애플리케이션에 대한 액세스 제어 ID 정보 공유 AWS 관리형 애플리케이션 사용 제한

AWS 관리형 애플리케이션

AWS IAM Identity Center 는 작업 인력 사용자를 Amazon Q Developer 및 Amazon QuickSight와 같은 AWS 관리형 애플리케이션에 연결하는 작업을 간소화하고 간소화합니다. IAM Identity Center를 사용하면 기존 ID 제공업체를 한 번 연결하고 디렉터리에서 사용자와 그룹을 동기화하거나 IAM Identity Center에서 직접 사용자를 생성하고 관리할 수 있습니다. IAM Identity Center는 페더레이션 포인트가 하나 이상이어서 각 애플리케이션에 대한 페더레이션 또는 사용자 및 그룹 동기화를 설정할 필요가 없고 관리 작업을 줄여줍니다. 또한 사용자 및 그룹 할당에 대한 일반적인 보기도 얻을 수 있습니다.

IAM Identity Center에서 작동하는 AWS 애플리케이션 표는 섹션을 참조하세요AWS IAM Identity Center와 함께 사용할 수 있는 관리형 애플리케이션.

AWS 관리형 애플리케이션에 대한 액세스 제어

AWS 관리형 애플리케이션에 대한 액세스는 두 가지 방법으로 제어됩니다.

애플리케이션에 대한 초기 항목

IAM Identity Center가 애플리케이션에 대한 할당을 통해 이를 관리합니다. 기본적으로 AWS 관리형 애플리케이션에는 할당이 필요합니다. 애플리케이션 관리자인 경우 애플리케이션에 할당이 필요한지 여부를 선택할 수 있습니다.

할당이 필요한 경우 사용자가 AWS 액세스 포털에 로그인하면 애플리케이션에 직접 또는 그룹 할당을 통해 할당된 사용자만 애플리케이션 타일을 볼 수 있습니다.

할당이 필요하지 않은 경우 모든 IAM Identity Center 사용자가 애플리케이션을 사용하도록 허용할 수 있습니다. 이 경우 애플리케이션은 리소스에 대한 액세스를 관리하고 AWS 액세스 포털항목을 방문하는 모든 사용자에게 애플리케이션 타일이 표시됩니다.

중요
IAM Identity Center 관리자인 경우 IAM Identity Center 콘솔을 사용하여 AWS 관리형 애플리케이션에 대한 할당을 제거할 수 있습니다. 할당을 제거하기 전에 애플리케이션 관리자와 협의하는 것이 좋습니다. 할당이 필요한지 여부를 결정하는 설정을 수정하거나 애플리케이션 할당을 자동화하려는 경우에도 애플리케이션 관리자와 협의해야 합니다.
애플리케이션 리소스에 대한 액세스

애플리케이션이 제어하는 독립적인 리소스 할당을 통해 이를 관리합니다.

AWS 관리형 애플리케이션은 애플리케이션 리소스에 대한 액세스를 관리하는 데 사용할 수 있는 관리 사용자 인터페이스를 제공합니다. 예를 들어 QuickSight 관리자는 그룹 멤버십에 따라 대시보드에 액세스할 사용자를 할당할 수 있습니다. 또한 대부분의 AWS 관리형 애플리케이션은 애플리케이션에 사용자를 할당할 수 있는 AWS Management Console 환경을 제공합니다. 이러한 애플리케이션의 콘솔 환경은 두 기능을 통합하여 사용자 할당 기능과 애플리케이션 리소스에 대한 액세스 관리 기능을 결합할 수 있습니다.

ID 정보 공유

에서 자격 증명 정보를 공유하기 위한 고려 사항 AWS 계정

IAM Identity Center는 여러 애플리케이션에서 가장 일반적으로 사용되는 속성을 지원합니다. 이러한 속성에는 이름과 성, 전화번호, 이메일 주소, 주소, 선호 언어 등이 포함됩니다. 이 개인 식별 정보를 사용할 수 있는 애플리케이션과 계정을 신중히 고려하세요.

