필수 조건 및 고려 사항 - AWS IAM Identity Center
선택 시 고려 사항 AWS 리전IAM ID 센터에서 생성한 IAM 역할의 할당량IAM 아이덴티티 센터 및 AWS Organizations

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

필수 조건 및 고려 사항

다음 주제에서는 IAM Identity Center를 설정하기 위한 사전 요구 사항 및 기타 고려 사항에 대한 정보를 제공합니다.

선택 시 고려 사항 AWS 리전

원하는 대로 지원되는 AWS 리전 단일 인스턴스에서 IAM Identity Center 인스턴스를 활성화할 수 있습니다. 지역을 선택하려면 사용 사례 및 회사 정책을 기반으로 우선 순위를 평가해야 합니다. IAM Identity Center에서의 클라우드 애플리케이션 액세스는 이 선택에 좌우되지 않습니다. 하지만 AWS 관리형 애플리케이션에 대한 액세스와 ID AWS Managed Microsoft AD 소스로 사용할 수 있는지는 이 선택에 따라 달라질 수 있습니다. AWS 계정 AWS IAM ID 센터가 지원하는 지역 목록은 의 IAM ID 센터 엔드포인트 및 할당량을 참조하십시오. AWS 일반 참조

선택 시 주요 고려 사항. AWS 리전

  • 지리적 위치 — 대부분의 최종 사용자와 지리적으로 가장 가까운 지역을 선택하면 액세스 포털 및 Amazon과 같은 AWS 관리형 애플리케이션에 대한 액세스 지연 시간이 짧아집니다. AWS SageMaker Studio

  • AWS 관리형 애플리케이션의 가용성 — SageMaker Amazon과 같은 AWS 관리형 애플리케이션은 지원하는 애플리케이션에서만 작동할 수 있습니다. AWS 리전 함께 사용하려는 AWS 관리형 애플리케이션이 지원되는 지역에서 IAM Identity Center를 활성화하십시오. 또한 많은 AWS 관리형 애플리케이션은 IAM Identity Center를 활성화한 지역과 동일한 지역에서만 작동할 수 있습니다.

  • 디지털 주권 — 디지털 주권 규정 또는 회사 정책에 따라 특정 항목의 사용이 의무화될 수 있습니다. AWS 리전회사의 법무 부서에 문의하십시오.

  • ID 소스 — ID 소스로 AD Connector를 사용하는 AWS Managed Microsoft AD 경우 해당 홈 지역은 IAM Identity Center를 활성화한 지역과 일치해야 합니다. AWS 리전

  • 기본적으로 비활성화된 리전 — AWS 원래는 기본적으로 모든 리전에서 새 AWS 리전 리전을 사용할 수 있도록 기본 설정되어 있었으며, 이를 통해 사용자가 어느 지역에서든 리소스를 자동으로 생성할 수 있게 되었습니다. AWS 계정 이제 새 지역을 AWS 추가하면 모든 계정에서 기본적으로 해당 지역 사용이 비활성화됩니다. 기본적으로 비활성화된 지역에 IAM Identity Center를 배포하는 경우 IAM Identity Center에 대한 액세스를 관리하려는 모든 계정에서 이 지역을 활성화해야 합니다. 이는 해당 계정에서 해당 리전에 리소스를 생성할 계획이 없는 경우에도 필요합니다.

    조직의 현재 계정에 대해 지역을 활성화할 수 있으며 나중에 추가할 수 있는 새 계정에 대해서도 이 작업을 반복해야 합니다. 지침은 사용 AWS Organizations 설명서의 조직 내 지역 활성화 또는 비활성화를 참조하십시오. 이러한 추가 단계가 반복되지 않도록 기본적으로 활성화된 지역에 IAM Identity Center를 배포하도록 선택할 수 있습니다. 참고로, 다음 지역은 기본적으로 활성화되어 있습니다.

    • 미국 동부(오하이오)

    • 미국 동부(버지니아 북부)

    • 미국 서부(오리건)

    • 미국 서부(캘리포니아 북부)

    • 유럽(파리)

    • 남아메리카(상파울루)

    • 아시아 태평양(뭄바이)

    • 유럽(스톡홀름)

    • 아시아 태평양(서울)

    • 아시아 태평양(도쿄)

    • 유럽(아일랜드)

    • 유럽(프랑크푸르트)

    • 유럽(런던)

    • 아시아 태평양(싱가포르)

    • 아시아 태평양(시드니)

    • 캐나다(중부)

    • 아시아 태평양(오사카)

  • 지역 간 통화 — 일부 지역에서는 IAM ID 센터가 다른 지역의 Amazon Simple Email Service를 호출하여 이메일을 보낼 수 있습니다. 이러한 지역 간 통화에서 IAM Identity Center는 특정 사용자 속성을 다른 지역으로 전송합니다. 리전에 대한 자세한 내용은 섹션을 참조하세요AWS IAM Identity Center 지역 이용 가능 여부

