기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# WorkSpaces Personal용 디렉터리 만들기
<a name="launch-workspaces-tutorials"></a>

WorkSpaces Personal에서는 Directory Service를 통해 관리되는 디렉터리를 사용하여 WorkSpaces 및 사용자의 정보를 저장하고 관리합니다. 다음 옵션을 사용하여 WorkSpaces Personal 디렉터리를 만듭니다.
+ Simple AD 디렉터리를 생성합니다.
+ AWS Managed Microsoft AD라고도 하는 Microsoft Active Directory용 AWS Directory Service를 생성합니다.
+ Active Directory Connector를 사용하여 기존 Microsoft Active Directory에 연결합니다.
+ AWS Managed Microsoft AD 디렉터리와 온프레미스 도메인 간에 신뢰 관계를 생성합니다.
+ 전용 Microsoft Entra ID WorkSpaces 디렉터리 만들기
+ 전용 사용자 지정 WorkSpaces 디렉터리를 만듭니다.

**참고**  
공유 디렉터리는 현재 WorkSpaces에서 사용이 지원되지 않습니다.
다중 리전 복제를 위해 AWS Managed Microsoft AD 디렉터리를 구성하는 경우 기본 리전의 디렉터리만 Amazon WorkSpaces에서 사용하도록 등록할 수 있습니다. Amazon WorkSpaces에서 사용하기 위해 복제된 리전에 디렉터리를 등록하려는 시도는 실패합니다. AWS Managed Microsoft AD를 사용한 다중 리전 복제는 복제된 리전 내의 Amazon WorkSpaces에서 사용할 수 없습니다.
Simple AD 및 AD Connector는 WorkSpaces에 무료로 제공됩니다. 연속 30일 동안 Simple AD 또는 AD Connector 디렉터리에 사용 중인 WorkSpaces가 없는 경우 이 디렉터리는 Amazon WorkSpaces에서의 사용이 자동으로 등록 취소되며, [AWS Directory Service 요금 조건](https://aws.amazon.com/directoryservice/pricing/)에 따라 이 디렉터리에 대한 요금이 부과됩니다.

## 디렉터리를 만들기 전에
<a name="prereqs-tutorials"></a>
+ 일부 리전에서는 WorkSpaces를 사용할 수 없습니다. 지원되는 리전을 확인한 후 WorkSpaces용 리전을 선택합니다. 지원되는 리전에 대한 자세한 내용은 [AWS 리전별 WorkSpaces 요금](https://aws.amazon.com/workspaces/pricing/)을 참조하세요.
+ 프라이빗 서브넷을 2개 이상 포함하는 가상 사설 클라우드를 생성합니다. 자세한 내용은 [WorkSpaces Personal를 위한 VPC 구성](amazon-workspaces-vpc.md) 섹션을 참조하세요. VPC는 반드시 가상 프라이빗 네트워크(VPN) 연결이나 Direct Connect을(를) 통해 온프레미스 네트워크에 연결되어야 합니다. 자세한 내용은 **AWS Directory Service 관리 안내서의 [AD Connector 사전 조건](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/prereq_connector.html)을 참조하세요.
+ WorkSpace에서 인터넷 액세스를 제공합니다. 자세한 내용은 [WorkSpaces Personal에 인터넷 액세스 제공](amazon-workspaces-internet-access.md) 섹션을 참조하세요.

빈 디렉터리를 삭제하는 방법에 대한 자세한 정보는 [WorkSpaces Personal용 디렉터리 삭제](delete-workspaces-directory.md) 섹션을 참조하세요. Simple AD 또는 AD Connector 디렉터리를 삭제한 경우 WorkSpaces를 다시 사용하고 싶을 때 언제든지 새 디렉터리를 생성할 수 있습니다.

**Topics**
+ [디렉터리를 만들기 전에](#prereqs-tutorials)
+ [WorkSpaces Personal 디렉터리의 컴퓨터 이름 식별](wsp-directory-identify-computer.md)
+ [WorkSpaces Personal용 AWS Managed Microsoft AD 디렉터리 만들기](launch-workspace-microsoft-ad.md)
+ [WorkSpaces Personal용 Simple AD 디렉터리 만들기](launch-workspace-simple-ad.md)
+ [WorkSpaces Personal용 AD 커넥터 만들기](launch-workspace-ad-connector.md)
+ [AWS Managed Microsoft AD 디렉터리와 WorkSpaces Personal용 온프레미스 도메인 간에 신뢰 관계를 만듭니다.](launch-workspace-trusted-domain.md)
+ [WorkSpaces Personal을 사용하여 전용 Microsoft Entra ID 디렉터리 만들기](launch-entra-id.md)
+ [WorkSpaces Personal을 사용하여 전용 사용자 지정 디렉터리 만들기](launch-custom.md)

# WorkSpaces Personal 디렉터리의 컴퓨터 이름 식별
<a name="wsp-directory-identify-computer"></a>

Amazon WorkSpaces 콘솔의 WorkSpace에 표시되는 **컴퓨터 이름** 값은 시작한 WorkSpace의 유형(Amazon Linux, Ubuntu 또는 Windows)에 따라 달라집니다. WorkSpace의 컴퓨터 이름은 두 가지 형식 중 하나일 수 있습니다.
+ **Amazon Linux**: A-*xxxxxxxxxxxxx*
+ **Red Hat Enterprise Linux**: R-*xxxxxxxxxxxxx*
+ **Rocky Linux**: R-*xxxxxxxxxxxxx*
+ **Ubuntu**: U-*xxxxxxxxxxxxx*
+ **Windows**: IP-C*xxxxxx* 또는 WSAMZN-*xxxxxxx* 또는 EC2AMAZ-*xxxxxxx*

Windows WorkSpaces의 경우 컴퓨터 이름 형식은 번들 유형에 따라 결정되며, 퍼블릭 번들 또는 퍼블릭 이미지 기반 사용자 지정 번들로 만든 WorkSpaces의 경우 퍼블릭 이미지가 생성된 시기에 따라 결정됩니다.

