 방식 액세스 구성 포털 액세스 세션 새로 고침

IAM Identity Center를 사용하여 AWS SDK 및 도구 인증

AWS IAM Identity Center 는 컴퓨팅이 아닌AWS 서비스에서 애플리케이션을 개발할 AWS 때 자격 AWS 증명을 제공하는 권장 방법입니다. 예를 들어 이는 사용자의 로컬 개발 환경과 같은 것입니다. Amazon Elastic Compute Cloud(Amazon EC2)와 같은 AWS 리소스에서를 개발하는 경우 대신 해당 서비스에서 자격 증명을 가져오는 AWS Cloud9것이 좋습니다.

이 자습서에서는 IAM Identity Center 액세스를 설정하고 AWS 액세스 포털 및를 사용하여 SDK 또는 도구에 맞게 구성합니다 AWS CLI.

AWS 액세스 포털은 IAM Identity Center에 수동으로 로그인하는 웹 위치입니다. URL 형식은 d-xxxxxxxxxx.awsapps.com/start 또는 your_subdomain.awsapps.com/start입니다. AWS 액세스 포털에 로그인하면 해당 사용자에 대해 구성된 AWS 계정 및 역할을 볼 수 있습니다. 이 절차에서는 AWS 액세스 포털을 사용하여 SDK/도구 인증 프로세스에 필요한 구성 값을 가져옵니다.
AWS CLI 는 코드에서 이루어진 API 호출에 IAM Identity Center 인증을 사용하도록 SDK 또는 도구를 구성하는 데 사용됩니다. 이 일회성 프로세스는 공유 AWS config 파일을 업데이트한 다음 코드를 실행할 때 SDK 또는 도구에서 사용합니다.

사전 조건

이 절차를 시작하기 전에 다음을 완료해야 합니다.

가 없는 경우에 AWS 계정가입합니다. AWS 계정
IAM Identity Center를 아직 활성화하지 않은 경우 AWS IAM Identity Center 사용 설명서의 지침에 따라 IAM Identity Center를 활성화합니다.

IAM Identity Center를 사용하여 프로그래밍 방식 액세스 구성

1 단계: 액세스 설정 및 적절한 권한 세트 선택

다음 방법 중 하나를 선택하여 AWS 자격 증명에 액세스합니다.

사용 AWS IAM Identity Center 설명서의 기본 IAM Identity Center 디렉터리를 사용하여 사용자 액세스 구성 절차에 따라 사용자를 추가하고 관리 권한을 추가합니다.
AdministratorAccess 권한 세트는 정기적인 개발에 사용해서는 안 됩니다. 대신 고용주가이 용도로 사용자 지정 PowerUserAccess 권한 세트를 생성하지 않은 한 사전 정의된 권한 세트를 사용하는 것이 좋습니다.

기본 IAM Identity Center 디렉터리 절차를 다시 사용하여 동일한 사용자 액세스 구성 절차를 따르되 이번에는 다음과 같이 합니다.
- Admin team 그룹을 생성하는 대신 Dev team 그룹을 생성하고 지침에서 이를 대체합니다.
- 기존 사용자를 사용할 수 있지만 사용자를 새 Dev team 그룹에 추가해야 합니다.
- AdministratorAccess 권한 세트를 생성하는 대신 PowerUserAccess 권한 세트를 생성하고 지침에서 이를 대체합니다.
작업을 완료하면 다음 사항이 있어야 합니다.
- Dev team 그룹.
- Dev team 그룹에 연결된 PowerUserAccess 권한 세트입니다.
- 사용자가 Dev team 그룹에를 추가했습니다.
포털을 종료하고 다시 로그인하여 Administrator 또는에 대한 AWS 계정 및 옵션을 확인합니다PowerUserAccess. 도구/SDK로 작업할 PowerUserAccess 때를 선택합니다.

IAM ID 센터를 통한 액세스 권한을 설정하지 않았습니다.