전환 AWS 리전

현재 인스턴스를 삭제하고 다른 지역에 새 인스턴스를 생성해야만 IAM ID 센터 지역을 전환할 수 있습니다. 기존 AWS 인스턴스로 관리형 애플리케이션을 이미 활성화한 경우, IAM Identity Center를 삭제하기 전에 먼저 관리형 애플리케이션을 삭제해야 합니다. 새 인스턴스에서 사용자, 그룹, 권한 집합, 애플리케이션 및 할당을 다시 생성해야 합니다. IAM Identity Center 계정과 애플리케이션 할당 API를 사용하여 구성의 스냅샷을 가져온 다음 해당 스냅샷을 사용하여 새 지역에서 구성을 재구축할 수 있습니다. 새 인스턴스의 관리 콘솔을 통해 일부 IAM ID 센터 구성을 다시 생성해야 할 수도 있습니다. IAM ID 센터 삭제에 대한 지침은 을 참조하십시오. IAM ID 센터 인스턴스를 삭제합니다.

IAM ID 센터에서 생성한 IAM 역할의 할당량

IAM Identity Center는 IAM 역할을 생성하여 사용자에게 리소스에 대한 권한을 제공합니다. 권한 세트를 할당하면 IAM Identity Center가 각 계정에 해당되는 IAM Identity Center 제어 역할을 생성하고 권한 세트에 지정된 정책을 해당 역할에 연결합니다. IAM Identity Center는 역할을 관리하고, 액세스 포털 또는 액세스 포털을 사용하여 정의한 인증된 사용자가 역할을 맡을 수 있도록 합니다. AWS AWS CLI권한 세트를 수정하면 IAM Identity Center에서 해당 IAM 정책 및 역할이 그에 따라 업데이트되도록 합니다.

IAM 역할을 이미 구성한 경우 계정이 IAM 역할 할당량에 근접하고 있는지 확인하는 것이 좋습니다. AWS 계정계정당 IAM 역할의 기본 할당량은 역할 1,000개입니다. 자세한 내용은 IAM 객체 할당량을 참조하세요.

할당량에 근접하고 있으면 할당량 증가를 요청해 보세요. 할당량을 증가시키지 않으면 IAM 역할 할당량을 초과한 계정에 권한 세트를 프로비저닝할 때 IAM Identity Center에 문제가 발생할 수 있습니다. 할당량 증가 요청에 대한 자세한 정보는 Service Quotas 사용 설명서할당량 증가 요청을 참조하세요.

참고

이미 IAM Identity Center를 사용하는 계정의 IAM 역할을 검토하는 경우 역할 이름이 “AWSReservedSSO_”로 시작하는 것을 알 수 있습니다. 이러한 역할은 IAM Identity Center 서비스가 계정에 생성한 역할로, 계정에 권한 세트를 할당하여 만들어졌습니다.

IAM 아이덴티티 센터 및 AWS Organizations

AWS Organizations IAM ID 센터와 함께 사용하는 것이 좋지만 필수는 아닙니다. 조직을 설정하지 않았어도 설정할 필요는 없습니다. IAM ID 센터를 활성화할 때 서비스를 활성화할지 여부를 선택하게 됩니다. AWS Organizations조직을 설정하면 조직을 설정한 사용자가 AWS 계정 해당 조직의 관리 계정이 됩니다. AWS 계정 의 루트 사용자는 이제 조직 관리 계정의 소유자입니다. 조직에 추가로 AWS 계정 초대하는 것은 모두 회원 계정입니다. 관리 계정은 조직 리소스, 조직 단위 및 구성원 계정을 관리하는 정책을 생성합니다. 권한은 관리 계정에 의해 구성원 계정에 위임됩니다.

참고

IAM ID 센터의 조직 인스턴스를 생성하는 방법으로 IAM ID 센터를 활성화하는 것이 좋습니다. AWS Organizations조직 인스턴스는 IAM Identity Center의 모든 기능을 지원하고 중앙 관리 기능을 제공하므로 권장되는 모범 사례입니다. 자세한 정보는 IAM Identity Center의 조직 및 계정 인스턴스 관리을 참조하세요.

IAM Identity Center를 이미 AWS Organizations 설정했고 조직에 추가하려는 경우 모든 AWS Organizations 기능이 활성화되어 있는지 확인하십시오. 조직을 생성할 때 모든 기능 활성화가 기본값입니다. 자세한 내용은AWS Organizations 사용 설명서에서 조직 내 모든 기능 활성화를 참조하세요.

IAM Identity Center를 활성화하려면 관리 자격 증명이 있는 사용자 또는 루트 사용자로 AWS Organizations 관리 계정에 로그인하여 로그인해야 합니다. 다른 관리자가 없는 한 사용하지 않는 것이 좋습니다. AWS Management Console AWS Organizations 회원 계정의 관리자 자격 증명으로 로그인한 상태에서는 IAM Identity Center를 활성화할 수 없습니다. 자세한 내용은 AWS Organizations 사용 설명서의 AWS 조직 생성 및 관리를 참조하십시오.

관리에 대한 자세한 내용은 AWS Organizations다음을 참조하십시오.