2020년 6월 22일부터 퍼블릭 번들에서 시작된 Windows WorkSpaces의 컴퓨터 이름에 IP-*xxxxxx* 형식 대신 WSAMZN-*xxxxxxx* 형식이 적용됩니다.

퍼블릭 이미지를 기반으로 하는 사용자 지정 번들의 경우, 2020년 6월 22일 이전에 생성된 퍼블릭 이미지의 경우 컴퓨터 이름은 EC2AMAZ-*xxxxxxx* 형식입니다. 퍼블릭 이미지가 2020년 6월 22일 또는 그 이후에 생성된 경우 컴퓨터 이름은 WSAMZN-*xxxxxxx* 형식입니다.

Bring Your Own License(BYOL) 번들의 경우 기본적으로 DESKTOP-*xxxxxxx* 또는 EC2AMAZ-*xxxxxxx* 형식이 컴퓨터 이름에 사용됩니다.

사용자 지정 번들 또는 BYOL 번들에서 컴퓨터 이름에 사용자 지정 형식을 지정한 경우 사용자 지정 형식이 이러한 기본값보다 우선 적용됩니다. 사용자 정의 형식을 지정하려면 [WorkSpaces Personal에서 사용자 지정 WorkSpace 이미지 및 번들을 만듭니다.](create-custom-bundle.md) 섹션을 참조하세요.

**중요**  
WorkSpace가 만들어진 후에는 컴퓨터 이름을 안전하게 변경할 수 있습니다. 예를 들어 WorkSpace에서 또는 원격으로 `Rename-Computer` 명령을 사용하여 Powershell 스크립트를 실행할 수 있습니다. 그러면 업데이트된 컴퓨터 이름 값이 Amazon WorkSpaces 콘솔의 WorkSpace에 대해 표시됩니다.

# WorkSpaces Personal용 AWS Managed Microsoft AD 디렉터리 만들기
<a name="launch-workspace-microsoft-ad"></a>

이 자습서에서는 AWS Managed Microsoft AD 디렉터리를 만듭니다. 다른 옵션을 사용하는 자습서는 [WorkSpaces Personal용 디렉터리 만들기](launch-workspaces-tutorials.md) 섹션을 참조하세요.

먼저 AWS Managed Microsoft AD 디렉터리를 만듭니다. Directory Service이(가) VPC의 각 프라이빗 서브넷에 하나씩 두 개의 디렉터리 서버를 생성합니다. 처음에는 디렉터리에 사용자가 없습니다. 다음 단계에서 WorkSpaces를 시작할 때 사용자를 추가합니다.

**참고**  
공유 디렉터리는 현재 WorkSpaces에서 사용이 지원되지 않습니다.
다중 리전 복제를 위해 AWS Managed Microsoft AD 디렉터리가 구성된 경우 기본 리전의 디렉터리만 Amazon WorkSpaces에서 사용하도록 등록할 수 있습니다. Amazon WorkSpaces에서 사용하기 위해 복제된 리전에 디렉터리를 등록하려는 시도는 실패합니다. AWS Managed Microsoft AD를 사용한 다중 리전 복제는 복제된 리전 내의 Amazon WorkSpaces에서 사용할 수 없습니다.

**AWS Managed Microsoft AD 디렉터리를 생성하려면**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)에서 WorkSpaces 콘솔을 엽니다.

1. 탐색 창에서 **디렉터리**를 선택합니다.

1. **디렉터리 생성**을 선택합니다.

1. **디렉터리 생성** 페이지의 **WorkSpaces 유형**에서 **개인**을 선택합니다. 그런 다음 **WorkSpace 디바이스 관리**에서 **AWS Directory Service**를 선택합니다.

1. **디렉터리 생성**을 선택하면 AWS Directory Service에서 **디렉터리 설정** 페이지가 열립니다.

1. **AWS Managed Microsoft AD**를 선택한 후 **다음**을 선택합니다.

1. 다음과 같이 디렉터리를 구성합니다.

   1. **조직 이름**에 디렉터리의 고유한 조직 이름(예: my-demo-directory)을 입력합니다. 이 이름은 길이가 4자 이상이고, 영숫자 및 하이픈(-)만으로 구성되고, 하이픈 이외의 문자로 시작하거나 끝나야 합니다.

   1. **디렉터리 DNS**에 디렉터리의 정규화된 이름(예: workspaces.demo.com)을 입력합니다.
**중요**  
WorkSpaces를 시작한 후 DNS 서버를 업데이트해야 하는 경우, [WorkSpaces Personal에 사용되는 DNS 서버 업데이트](update-dns-server.md)의 절차에 따라 WorkSpaces가 제대로 업데이트되도록 하세요.

   1. **NetBIOS 이름**에 디렉터리의 짧은 이름(예: workspaces)을 입력합니다.

   1. **관리자 암호** 및 **암호 확인**에 디렉터리 관리자 계정의 암호를 입력합니다. 암호 요구 사항에 대한 자세한 내용은 **AWS Directory Service 관리 안내서의 [AWS Managed Microsoft AD 디렉터리 생성](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_managed_ad.html)을 참조하세요.