다음 방법 중 하나로 이 정보에 대한 액세스를 제어할 수 있습니다.

AWS Organizations 관리 계정 또는의 모든 계정에서만 액세스를 활성화하도록 선택할 수 있습니다 AWS Organizations.
혹은 서비스 제어 정책(SCP)을 사용하여 어떤 애플리케이션이 AWS Organizations에 있는 어떤 계정의 정보에 액세스할 수 있는지 제어할 수 있습니다.

예를 들어 AWS Organizations 관리 계정에서만 액세스를 활성화하면 멤버 계정의 애플리케이션은 정보에 액세스할 수 없습니다. 하지만 모든 계정에서 액세스를 활성화하면, SCP를 사용해 허용하려는 애플리케이션을 제외한 모든 애플리케이션의 액세스를 허용하지 않을 수 있습니다.

서비스 제어 정책은의 기능입니다 AWS Organizations. SCP 연결에 대한 지침은 AWS Organizations 사용 설명서의 서비스 제어 정책 연결 및 분리를 참조하세요.

ID 정보를 공유하도록 IAM Identity Center 구성

IAM Identity Center는 로그인 보안 인증 정보를 제외한 사용자 및 그룹 속성이 포함된 ID 저장소를 제공합니다. 다음 방법 중 하나를 사용하여 IAM Identity Center ID 스토어의 사용자 및 그룹을 최신 상태로 유지할 수 있습니다.

IAM Identity Center ID 스토어를 기본 ID 소스로 사용하세요. 이 방법을 선택하면 IAM Identity Center 콘솔 또는 AWS Command Line Interface () 내에서 사용자, 로그인 자격 증명 및 그룹을 관리합니다AWS CLI. 자세한 내용은 IAM Identity Center에서 ID 관리 단원을 참조하십시오.
다음 ID 소스 중 하나에서 들어오는 사용자 및 그룹을 IAM Identity Center ID 저장소에 프로비저닝(동기화)하도록 설정합니다.
- Active Directory - 자세한 내용은 Microsoft AD 디렉터리에 연결의 내용을 참조하세요.
- 외부 ID 제공업체 - 자세한 내용은 외부 ID 제공업체 관리의 내용을 참조하세요.
이 프로비저닝 방법을 선택하면 ID 소스 내에서 사용자와 그룹을 계속 관리할 수 있으며 이러한 변경 사항은 IAM Identity Center ID 스토어에 동기화됩니다.

어떤 자격 증명 소스를 선택하든 IAM Identity Center는 사용자 및 그룹 정보를 AWS 관리형 애플리케이션과 공유할 수 있습니다. 이를 통해 ID 소스를 IAM Identity Center에 한 번 연결한 다음 AWS 클라우드의 여러 애플리케이션과 ID 정보를 공유할 수 있습니다. 따라서 각 애플리케이션과 페더레이션 및 ID 프로비저닝을 개별적으로 설정할 필요가 없습니다. 또한 이 공유 기능을 사용하면 사용자에게 서로 다른 AWS 계정의 여러 애플리케이션에 대한 액세스 권한을 쉽게 부여할 수 있습니다.

AWS 관리형 애플리케이션 사용 제한

IAM Identity Center를 처음 활성화하면에서의 모든 계정에서 AWS 관리형 애플리케이션을 자동으로 사용할 수 AWS 있습니다 AWS Organizations. 애플리케이션을 제한하려면 서비스 제어 정책(SCP)을 구현해야 합니다. SCP는 조직의 ID(사용자 및 역할)이 보유할 수 있는 최대 권한을 중앙에서 제어하는 데 사용할 수 있는 AWS Organizations 의 기능입니다. SCP를 사용하여 IAM Identity Center 사용자 및 그룹 정보에 대한 액세스를 차단하고 지정된 계정을 제외하고는 애플리케이션이 시작되지 않도록 할 수 있습니다. 자세한 내용은 AWS Organizations 사용 설명서의 서비스 제어 정책(SCP)을 참조하세요.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

애플리케이션 액세스

IAM Identity Center와 함께 사용할 수 있는 애플리케이션