기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
IAM Identity Center 인증 이해하기
IAM Identity Center 관련 용어
다음 용어는 기본 AWS IAM Identity Center 프로세스와 구성을 이해하는 데 도움이 됩니다. AWSSDK API 설명서에서는 이러한 인증 개념 중 일부에 대해 IAM Identity Center와 다른 이름을 사용합니다. 두 이름을 모두 알고 있으면 도움이 됩니다.
다음 표에서는 이름이 서로 연결되는 방식을 보여줍니다.
| IAM Identity Center 이름 | SDK API 이름 | Description |
|---|---|---|
| Identity Center | sso
|
AWS싱글 사인 온으로 이름이 변경되더라도 sso API 이름 공간에는 이전 버전과의 호환성을 위해 원래 이름을 유지합니다. 자세한 내용은 AWS IAM Identity Center 사용 설명서의 IAM Identity Center 이름 변경을 참조하세요. |
IAM Identity Center 콘솔 관리자 콘솔 |
싱글 사인온을 구성하는 데 사용하는 콘솔입니다. | |
| AWS 액세스 포털 URL | 사용자 IAM ID 센터 계정의 고유한 URL (예https://:) 사용자 IAM ID 센터 로그인 보안 인증을 사용하여 이 포털에 로그인합니다. |
|
| IAM Identity Center 액세스 포털 세션 | 인증 세션 | 발신자에게 베어러 액세스 토큰을 제공합니다. |
| 권한 집합 세션 | SDK가 내부적으로 AWS 서비스호출에 사용하는 IAM 세션입니다. 비공식 토론에서는 이를 “역할 세션”이라고 잘못 지칭하는 것을 볼 수 있습니다. | |
| 권한 세트 보안 인증 | AWS 보안 인증 sigv4 보안 인증 |
SDK가 대부분의 AWS 서비스 호출 (특히, 모든 AWS 서비스 sigv4 호출) 에 실제로 사용하는 보안 인증입니다. 비공식 토론에서는 이를 “역할 보안 인증”이라고 잘못 지칭하는 것을 볼 수 있습니다. |
| IAM 아이덴티티 센터 보안 인증 공급자 | SSO 보안 인증 공급자 | 기능을 제공하는 클래스 또는 모듈 같은 보안 인증을 얻는 방법 |
AWS 서비스에 대한 SDK 보안 인증 확정을 이해하십시오.
IAM ID 센터 API는 베어러 토큰 보안 인증을 sigv4 보안 인증으로 교환합니다. Amazon CodeWhisperer와 Amazon CodeCatalyst 같은 몇 가지 예외를 제외하면 대부분 AWS 서비스은 sigv4 API입니다. 다음은 AWS IAM Identity Center를 통한 사용자 애플리케이션 코드에 대한 대부분의 AWS 서비스 호출을 지원하기 위한 보안 인증 확정 프로세스를 설명합니다.
AWS 액세스 포털 세션 시작
-
사용자 보안 인증으로 세션에 로그인하여 프로세스를 시작하십시오.
-
AWS Command Line Interface(AWS CLI) 에 있는
aws sso login명령을 사용합니다. 아직 활성 세션이 없는 경우 새 IAM Identity Center 세션이 시작됩니다.
-
-
새 세션을 시작하면 IAM ID 센터로부터 새로 고침 토큰과 액세스 토큰을 받습니다. AWS CLI 또한 새 액세스 토큰과 새로 고침 토큰으로 SSO 캐시 JSON 파일을 업데이트하여 SDK에서 사용할 수 있도록 합니다.
-
이미 활성 세션이 있는 경우 이 AWS CLI 명령은 기존 세션을 재사용하며 기존 세션이 종료될 때 종료됩니다. IAM Identity Center 세션 기간 설정 방법을 알아보려면 AWS IAM Identity Center사용 설명서의 사용자의 AWS 액세스 포털 세션 기간 구성을 참조하십시오.
-
자주 로그인해야 하는 필요성을 줄이기 위해 최대 세션 길이가 90일로 연장되었습니다.