   1. (선택 사항) **설명**에 디렉터리에 대한 설명을 입력합니다.

   1. [**VPC**]에서 앞서 생성한 VPC를 선택합니다.

   1. [**Subnets**]에서 2개의 프라이빗 서브넷(CIDR 블록 `10.0.1.0/24` 및 `10.0.2.0/24`를 포함)을 선택합니다.

   1. **다음 단계**를 선택합니다.

1. **디렉터리 생성**을 선택합니다.

1. WorkSpaces 콘솔의 디렉터리 만들기 페이지로 돌아갑니다. 디렉터리의 초기 상태는 `Requested`이며 그런 다음 `Creating`으로 변경됩니다. 디렉터리 생성이 완료되면(몇 분 정도 걸릴 수 있음) 상태는 `Active`입니다.

AWS Managed Microsoft AD 디렉터리를 만든 후 Amazon WorkSpaces에 등록할 수 있습니다. 자세한 내용은 [WorkSpaces Personal에 기존 Directory Service 디렉터리 등록](register-deregister-directory.md) 섹션을 참조하세요.

# WorkSpaces Personal용 Simple AD 디렉터리 만들기
<a name="launch-workspace-simple-ad"></a>

이 자습서에서는 Simple AD를 사용하는 WorkSpaces를 시작합니다. 다른 옵션을 사용하는 자습서는 [WorkSpaces Personal용 디렉터리 만들기](launch-workspaces-tutorials.md) 섹션을 참조하세요.

**참고**  
일부 AWS리전에서는 Simple AD를 사용할 수 없습니다. 지원되는 리전을 확인한 후 Simple AD 디렉터리용 [리전을 선택](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/getting-started.html#select-region)합니다. Simple AD에 지원되는 리전에 대한 자세한 내용은 [AWS디렉터리 서비스의 리전 가용성을](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/regions.html) 참조하세요.
Simple AD는 WorkSpaces에 무료로 제공됩니다. 연속 30일 동안 Simple AD 디렉터리에 사용 중인 WorkSpaces가 없는 경우 이 디렉터리는 Amazon WorkSpaces에서의 사용이 자동으로 등록 취소되며, [AWS Directory Service 요금 조건](https://aws.amazon.com/directoryservice/pricing/)에 따라 이 디렉터리에 대한 요금이 부과됩니다.
[ Simple AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/simple_ad_getting_started.html)는 현재 IPv4 주소 지정만 지원합니다. 즉, 디렉터리를 생성할 때 연결된 VPC는 IPv4 CIDR 블록으로 구성되며 IPv6 네트워크를 지원하지 않습니다.

Simple AD 디렉터리를 생성할 때.는 VPC의 각 프라이빗 서브넷에 하나씩 두 개의 디렉터리 서버를 Directory Service생성합니다. 처음에는 디렉터리에 사용자가 없습니다. WorkSpace를 만든 후 사용자를 추가합니다. 자세한 내용은 [WorkSpaces Personal에서 WorkSpaces 만들기](create-workspaces-personal.md) 섹션을 참조하세요.

**Simple AD 디렉터리를 생성하려면**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) WorkSpaces 콘솔을 엽니다.

1. 탐색 창에서 **디렉터리**를 선택합니다.

1. **디렉터리 생성**을 선택합니다.

1. **디렉터리 생성** 페이지의 **WorkSpaces 유형**에서 **개인**을 선택합니다. 그런 다음 **WorkSpace 디바이스 관리**에서 **AWS Directory Service**를 선택합니다.

1. **디렉터리 생성을** 선택하면 디렉터리 서비스에서 **디렉터리 설정 페이지가** 열립니다AWS.

1. **Simple AD**를 선택한 후 **다음**을 선택합니다.

1. 다음과 같이 디렉터리를 구성합니다.

   1. **조직 이름**에 디렉터리의 고유한 조직 이름(예: my-example-directory)을 입력합니다. 이 이름은 길이가 4자 이상이고, 영숫자 및 하이픈(-)만으로 구성되고, 하이픈 이외의 문자로 시작하거나 끝나야 합니다.

   1. **디렉터리 DNS 이름**에 디렉터리의 정규화된 이름(예: example.com)을 입력합니다.
**중요**  
WorkSpaces를 시작한 후 DNS 서버를 업데이트해야 하는 경우, [WorkSpaces Personal에 사용되는 DNS 서버 업데이트](update-dns-server.md)의 절차에 따라 WorkSpaces가 제대로 업데이트되도록 하세요.

   1. **NetBIOS 이름**에 디렉터리의 짧은 이름(예: example)을 입력합니다.

   1. **관리자 암호** 및 **암호 확인**에 디렉터리 관리자 계정의 암호를 입력합니다. 암호 요구 사항에 대한 자세한 내용은 *AWS Directory Service 관리 안내서*의 [Microsoft AD Directory 생성 방법](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_managed_ad.html)을 참조하세요.

   1. (선택 사항) **설명**에 디렉터리에 대한 설명을 입력합니다.

   1. **디렉터리 크기**에서 **스몰**을 선택합니다.

   1. **VPC**에서 앞서 생성한 VPC를 선택합니다.

   1. **서브넷**에서 2개의 프라이빗 서브넷(CIDR 블록 `10.0.1.0/24` 및 `10.0.2.0/24`를 포함)을 선택합니다.

   1. **다음**을 선택합니다.

1. **디렉터리 생성**을 선택합니다.

