기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS 관리형 애플리케이션
<a name="awsapps"></a>

AWS IAM Identity Center 는 인력 사용자를 Kiro 및 Amazon Quick과 같은 AWS 관리형 애플리케이션에 연결하는 작업을 간소화하고 간소화합니다. IAM Identity Center를 사용하면 기존 ID 제공업체를 한 번 연결하고 디렉터리에서 사용자와 그룹을 동기화하거나 IAM Identity Center에서 직접 사용자를 생성하고 관리할 수 있습니다. IAM Identity Center는 페더레이션 포인트가 하나 이상이어서 각 애플리케이션에 대한 페더레이션 또는 사용자 및 그룹 동기화를 설정할 필요가 없고 관리 작업을 줄여줍니다. 또한 [사용자 및 그룹 할당에 대한 일반적인 보기](howtoviewandchangepermissionset.md)도 얻을 수 있습니다.

IAM Identity Center에서 작동하는 AWS 애플리케이션 표는 섹션을 참조하세요[AWS IAM Identity Center와 함께 사용할 수 있는 관리형 애플리케이션](awsapps-that-work-with-identity-center.md).

## AWS 관리형 애플리케이션에 대한 액세스 제어
<a name="awsapps-controlling-access"></a>

 AWS 관리형 애플리케이션에 대한 액세스는 다음 두 가지 방법으로 제어됩니다.
+ **애플리케이션에 대한 초기 항목** 

  IAM Identity Center가 애플리케이션에 대한 할당을 통해 이를 관리합니다. 기본적으로 AWS 관리형 애플리케이션에는 할당이 필요합니다. 애플리케이션 관리자인 경우 애플리케이션에 할당이 필요한지 여부를 선택할 수 있습니다.

  할당이 필요한 경우 사용자가 AWS 액세스 포털에 로그인하면 애플리케이션에 직접 또는 그룹 할당을 통해 할당된 사용자만 애플리케이션 타일을 볼 수 있습니다.

  할당이 필요하지 않은 경우 모든 IAM Identity Center 사용자가 애플리케이션을 사용하도록 허용할 수 있습니다. 이 경우 애플리케이션은 리소스에 대한 액세스를 관리하고 AWS 액세스 포털항목을 방문하는 모든 사용자에게 애플리케이션 타일이 표시됩니다.
**중요**  
IAM Identity Center 관리자인 경우 IAM Identity Center 콘솔을 사용하여 AWS 관리형 애플리케이션에 대한 할당을 제거할 수 있습니다. 할당을 제거하기 전에 애플리케이션 관리자와 협의하는 것이 좋습니다. 할당이 필요한지 여부를 결정하는 설정을 수정하거나 애플리케이션 할당을 자동화하려는 경우에도 애플리케이션 관리자와 협의해야 합니다.
+ **애플리케이션 리소스에 대한 액세스**

   애플리케이션이 제어하는 독립적인 리소스 할당을 통해 이를 관리합니다.

AWS 관리형 애플리케이션은 애플리케이션 리소스에 대한 액세스를 관리하는 데 사용할 수 있는 관리 사용자 인터페이스를 제공합니다. 예를 들어 빠른 관리자는 그룹 멤버십을 기반으로 대시보드에 액세스할 사용자를 할당할 수 있습니다. 또한 대부분의 AWS 관리형 애플리케이션은 애플리케이션에 사용자를 할당할 수 있는 AWS Management Console 환경을 제공합니다. 이러한 애플리케이션의 콘솔 환경은 두 기능을 통합하여 사용자 할당 기능과 애플리케이션 리소스에 대한 액세스 관리 기능을 결합할 수 있습니다.

## ID 정보 공유
<a name="app-enablement"></a>

### 에서 자격 증명 정보를 공유하기 위한 고려 사항 AWS 계정
<a name="considerations-app-enablement"></a>

IAM Identity Center는 여러 애플리케이션에서 가장 일반적으로 사용되는 속성을 지원합니다. 이러한 속성에는 이름과 성, 전화번호, 이메일 주소, 주소, 선호 언어 등이 포함됩니다. 이 개인 식별 정보를 사용할 수 있는 애플리케이션과 계정을 신중히 고려하세요.

다음 방법 중 하나로 이 정보에 대한 액세스를 제어할 수 있습니다.
+  AWS Organizations 관리 계정 또는의 모든 계정에서만 액세스를 활성화하도록 선택할 수 있습니다 AWS Organizations.
+ 혹은 서비스 제어 정책(SCP)을 사용하여 어떤 애플리케이션이 AWS Organizations에 있는 어떤 계정의 정보에 액세스할 수 있는지 제어할 수 있습니다.