사용 AWS IAM Identity Center 설명서의 기본 IAM Identity Center 디렉터리를 사용하여 사용자 액세스 구성 절차에 따라 사용자를 추가하고 관리 권한을 추가합니다.
AdministratorAccess 권한 세트는 정기적인 개발에 사용해서는 안 됩니다. 대신 고용주가이 용도로 사용자 지정 PowerUserAccess 권한 세트를 생성하지 않은 한 사전 정의된 권한 세트를 사용하는 것이 좋습니다.

기본 IAM Identity Center 디렉터리 절차를 다시 사용하여 동일한 사용자 액세스 구성 절차를 따르되 이번에는 다음과 같이 합니다.
- Admin team 그룹을 생성하는 대신 Dev team 그룹을 생성하고 지침에서 이를 대체합니다.
- 기존 사용자를 사용할 수 있지만 사용자를 새 Dev team 그룹에 추가해야 합니다.
- AdministratorAccess 권한 세트를 생성하는 대신 PowerUserAccess 권한 세트를 생성하고 지침에서 이를 대체합니다.
작업을 완료하면 다음 사항이 있어야 합니다.
- Dev team 그룹.
- Dev team 그룹에 연결된 PowerUserAccess 권한 세트입니다.
- 사용자가 Dev team 그룹에를 추가했습니다.
포털을 종료하고 다시 로그인하여 Administrator 또는에 대한 AWS 계정 및 옵션을 확인합니다PowerUserAccess. 도구/SDK로 작업할 PowerUserAccess 때를 선택합니다.

자격 증명 공급자의 포털을 AWS 통해에 로그인합니다. 클라우드 관리자가 PowerUserAccess (개발자) 권한을 부여한 경우 액세스 권한이 AWS 계정 있는 및 권한 세트가 표시됩니다. 권한 집합 이름 옆에는 해당 권한 집합을 사용하여 수동으로 또는 프로그래밍 방식으로 계정에 액세스할 수 있는 옵션이 표시됩니다.

사용자 지정 구현으로 인해 사용 권한 집합 이름이 달라지는 등 다양한 경험이 발생할 수 있습니다. 어떤 권한 세트를 사용할지 확실하지 않은 경우 IT 팀에 문의하세요.

이미 고용주가 관리하는 페더레이션 자격 증명 공급자(예: Microsoft Entra 또는 Okta)를 AWS 통해에 액세스할 수 있습니다.

AWS 액세스 포털을 AWS 통해에 로그인합니다. 클라우드 관리자가 사용자 PowerUserAccess(개발자)에게 권한을 부여한 경우 액세스 권한이 있는 AWS 계정 와 권한 집합이 표시됩니다. 권한 집합 이름 옆에는 해당 권한 집합을 사용하여 수동으로 또는 프로그래밍 방식으로 계정에 액세스할 수 있는 옵션이 표시됩니다.

고용주가 관리하는 액세스 포털을 AWS 통해에 AWS 이미 액세스할 수 있음

IT 팀에 문의하십시오.

고용주가 관리하는 페더레이션 사용자 지정 ID 제공업체를 AWS 통해에 이미 액세스할 수 있음

IT 팀에 문의하십시오.