1. WorkSpaces 콘솔의 디렉터리 만들기 페이지로 돌아갑니다. 디렉터리의 초기 상태는 `Requested`이며 그런 다음 `Creating`으로 변경됩니다. 디렉터리 생성이 완료되면(몇 분 정도 걸릴 수 있음) 상태는 `Active`입니다.

**디렉터리 생성 중 발생하는 사항**

WorkSpaces가 사용자를 대신하여 다음 작업을 완료합니다.
+ WorkSpaces 서비스에서 탄력적 네트워크 인터페이스를 생성하고 WorkSpaces 디렉터리를 나열하도록 허용하는 IAM 역할을 생성합니다. 이 역할의 이름은 `workspaces_DefaultRole`입니다.
+ VPC 내에서 사용자 및 WorkSpaces 정보를 저장하는 데 사용되는 Simple AD를 설정합니다. 디렉터리는 사용자 이름 Administrator와 지정된 암호를 사용하는 관리자 계정을 포함합니다.
+ 디렉터리 컨트롤러와 디렉터리 내 WorkSpaces에 대해 각각 하나씩 두 보안 그룹을 생성합니다.

Simple AD 디렉터리를 만든 후 Amazon WorkSpaces에 등록할 수 있습니다. 자세한 내용은 [WorkSpaces Personal에 기존 Directory Service 디렉터리 등록](register-deregister-directory.md) 섹션을 참조하세요.

# WorkSpaces Personal용 AD 커넥터 만들기
<a name="launch-workspace-ad-connector"></a>

이 자습서에서는 AD 커넥터를 만듭니다. 다른 옵션을 사용하는 자습서는 [WorkSpaces Personal용 디렉터리 만들기](launch-workspaces-tutorials.md) 섹션을 참조하세요.

## AD Connector 생성
<a name="create-ad-connector"></a>

**참고**  
AD Connector는 WorkSpaces에 무료로 제공됩니다. 연속 30일 동안 AD Connector 디렉터리에 사용 중인 WorkSpaces가 없는 경우 이 디렉터리는 Amazon WorkSpaces에서의 사용이 자동으로 등록 취소되며, [AWS Directory Service 요금 조건](https://aws.amazon.com/directoryservice/pricing/)에 따라 이 디렉터리에 대한 요금이 부과됩니다.  
빈 디렉터리를 삭제하려면 [WorkSpaces Personal용 디렉터리 삭제](delete-workspaces-directory.md) 섹션을 참조하세요. AD Connector 디렉터리를 삭제한 경우 WorkSpaces를 다시 사용하고 싶을 때 언제든지 새 디렉터리를 생성할 수 있습니다.

**AD Connector를 생성하려면**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home)에서 WorkSpaces 콘솔을 엽니다.

1. 탐색 창에서 **디렉터리**를 선택합니다.

1. **디렉터리 생성**을 선택합니다.

1. **디렉터리 생성** 페이지의 **WorkSpaces 유형**에서 **개인**을 선택합니다. 그런 다음 **WorkSpace 디바이스 관리**에서 **AWS Directory Service**를 선택합니다.

1. **디렉터리 생성**을 선택하면 AWS Directory Service에서 **디렉터리 설정** 페이지가 열립니다.

1. **AWS Managed Microsoft AD**를 선택한 후 **다음**을 선택합니다.

1. **조직 이름**에 디렉터리의 고유한 조직 이름(예: my-example-directory)을 입력합니다. 이 이름은 길이가 4자 이상이고, 영숫자 및 하이픈(-)만으로 구성되고, 하이픈 이외의 문자로 시작하거나 끝나야 합니다.

1. **연결된 디렉터리 DNS**에 온프레미스 디렉터리의 정규화된 이름(예: example.com)을 입력합니다.

1. **연결된 디렉터리 NetBIOS 이름**에 온프레미스 디렉터리의 짧은 이름(예: example)을 입력합니다.

1. **커넥터 계정 사용자 이름**에 온프레미스 디렉터리 내 사용자의 사용자 이름을 입력합니다. 이 사용자는 사용자 및 그룹을 읽고, 컴퓨터 객체를 생성하고, 컴퓨터를 도메인에 조인할 수 있는 권한이 있어야 합니다.

1. **커넥터 계정 암호** 및 **암호 확인**에 온프레미스 사용자의 암호를 입력합니다.

1. **DNS 주소**에 온프레미스 디렉터리에 포함된 DNS 서버의 IP 주소를 한 개 이상 입력합니다.
**중요**  
WorkSpaces를 시작한 후 DNS 서버 IP 주소를 업데이트해야 하는 경우, [WorkSpaces Personal에 사용되는 DNS 서버 업데이트](update-dns-server.md)의 절차에 따라 WorkSpaces가 제대로 업데이트되도록 하세요.

1. (선택 사항) **설명**에 디렉터리에 대한 설명을 입력합니다.

1. [**Size**]를 [**Small**]로 유지합니다.

1. **VPC**에서 해당 VPC를 선택합니다.

1. [**Subnets**]에서 해당 서브넷을 선택합니다. 지정한 DNS 서버는 각 서브넷에서 액세스할 수 있어야 합니다.

1. **디렉터리 생성**을 선택합니다.

1. WorkSpaces 콘솔의 디렉터리 만들기 페이지로 돌아갑니다. 디렉터리의 초기 상태는 `Requested`이며 그런 다음 `Creating`으로 변경됩니다. 디렉터리 생성이 완료되면(몇 분 정도 걸릴 수 있음) 상태는 `Active`입니다.

