액세스 제어를 위한 속성 활성화 및 구성 - AWS IAM Identity Center
액세스 제어에 속성 활성화속성 선택액세스 제어의 속성 비활성화

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

액세스 제어를 위한 속성 활성화 및 구성

모든 ABAC 경우에 사용하려면 먼저 Identity Center 콘솔 또는 IAM Identity ABAC Center를 사용하여 활성화해야 API 합니다. IAM IAMIdentity Center를 사용하여 속성을 선택하려면 Identity Center 콘솔 또는 IAM Identity Center에서 액세스 제어를 위한 속성 페이지를 사용합니다API. IAM 외부 ID 공급자 (IdP) 를 ID 소스로 사용하고 SAML 어설션을 통해 속성을 보내도록 선택한 경우 속성을 전달하도록 IdP를 구성합니다. SAML어설션이 이러한 속성 중 하나를 통과하면 Identity Center는 속성 값을 IAM Identity Center ID 저장소의 값으로 대체합니다. IAM 사용자가 자신의 계정으로 페더레이션할 때 IAM Identity Center에 구성된 속성만 액세스 제어 결정을 내리기 위해 전송됩니다.

참고

IAMIdentity Center 콘솔의 액세스 제어 속성 페이지에서는 외부 IdP가 구성하고 전송한 속성을 볼 수 없습니다. 외부 IdP의 SAML 어설션에 액세스 제어 속성을 전달하는 경우 사용자가 페더레이션할 AWS 계정 때 해당 속성이 직접 전송됩니다. 속성은 IAM Identity Center에서 매핑에 사용할 수 없습니다.

액세스 제어에 속성 활성화

IAMIdentity Center 콘솔을 사용하여 액세스 (ABAC) 제어 기능을 위한 속성을 활성화하려면 다음 절차를 따르십시오.

참고

기존 권한 집합이 있고 IAM Identity Center ABAC 인스턴스에서 활성화하려는 경우 추가 보안 제한 사항을 적용하려면 먼저 iam:UpdateAssumeRolePolicy 정책을 적용해야 합니다. 계정에 권한 집합을 생성하지 않은 경우에는 이러한 추가 보안 제한이 필요하지 않습니다.

액세스 제어의 속성을 활성화하려면

  1. IAMID 센터 콘솔을 엽니다.

  2. 설정을 선택합니다.

  3. 설정 페이지에서 액세스 제어 정보의 속성 정보 상자를 찾은 다음 활성화를 선택합니다. 다음 절차를 계속 진행하여 구성합니다.

속성 선택

다음 절차를 사용하여 ABAC 구성 속성을 설정합니다.

IAMIdentity Center 콘솔을 사용하여 속성을 선택하려면

  1. IAMID 센터 콘솔을 엽니다.

  2. 설정을 선택합니다.

  3. 설정 페이지에서 액세스 제어용 속성 탭을 선택한 다음 속성 관리를 선택합니다.

  4. 액세스 제어 속성 페이지에서 속성 추가를 선택하고 세부 정보를 입력합니다. 여기에서 ID 소스에서 가져온 속성을 Identity Center가 IAM 세션 태그로 전달하는 속성에 매핑합니다.

    IAMID 센터 콘솔의 키 값 세부 정보.

    는 정책에 사용하기 위해 속성에 부여하는 이름을 나타냅니다. 이 이름은 임의의 이름일 수 있지만 액세스 제어를 위해 작성하는 정책에 정확한 이름을 지정해야 합니다. 예를 들어 Okta(외부 IdP)를 ID 소스로 사용하고 있으며 조직의 비용 센터 데이터를 세션 태그와 함께 전달해야 한다고 가정해 보겠습니다. 키에는 키 이름과 비슷하게 일치하는 이름을 입력합니다. CostCenter 여기서 어떤 이름을 선택하든 이름은 aws:PrincipalTag 조건 키(즉, "ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}")에서도 정확하게 같은 이름이어야 한다는 점에 유의해야 합니다.

    참고

    키에는 단일 값 속성을 사용합니다(예:)Manager. IAMIdentity Center는 예를 들어ABAC, Manager, IT Systems 다중 값 속성을 지원하지 않습니다.

    은 구성된 ID 소스에서 가져온 속성의 내용을 나타냅니다. 여기에 AWS Managed Microsoft AD 디렉터리의 속성 매핑에 나열된 해당 ID 소스 테이블의 모든 값을 입력할 수 있습니다. 예를 들어, 위에서 언급한 예제에 제공된 컨텍스트를 사용하여 지원되는 IdP 속성 목록을 검토하고 지원되는 속성과 가장 근접하게 일치하는 항목이 ${path:enterprise.costCenter}인지 확인한 다음 필드에 입력합니다. 참조는 위에 제공된 스크린샷을 참조하세요. 단, 어설션을 통해 속성을 전달하는 옵션을 사용하지 ABAC 않는 한 이 목록 외부의 IdP 속성 값은 사용할 수 없습니다. SAML

  5. Save changes(변경 사항 저장)를 선택합니다.

이제 액세스 제어 속성 매핑을 구성했으므로 구성 프로세스를 완료해야 합니다. ABAC 이렇게 하려면 ABAC 규칙을 만들어 권한 집합 및/또는 리소스 기반 정책에 추가하십시오. 이는 사용자 ID에 AWS 리소스에 대한 액세스 권한을 부여하기 위해 필요합니다. 자세한 내용은 IAMIdentity ABAC Center에 대한 권한 정책 생성 단원을 참조하세요.

액세스 제어의 속성 비활성화

다음 절차에 따라 ABAC 기능을 비활성화하고 구성된 모든 속성 매핑을 삭제하십시오.

액세스 제어의 속성을 비활성화하려면

  1. IAMID 센터 콘솔을 엽니다.

  2. 설정을 선택합니다.

  3. 설정 페이지에서 액세스 제어 속성 탭을 선택한 다음 비활성화를 선택합니다.

  4. 액세스 제어 속성 비활성화 대화 상자에서 정보를 검토하고 준비가 DELETE 되면 입력한 다음 확인을 선택합니다.

    중요

    이 단계는 구성된 모든 속성을 삭제합니다. 일단 삭제되면 ID 소스에서 받은 모든 속성과 이전에 구성한 사용자 지정 속성은 전달되지 않습니다.