-
SDK가 AWS 서비스호출 보안 인증을 가져오는 방법
SDK는 사용자가 서비스 별로 클라이언트 객체를 인스턴스화 하는 시점에 AWS 서비스에 대한 액세스를 제공합니다. 공유 AWS config 파일의 선택된 프로필이 IAM Identity Center 보안 인증 확인으로 구성된 경우 IAM Identity Center를 사용하여 애플리케이션의 보안 인증을 확인합니다.
-
보안 인증 확인 프로세스는 클라이언트가 생성되면 런타임 중에 완료됩니다.
IAM ID 센터 싱글 사인온을 사용하여 sigv4 API의 보안 인증을 가져오기 위해 SDK는 IAM ID 센터 액세스 토큰을 사용하여 IAM 세션을 가져옵니다. 이 IAM 세션을 권한 설정 세션이라고 하며 IAM 역할을 맡아 SDK에 AWS대한 액세스를 제공합니다.
-
권한 세트 세션 기간은 IAM ID 센터 세션 기간과 별개로 설정됩니다.
-
권한 설정 세션 기간을 설정하는 방법을 알아보려면 사용 AWS IAM Identity Center설명서의 세션 기간 설정을 참조하십시오.
-
-
대부분의 AWS SDK API 설명서에서는 권한 집합 보안 인증을 보안 인증 및 sigv4 보안 인증이라고도 합니다.
IAM ID 센터 API의 GetRole Credentials를 호출하면 권한 세트 보안 인증이 SDK로 반환됩니다. SDK의 클라이언트 객체는 위임된 IAM 역할을 사용하여 AWS 서비스를 호출합니다. 예를 들어 Amazon S3에게 계정의 버킷을 나열하도록 요청합니다. 클라이언트 객체는 권한 설정 세션이 만료될 때까지 해당 권한 집합 보안 인증을 사용하여 계속 작동할 수 있습니다.
세션 만료 및 새로 고침
SSO 토큰 공급자 구성를 사용하는 경우 IAM Identity Center에서 가져온 시간별 액세스 토큰은 새로 고침 토큰을 사용하여 자동으로 새로 고쳐집니다.
-
SDK가 액세스 토큰을 사용하려고 할 때 액세스 토큰이 만료되면 SDK는 새로 고침 토큰을 사용하여 새 액세스 토큰을 가져오려고 합니다. IAM ID 센터는 새로 고침 토큰을 IAM ID 센터 액세스 포털 세션 기간과 비교합니다. 새로 고침 토큰이 만료되지 않은 경우 IAM ID 센터는 다른 액세스 토큰으로 응답합니다.
-
이 액세스 토큰은 기존 클라이언트의 권한 설정 세션을 새로 고치거나 새 클라이언트의 보안 인증을 확인하는 데 사용할 수 있습니다.
하지만 IAM Identity Center 액세스 포털 세션이 만료되면 새 액세스 토큰이 부여되지 않습니다. 따라서 권한 세트 기간은 갱신할 수 없습니다. 캐시된 권한 세트 세션 기간이 초과되면 기존 클라이언트가 만료되고 액세스를 하지 못합니다.
새 클라이언트를 생성하는 모든 코드는 IAM Identity Center 세션이 만료되는 즉시 인증에 실패합니다. 권한 세트 보안 인증이 캐시되지 않기 때문입니다. 유효한 액세스 토큰을 확보하기 전까지는 코드를 사용하여 새 클라이언트를 만들고 보안 인증 확인 프로세스를 완료할 수 없습니다.
요약하자면, SDK에 새 권한 집합 보안 인증이 필요한 경우 SDK는 먼저 유효한 기존 보안 인증을 확인하고 이를 사용합니다. 이는 보안 인증이 새 클라이언트용이든 보안 인증이 만료된 기존 클라이언트용이든 상관없이 적용됩니다. 보안 인증을 찾을 수 없거나 유효하지 않은 경우 SDK는 IAM Identity Center API를 호출하여 새 보안 인증을 가져옵니다. API를 호출하려면 액세스 토큰이 필요합니다. 액세스 토큰이 만료되면 SDK는 새로 고침 토큰을 사용하여 IAM Identity Center 서비스로부터 새 액세스 토큰을 가져오려고 시도합니다. 이 토큰은 IAM Identity Center 액세스 포털 세션이 만료되지 않은 경우 부여됩니다.