# AWS Managed Microsoft AD 디렉터리와 WorkSpaces Personal용 온프레미스 도메인 간에 신뢰 관계를 만듭니다.
<a name="launch-workspace-trusted-domain"></a>

이 자습서에서는 AWS Managed Microsoft AD 디렉터리와 온프레미스 도메인 간에 신뢰 관계를 만듭니다. 다른 옵션을 사용하는 자습서는 [WorkSpaces Personal용 디렉터리 만들기](launch-workspaces-tutorials.md) 섹션을 참조하세요.

**참고**  
별도의 신뢰할 수 있는 도메인에서 AWS 계정을 사용하여 WorkSpaces를 시작하는 것은 온프레미스 디렉터리에 대한 신뢰 관계로 구성된 AWS Managed Microsoft AD와 호환됩니다. 하지만 Simple AD 또는 AD Connector를 사용하는 WorkSpaces는 신뢰할 수 있는 도메인의 사용자를 위해 WorkSpaces를 시작할 수 없습니다.

**신뢰 관계를 설정하려면**

1. 가상 프라이빗 클라우드(VPC)에서 AWS Managed Microsoft AD를 설정합니다. 자세한 내용은 *AWS Directory Service 관리 안내서*의 [AWS Managed Microsoft AD 디렉터리 생성](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/create_managed_ad.html)을 참조하세요.
**참고**  
공유 디렉터리는 현재 Amazon WorkSpaces에서 사용이 지원되지 않습니다.
다중 리전 복제를 위해 AWS Managed Microsoft AD 디렉터리가 구성된 경우 기본 리전의 디렉터리만 Amazon WorkSpaces에서 사용하도록 등록할 수 있습니다. Amazon WorkSpaces에서 사용하기 위해 복제된 리전에 디렉터리를 등록하려는 시도는 실패합니다. AWS Managed Microsoft AD를 사용한 다중 리전 복제는 복제된 리전 내의 Amazon WorkSpaces에서 사용할 수 없습니다.

1. AWS Managed Microsoft AD와 온프레미스 도메인 간에 신뢰 관계를 생성합니다. 양방향 신뢰로 구성되었는지 확인합니다. 자세한 내용은 *AWS Directory Service 관리 안내서*의 [튜토리얼: AWS 관리형 Microsoft AD와 온프레미스 도메인 간 신뢰 관계 만들기](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/tutorial_setup_trust.html)을 참조하세요.

WorkSpaces를 통한 관리 및 인증에 단방향 또는 양방향 신뢰를 사용하여 온프레미스 사용자와 그룹에 WorkSpaces를 프로비저닝할 수 있습니다. 자세한 내용은 디렉터리 [AWS Directory Service를 사용하여 One-Way Trust 리소스 도메인에서 Amazon WorkSpaces 배포하기](https://aws.amazon.com/getting-started/hands-on/deploy-workspaces-one-way-trust/)를 참조하세요.

**참고**  
Red Hat Enterprise Linux, Rocky Linux와 Ubuntu WorkSpaces는 Active Directory 통합을 위해 System Security Services Daemon(SSSD)을 사용하며 SSSD는 포리스트 트러스트를 지원하지 않습니다. 대신 외부 신뢰를 구성하세요. Amazon Linux, Ubuntu, Rocky Linux, Red Hat Enterprise Linux WorkSpaces의 경우 양방향 트러스트를 사용하는 것이 좋습니다.
웹 브라우저(웹 액세스)로는 Linux WorkSpaces에 연결할 수 없습니다.

# WorkSpaces Personal을 사용하여 전용 Microsoft Entra ID 디렉터리 만들기
<a name="launch-entra-id"></a>

이 자습서에서는 Microsoft Intune에 조인 및 등록된 Microsoft Entra ID인 Bring Your Own License(BYOL) Windows 10 및 11 개인 WorkSpaces를 만듭니다. 이러한 WorkSpaces를 만들기 전에 먼저 Entra ID로 조인된 WorkSpaces용 전용 WorkSpaces Personal 디렉터리를 만들어야 합니다.

**참고**  
Microsoft Entra에 조인된 개인 WorkSpaces는 아프리카(케이프타운), 이스라엘(텔아비브) 및 중국(닝샤)을 제외하고 Amazon WorkSpaces가 제공되는 모든 AWS 리전에서 사용할 수 있습니다.

**Contents**
+ [개요](#entra-overview)
+ [요구 사항 및 제한 사항](#entra-requirements-limitation)
+ [1단계: IAM Identity Center 활성화 및 Microsoft Entra ID와 동기화](#entra-step-1)
+ [2단계: Windows Autopilot에 대한 권한을 부여하기 위해 Microsoft Entra ID 애플리케이션 등록](#entra-step-2)
+ [3단계: Windows Autopilot 사용자 기반 모드 구성](#entra-step-3)
+ [4단계: AWS Secrets Manager 보안 암호 생성](#entra-step-4)
+ [5단계: 전용 Microsoft Entra ID WorkSpaces 디렉터리 만들기](#entra-step-5)
+ [WorkSpaces 디렉터리에 대한 IAM Identity Center 애플리케이션 구성(선택 사항)](#configure-iam-directory)
+ [교차 리전 IAM Identity Center 통합 생성(선택 사항)](#create-cross-region-iam-identity-integration)

## 개요
<a name="entra-overview"></a>

Microsoft Entra ID 개인 WorkSpaces 디렉터리에는 Microsoft Entra ID로 관리되는 사용자에게 할당된 Microsoft Entra ID로 조인된 WorkSpaces를 시작하는 데 필요한 모든 정보가 포함되어 있습니다. 사용자 정보는 Entra ID에서 인력 ID를 가져오는 ID 브로커 역할을 하는 AWS IAM Identity Center를 통해 WorkSpaces에 제공됩니다 AWS. Microsoft Windows Autopilot 사용자 기반 모드는 WorkSpaces Intune 등록 및 Entra 조인을 수행하는 데 사용됩니다. 다음 다이어그램은 프로세스를 보여 줍니다.

