Verified Access 그룹을 다른 와 공유 AWS 계정 - AWS 확인된 액세스
고려 사항리소스 공유

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Verified Access 그룹을 다른 와 공유 AWS 계정

소유한 Verified Access 그룹을 다른 AWS 계정과 공유하는 경우 해당 계정이 그룹에서 Verified Access 엔드포인트를 생성하도록 활성화합니다. 에서 Verified Access 그룹을 생성한 계정을 소유자 계정이라고 합니다. 공유 그룹을 사용하는 계정을 소비자 계정이라고 합니다.

다음 다이어그램은 Verified Access 그룹 공유의 이점을 보여줍니다. 중앙 보안 팀은 계정 A를 소유합니다. 에서 사용자 및 그룹을 관리하고 Verified Access 신뢰 공급자, Verified Access 인스턴스, Verified Access 그룹 및 Verified Access 정책과 같은 내부 애플리케이션에 대한 액세스를 제공하는 데 필요한 Verified Access 리소스를 AWS IAM Identity Center관리합니다. 애플리케이션 팀은 계정 B를 소유합니다. 로드 밸런서, Auto Scaling 그룹, Amazon Route 53의 DNS 구성, AWS Certificate Manager ()의 TLS 인증서 등 내부 애플리케이션을 실행하는 데 필요한 리소스를 관리합니다ACM. 중앙 보안 팀이 Verified Access 그룹을 계정 B와 공유한 후 애플리케이션 팀은 공유 그룹을 사용하여 Verified Access 엔드포인트를 생성할 수 있습니다. 중앙 보안 팀이 Verified Access 그룹에 대해 생성한 정책에 따라 애플리케이션에 대한 액세스가 허용되거나 거부됩니다.

조직의 계정 간에 Verified Access 그룹 공유.

고려 사항

공유 Verified Access 그룹에는 다음 고려 사항이 적용됩니다.

소유자

  • Verified Access 그룹을 공유하려면 사용자에게 ec2:PutResourcePolicy 및 권한이 있어야 합니다ec2:DeleteResourcePolicy.

  • Verified Access 그룹을 공유하려면 해당 그룹을 소유해야 합니다. 공유된 Verified Access 그룹은 공유할 수 없습니다.

  • 조직의 계정과 공유를 활성화하면 초대를 사용하지 않고 Verified Access 그룹과 같은 리소스를 공유할 수 있습니다. 그렇지 않으면 소비자가 초대를 받고 공유 그룹에 액세스하려면 초대를 수락해야 합니다. 공유를 활성화하려면 조직의 관리 계정에서 AWS RAM 콘솔의 설정 페이지를 열고 와의 공유 활성화 AWS Organizations를 선택합니다.

  • 연결된 Verified Access 엔드포인트가 있는 경우 그룹을 삭제할 수 없습니다. 계정의 Verified Access 엔드포인트 페이지에서 소비자 계정에 의해 생성된 엔드포인트를 볼 수 있습니다. 엔드포인트 소유자의 계정 ID는 엔드포인트에 대한 인증서의 Amazon 리소스 이름(ARN)에 반영됩니다.

소비자

  • 공유된 Verified Access 그룹을 보려면 콘솔에서 Verified Access 그룹 페이지를 열거나 를 호출합니다describe-verified-access-groups. 소유자의 계정 ID는 소유자 필드와 그룹의 Amazon 리소스 이름(ARN)에 반영됩니다.

  • Verified Access 엔드포인트를 생성할 때 공유된 Verified Access 그룹을 지정할 수 있습니다.

  • 공유 그룹과 연결되어 있지만 사용자가 소유하지 않은 엔드포인트는 볼 수 없습니다.

  • Verified Access 그룹의 소유자가 리소스 공유를 삭제하면 그룹에서 새 Verified Access 엔드포인트를 생성할 수 없습니다. 리소스 공유 삭제 전에 생성한 Verified Access 엔드포인트는 리소스 공유 삭제의 영향을 받지 않습니다. 그러나 공유 그룹의 소유자는 엔드포인트를 삭제할 수 있습니다.

리소스 공유

Verified·Access 그룹을 공유하려면 리소스 공유에 추가해야 합니다. 리소스 공유는 공유할 리소스와 공유 리소스를 사용할 수 있는 소비자를 지정합니다.

Verified Access 그룹을 공유하려면

  1. https://console.aws.amazon.com/ram 에서 AWS RAM 콘솔을 엽니다.

  2. 조직에 대한 리소스 공유가 없는 경우 리소스 공유를 생성합니다. 보안 주체의 경우 전체 조직, 조직 단위 또는 특정 AWS 계정을 선택할 수 있습니다.

  3. 리소스 공유를 선택하고 수정을 선택합니다.

  4. 에서 리소스 유형으로 Verified Access GroupsResources선택한 다음 공유할 리소스 그룹을 선택합니다.

  5. 건너뛰기: 검토 및 업데이트를 선택합니다.

  6. 리소스 공유 업데이트를 선택합니다.

자세한 내용은AWS RAM 사용 설명서의 리소스 공유 생성을 참조하세요.