2 단계: IAM Identity Center를 사용할 SDK 및 도구 구성

사용자 개발 시스템에 최신 AWS CLI을 설치합니다.
1. 자세한 내용은 AWS Command Line Interface 사용 설명서의 AWS CLI최신 버전의 설치 또는 업데이트를 참조하십시오.
2. (선택 사항) AWS CLI 이 작동하는지 확인하려면 명령 프롬프트를 열고 aws --version 명령을 실행합니다.
AWS 액세스 포털에 로그인합니다. 사용자의 고용주가 이 URL을 제공할 수도 있으며 1단계: 액세스 설정 후 이메일로 받을 수도 있습니다. 그렇지 않은 경우 https://console.aws.amazon.com/singlesignon/ 대시보드에서 AWS 액세스 포털 URL을 찾습니다.
1. AWS 액세스 포털의 계정 탭에서 관리할 개별 계정을 선택합니다. 사용자의 역할이 표시됩니다. 액세스 키를 선택하여 명령줄에 대한 자격 증명 또는 적절한 권한 세트에 대한 프로그래밍 방식 액세스를 가져옵니다. 사전 정의된 PowerUserAccess 권한 세트를 사용하거나, 사용자 또는 고용주가 개발을 위한 최소 권한을 적용하기 위해 생성한 권한 세트를 사용할 수 있습니다.
2. 보안 인증 가져오기 대화 상자에서 운영 체제에 따라 MacOS 및 Linux 또는 Windows를 선택합니다.
3. IAM Identity Center 보안 인증 방법을 선택하여 다음 단계에 필요한 Issuer URL 및 SSO Region 값을 가져옵니다. 참고:와 상호 교환하여 사용할 SSO Start URL 수 있습니다Issuer URL.
AWS CLI 명령 프롬프트에서 aws configure sso 명령을 실행합니다. 메시지가 표시되면 이전 단계에서 수집한 구성 값을 입력합니다. 이 AWS CLI 명령에 대한 자세한 내용은 aws configure sso 마법사를 사용하여 프로필 구성을 참조하세요.
1. 프롬프트에에 대해 얻은 값을 SSO Start URL입력합니다Issuer URL.
2. CLI 프로파일 이름의 경우 시작할 때 기본값을 입력하는 것이 좋습니다. 기본이 아닌 (명명된)프로파일 및 관련 환경 변수를 설정하는 방법에 대한 자세한 내용은 프로파일을 참조하십시오.
(선택 사항) AWS CLI 명령 프롬프트에서 aws sts get-caller-identity 명령을 실행하여 활성 세션 자격 증명을 확인합니다. 응답에는 구성한 IAM Identity Center 권한 세트가 표시되어야 합니다.
AWS SDK를 사용하는 경우 개발 환경에서 SDK용 애플리케이션을 생성합니다.
1. 일부 SDK의 경우 IAM Identity Center 인증을 사용하려면 먼저 SSO과 SSOOIDC와 같은 추가 패키지를 애플리케이션에 추가해야 합니다. 자세한 내용은 특정 SDK를 참조하십시오.
2. 이전에에 대한 액세스를 구성한 경우 공유 AWS credentials 파일에서를 AWS검토합니다AWS 액세스 키. 자격 증명 공급자 체인 이해 우선 순위로 인해 SDK 또는 도구에서 IAM Identity Center 보안 인증을 사용하려면 먼저 정적 보안 인증을 반드시 제거해야 합니다.

SDK 및 도구가 이 구성을 사용하여 보안 인증을 사용하고 새로 고치는 방법에 대한 자세한 내용은 AWS SDKs 및 도구에 대한 IAM Identity Center 인증 확인 방법을 참조하십시오.

공유 config 파일에서 직접 IAM Identity Center 공급자 설정을 구성하려면이 설명서의 섹션을 참조IAM 아이덴티티 센터 보안 인증 공급자하세요.

포털 액세스 세션 새로 고침

액세스가 결국 만료되고 SDK 또는 도구에 인증 오류가 발생합니다. 이 만료가 발생하는 시기는 구성된 세션 길이에 따라 다릅니다. 필요한 경우 액세스 포털 세션을 다시 새로 고치려면 AWS CLI 를 사용하여 aws sso login 명령을 실행합니다.

IAM Identity Center 액세스 포털 세션 기간과 권한 설정 세션 기간을 모두 연장할 수 있습니다. 이렇게 하면 코드를 실행하여 수동으로 다시 로그인해야 하는 시간이 길어집니다. AWS CLI자세한 내용은AWS IAM Identity Center 사용 설명서에서 다음 주제를 참조하세요.

IAM Identity Center 세션 기간 - 사용자의 AWS 액세스 포털 세션 기간을 구성합니다
권한 설정 세션 기간 - 세션 기간을 설정합니다

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

인증 및 액세스

IAM Identity Center 인증 이해하기

쿠키 기본 설정 선택

쿠키 기본 설정 사용자 지정

필수

성능

기능

광고

쿠키 기본 설정을 저장할 수 없음