![\[Diagram showing WorkSpaces client, service, and agent interacting with AWS and Azure components for authentication and device management.\]](http://docs.aws.amazon.com/ko_kr/workspaces/latest/adminguide/images/autopilot.jpg)


## 요구 사항 및 제한 사항
<a name="entra-requirements-limitation"></a>
+ Microsoft Entra ID P1 플랜 이상.
+ Microsoft Entra ID 및 Intune이 활성화되어 있고 역할이 할당되어 있습니다.
+ Intune 관리자 - Autopilot 배포 프로필을 관리하는 데 필요합니다.
+ 글로벌 관리자 - [3단계](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-3)에서 만든 애플리케이션에 할당된 API 권한에 대해 관리자에게 동의를 부여하는 데 필요합니다. 이 권한 없이 애플리케이션을 만들 수 있습니다. 그러나 글로벌 관리자는 애플리케이션 권한에 대한 관리자 동의를 제공해야 합니다.
+ WorkSpaces 사용자에게 Windows 10/11 VDA E3 또는 E5 사용자 구독 라이선스를 할당합니다.
+ Entra ID 디렉터리는 Windows 10 또는 11 Bring Your Own License 개인 WorkSpaces만 지원합니다. 다음은 지원되는 버전입니다.
  + Windows 10 버전 21H2(2021년 12월 업데이트)
  + Windows 10 버전 22H2(2022년 11월 업데이트)
  + Windows 11 Enterprise 23H2(2023년 10월 릴리스)
  + Windows 11 Enterprise 22H2(2022년 10월 릴리스)
  + Windows 11 Enterprise 24H2(2024년 10월 릴리스)
  + Windows 11 Enterprise 25H2(2025년 9월 릴리스)
+ 계정에 BYOL(Bring Your Own License)이 활성화되어 있으며 AWS 계정에 유효한 Windows 10 또는 11 BYOL 이미지를 가져왔습니다. 자세한 내용은 [보유한 기존 Windows 데스크톱 라이선스를 WorkSpaces에서 사용](byol-windows-images.md) 단원을 참조하십시오.
+ Microsoft Entra ID 디렉터리는 Windows 10 또는 11 BYOL 개인 WorkSpaces만 지원합니다.
+ Microsoft Entra ID 디렉터리는 DCV 프로토콜만 지원합니다.
+ WorkSpaces에 방화벽을 사용하는 경우 Microsoft Intune 및 Windows Autopilot용 엔드포인트로의 아웃바운드 트래픽을 차단하지 않는지 확인합니다. 자세한 내용은 [Microsoft Intune용 네트워크 엔드포인트 - Microsoft Intune](https://learn.microsoft.com/en-us/intune/intune-service/fundamentals/intune-endpoints?tabs=north-america) 및 [Windows Autopilot 요구 사항을](https://learn.microsoft.com/en-us/autopilot/requirements?tabs=networking) 검토하세요.
+ Microsoft Entra ID 디렉터리는 정부 커뮤니티 클라우드 하이(GCCH) 및 국방부(DoD) 환경에서 Microsoft Entra ID 테넌트를 지원하지 않습니다.

## 1단계: IAM Identity Center 활성화 및 Microsoft Entra ID와 동기화
<a name="entra-step-1"></a>

Microsoft Entra ID에 조인된 개인 WorkSpaces를 생성하여 Entra ID 사용자에게 할당하려면 IAM Identity Center를 AWS 통해 사용자 정보를에 제공해야 합니다. IAM Identity Center는 AWS 리소스에 대한 사용자 액세스를 관리하는 데 권장되는 AWS 서비스입니다. 자세한 정보는 [IAM Identity Center란 무엇인가요?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)를 참조하세요. 이는 일회성 설정입니다.

WorkSpaces와 통합할 기존 IAM Identity Center 인스턴스가 없는 경우 WorkSpaces와 동일한 리전에 인스턴스를 생성하는 것이 좋습니다. 다른 리전에 기존 AWS Identity Center 인스턴스가 있는 경우 교차 리전 통합을 설정할 수 있습니다. 교차 리전 설정에 대한 자세한 내용은 [교차 리전 IAM Identity Center 통합 생성(선택 사항)](#create-cross-region-iam-identity-integration) 섹션을 참조하세요.

**참고**  
WorkSpaces와 IAM Identity Center 간의 리전 간 통합은 AWS GovCloud (US) Region에서 지원되지 않습니다.

1. 특히 다중 계정 환경을 사용하는 경우 AWS Organizations에서 IAM Identity Center를 활성화합니다. IAM Identity Center의 계정 인스턴스를 만들 수도 있습니다. 자세한 내용은 [AWS IAM Identity Center 활성화](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html)를 참조하세요. 각 WorkSpaces 디렉터리는 하나의 IAM Identity Center 인스턴스, 조직 또는 계정과 연결할 수 있습니다.