예를 들어 AWS Organizations 관리 계정에서만 액세스를 활성화하면 멤버 계정의 애플리케이션은 정보에 액세스할 수 없습니다. 하지만 모든 계정에서 액세스를 활성화하면, SCP를 사용해 허용하려는 애플리케이션을 제외한 모든 애플리케이션의 액세스를 허용하지 않을 수 있습니다.

서비스 제어 정책은의 기능입니다 AWS Organizations. SCP 연결에 대한 지침은 **AWS Organizations 사용 설명서의 [서비스 제어 정책 연결 및 분리](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)를 참조하세요.

### ID 정보를 공유하도록 IAM Identity Center 구성
<a name="configure-app-enablement"></a>

IAM Identity Center는 로그인 보안 인증 정보를 제외한 사용자 및 그룹 속성이 포함된 ID 저장소를 제공합니다. 다음 방법 중 하나를 사용하여 IAM Identity Center ID 스토어의 사용자 및 그룹을 최신 상태로 유지할 수 있습니다.
+ IAM Identity Center ID 스토어를 기본 ID 소스로 사용하세요. 이 방법을 선택하면 IAM Identity Center 콘솔 또는 AWS Command Line Interface () 내에서 사용자, 로그인 자격 증명 및 그룹을 관리합니다AWS CLI. 자세한 내용은 [Identity Center 디렉터리에서 사용자 관리](manage-your-identity-source-sso.md) 단원을 참조하십시오.
+ 다음 ID 소스 중 하나에서 들어오는 사용자 및 그룹을 IAM Identity Center ID 저장소에 프로비저닝(동기화)하도록 설정합니다.
  + **Active Directory** - 자세한 내용은 [Microsoft AD 디렉터리](manage-your-identity-source-ad.md)의 내용을 참조하세요.
  + **외부 ID 제공업체** - 자세한 내용은 [외부 ID 제공업체](manage-your-identity-source-idp.md)의 내용을 참조하세요.

  이 프로비저닝 방법을 선택하면 ID 소스 내에서 사용자와 그룹을 계속 관리할 수 있으며 이러한 변경 사항은 IAM Identity Center ID 스토어에 동기화됩니다.

어떤 ID 소스를 선택하든 IAM Identity Center는 사용자 및 그룹 정보를 AWS 관리형 애플리케이션과 공유할 수 있습니다. 이를 통해 ID 소스를 IAM Identity Center에 한 번 연결한 다음 AWS 클라우드의 여러 애플리케이션과 ID 정보를 공유할 수 있습니다. 따라서 각 애플리케이션과 페더레이션 및 ID 프로비저닝을 개별적으로 설정할 필요가 없습니다. 또한 이 공유 기능을 사용하면 사용자에게 서로 다른 AWS 계정의 여러 애플리케이션에 대한 액세스 권한을 쉽게 부여할 수 있습니다.

## AWS 관리형 애플리케이션 사용 제한
<a name="awsapps-constrain"></a>

IAM Identity Center를 처음 활성화하면 AWS Organizations의 모든 계정에서 AWS 관리형 애플리케이션을 위한 ID 소스로 사용할 수 있게 됩니다. 애플리케이션을 제한하려면 서비스 제어 정책(SCP)을 구현해야 합니다. SCPs는 조직의 자격 증명(사용자 및 역할)이 가질 수 AWS Organizations 있는 최대 권한을 중앙에서 제어하는 데 사용할 수 있는의 기능입니다. SCP를 사용하여 IAM Identity Center 사용자 및 그룹 정보에 대한 액세스를 차단하고 지정된 계정을 제외하고는 애플리케이션이 시작되지 않도록 할 수 있습니다. 자세한 내용은 *AWS Organizations 사용 설명서*의 [서비스 제어 정책(SCP)](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps.html)을 참조하세요.

다음 SCP 예시는 IAM Identity Center 사용자 및 그룹 정보에 대한 액세스를 차단하고 지정된 계정(111111111111 및 222222222222)을 제외하고는 애플리케이션이 시작되지 않도록 합니다.

```
{
  "Sid": "DenyIdCExceptInDesignatedAWSAccounts",
  "Effect": "Deny",
  "Action": [
    "identitystore:*",
    "sso:*",
    "sso-directory:*",
    "sso-oauth:*"
  ],
  "Resource": "*",
  "Condition": {
    "StringNotEquals": {
      "aws:PrincipalAccount": [
        "111111111111",
        "222222222222"
      ]
    }
  }
}
```