   조직 인스턴스를 사용하고 멤버 계정 중 하나에 WorkSpaces 디렉터리를 만들려는 경우 다음 IAM Identity Center 권한이 있는지 확인합니다.
   + `"sso:DescribeInstance"`
   + `"sso:CreateApplication"`
   + `"sso:PutApplicationGrant"`
   + `"sso:PutApplicationAuthenticationMethod"`
   + `"sso:DeleteApplication"`
   + `"sso:DescribeApplication"`
   + `"sso:getApplicationGrant"`

   자세한 내용은 [IAM Identity Center 리소스에 대한 액세스 권한 관리 개요](https://docs.aws.amazon.com/singlesignon/latest/userguide/iam-auth-access-overview.html)를 참조하세요. 또한 이러한 권한을 차단하는 서비스 제어 정책(SCP)이 없는지 확인합니다. SCP에 대한 자세한 내용은 [서비스 제어 정책(SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)을 참조하세요.

1. IAM Identity Center 및 Microsoft Entra ID를 구성하여 Entra ID 테넌트에서 선택한 사용자 또는 모든 사용자를 IAM Identity Center 인스턴스로 자동으로 동기화합니다. 자세한 내용은 [ Microsoft Entra ID 및 IAM Identity Center를 사용하여 SAML 및 SCIM 구성](https://docs.aws.amazon.com/singlesignon/latest/userguide/idp-microsoft-entra.html) 및 [자습서: 자동 사용자 프로비저닝을 위한 AWS IAM Identity Center 구성을 참조하세요](https://learn.microsoft.com/en-us/entra/identity/saas-apps/aws-single-sign-on-provisioning-tutorial).

1. Microsoft Entra ID에 구성한 사용자가 AWS IAM Identity Center 인스턴스와 올바르게 동기화되었는지 확인합니다. Microsoft Entra ID에 오류 메시지가 표시되면 Entra ID의 사용자가 IAM Identity Center에서 지원하지 않는 방식으로 구성되었음을 나타냅니다. 오류 메시지는 이 문제를 식별합니다. 예를 들어 Entra ID의 사용자 객체에 이름, 성 또는 표시 이름이 없는 경우 `"2 validation errors detected: Value at 'name.givenName' failed to satisfy constraint: Member must satisfy regular expression pattern: [\\p{L}\\p{M}\\p{S}\\p{N}\\p{P}\\t\\n\\r ]+; Value at 'name.givenName' failed to satisfy constraint: Member must have length greater than or equal to 1"`과 유사한 오류 메시지가 표시됩니다. 자세한 내용은 [특정 사용자가 외부 SCIM 공급자로부터 IAM Identity Center로 동기화하지 못함](https://docs.aws.amazon.com/singlesignon/latest/userguide/troubleshooting.html#issue2)을 참조하세요.

**참고**  
WorkSpaces는 Entra ID userPrincipalName(UPN) 속성을 사용하여 개별 사용자를 식별하며, 다음과 같은 제한 사항이 있습니다.  
UPN 길이는 63자를 초과할 수 없습니다.
사용자에게 WorkSpace를 할당한 후 UPN을 변경하는 경우 UPN을 이전으로 다시 변경하지 않는 한 사용자는 WorkSpace에 연결할 수 없습니다.

## 2단계: Windows Autopilot에 대한 권한을 부여하기 위해 Microsoft Entra ID 애플리케이션 등록
<a name="entra-step-2"></a>

WorkSpaces Personal은 Microsoft Windows Autopilot 사용자 기반 모드를 사용하여 WorkSpaces를 Microsoft Intune에 등록하고 이를 Microsoft Entra ID에 조인합니다.

Amazon WorkSpaces가 WorkSpaces Personal을 Autopilot에 등록하도록 허용하려면 필요한 Microsoft Graph API 권한을 부여하는 Microsoft Entra ID 애플리케이션을 등록해야 합니다. Entra ID 애플리케이션 등록에 대한 자세한 내용은 [빠른 시작: Microsoft ID 플랫폼에 애플리케이션 등록](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app?tabs=certificate)을 참조하세요.

Entra ID 애플리케이션에서 다음 API 권한을 제공하는 것이 좋습니다.
+ Entra ID에 조인해야 하는 새 개인 WorkSpace를 만들려면 다음 API 권한이 필요합니다.
  + `DeviceManagementServiceConfig.ReadWrite.All`
+ 개인 WorkSpace를 종료하거나 다시 빌드하면 다음 권한이 사용됩니다.
**참고**  
이러한 권한을 제공하지 않으면 WorkSpace는 종료되지만 Intune 및 Entra ID 테넌트에서 제거되지 않으므로 별도로 제거해야 합니다.
  + `DeviceManagementServiceConfig.ReadWrite.All`
  + `Device.ReadWrite.All`
  + `DeviceManagementManagedDevices.ReadWrite.All`
+ 이러한 권한에는 관리자 동의가 필요합니다. 자세한 내용은 [애플리케이션에 대한 테넌트 전체 관리자 동의 부여](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal)를 참조하세요.

다음으로 Entra ID 애플리케이션에 대한 클라이언트 보안 암호를 추가해야 합니다. 자세한 내용은 [자격 증명 추가](https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app?tabs=certificate#add-credentials)를 참조하세요. 4단계에서 AWS Secrets Manager 암호를 만들 때 필요한 클라이언트 보안 암호 문자열을 기억해야 합니다.

## 3단계: Windows Autopilot 사용자 기반 모드 구성
<a name="entra-step-3"></a>

[Intune에서 Windows Autopilot 사용자 기반 Microsoft Entra에 가입하기 위한 단계별 자습서](https://learn.microsoft.com/en-us/autopilot/tutorial/user-driven/azure-ad-join-workflow)를 숙지해야 합니다.

**Autopilot용 Microsoft Intune을 구성하려면**

1. Microsoft Intune 관리 센터에 로그인

1. 개인 WorkSpaces에 대한 새 Autopilot 디바이스 그룹을 만듭니다. 자세한 내용은 [Windows Autopilot용 디바이스 그룹 생성](https://learn.microsoft.com/en-us/autopilot/enrollment-autopilot)을 참조하세요.

   1. **그룹**, **새 그룹**을 선택합니다.

   1. **그룹 유형**에서 **보안**을 선택합니다.

   1. **멤버십 유형**에서 **동적 디바이스**를 선택합니다.

   1. **동적 쿼리 편집**을 선택하여 동적 멤버십 규칙을 만듭니다. 규칙은 다음 형식이어야 합니다.

      ```
      (device.devicePhysicalIds -any (_ -eq "[OrderID]:WorkSpacesDirectoryName"))
      ```
**중요**  
`WorkSpacesDirectoryName`은 5단계에서 만든 Entra ID WorkSpaces Personal 디렉터리의 디렉터리 이름과 일치해야 합니다. 이는 WorkSpaces가 Autopilot에 가상 데스크톱을 등록할 때 디렉터리 이름 문자열이 그룹 태그로 사용되기 때문입니다. 또한 그룹 태그는 Microsoft Entra 디바이스의 `OrderID` 속성에 매핑됩니다.

1. **디바이스**, **Windows**, **등록**을 선택합니다. **등록 옵션**에서 **자동 등록**을 선택합니다. **MDM 사용자 범위**에서 **모두**를 선택합니다.

1. Autopilot 배포 프로필을 만듭니다. 자세한 내용은 [Autopilot 배포 프로필 생성](https://learn.microsoft.com/en-us/autopilot/profiles#create-an-autopilot-deployment-profile)을 참조하세요.

   1. **Windows Autopilot**에서 **배포 프로필**, **프로필 생성**을 선택합니다.

   1. **Windows Autopilot 배포 프로필** 화면에서 **프로필 생성** 드롭다운 메뉴를 선택한 다음 **Windows PC**를 선택합니다.

   1. **프로필 생성** 화면의 **기본 환경(OOBE)** 페이지에서. **배포 모드**에서 **사용자 기반**을 선택합니다. **Microsoft Entra ID에 조인**에서 **Microsoft Entra 조인**을 선택합니다. 등록 중에 디바이스 이름을 지정할 때 사용할 템플릿을 만들려면 **디바이스 이름 템플릿 적용**에서 **예**를 선택하여 Entra ID로 조인된 개인 WorkSpaces의 컴퓨터 이름을 사용자 지정할 수 있습니다.

   1. **할당** 페이지의 **할당 대상**에서 **선택된 그룹**을 선택합니다. **포함할 그룹 선택**을 선택하고 2에서 방금 만든 Autopilot 디바이스 그룹을 선택합니다.

## 4단계: AWS Secrets Manager 보안 암호 생성
<a name="entra-step-4"></a>

에서 생성한 Entra ID 애플리케이션에 대한 애플리케이션 ID 및 클라이언트 보안 암호를 포함한 정보를 안전하게 저장 AWS Secrets Manager 하려면에서 보안 암호를 생성해야 합니다[2단계: Windows Autopilot에 대한 권한을 부여하기 위해 Microsoft Entra ID 애플리케이션 등록](#entra-step-2). 이는 일회성 설정입니다.

**AWS Secrets Manager 보안 암호를 생성하려면**

1. [AWS Key Management Service](https://aws.amazon.com/kms/)에서 고객 관리 키를 만듭니다. 키는 나중에 AWS Secrets Manager 보안 암호를 암호화하는 데 사용됩니다. 기본 키는 WorkSpaces 서비스에서 액세스할 수 없으므로 기본 키를 사용하여 보안 암호를 암호화하지 마세요. 아래 단계에 따라 키를 만듭니다.

   1. [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) AWS KMS 콘솔을 엽니다.

   1. 를 변경하려면 페이지 오른쪽 상단에 있는 리전 선택기를 AWS 리전사용합니다.

   1. **키 생성**을 선택합니다.

   1. **키 구성** 페이지의 **키 유형**에서 **대칭**을 선택합니다. **키 사용**에서 **암호화 및 복호화**를 선택합니다.

   1. **검토** 페이지의 키 정책 편집기에서 키 정책에 다음 권한을 포함하여 WorkSpaces 서비스의 키에 대한 위탁자 `workspaces.amazonaws.com` 액세스를 허용해야 합니다.

      ```
      {
          "Effect": "Allow",
          "Principal": {
              "Service": [
                  "workspaces.amazonaws.com"
              ]
          },
          "Action": [
              "kms:Decrypt",
              "kms:DescribeKey"
          ],
          "Resource": "*"
       }
      ```

1. 이전 단계에서 생성한 AWS KMS 키를 AWS Secrets Manager사용하여에서 보안 암호를 생성합니다.

   1. [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/)에서 Secrets Manager 콘솔을 엽니다.

   1. **새 보안 암호 저장**을 선택합니다.

   1. **암호 타입 선택** 페이지의 **암호 타입**에 대해 **다른 타입의 암호**를 선택합니다.

   1. **키/값 페어**의 경우 키 상자에 'application\$1id'를 입력한 다음 [2단계](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-2)의 Entra ID 애플리케이션 ID를 복사하여 값 상자에 붙여 넣습니다.

   1. **행 추가**를 선택하고 키 상자에 'application\$1password'를 입력한 다음 [2단계](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-2)의 Entra ID 애플리케이션 클라이언트 보안 암호를 복사하여 값 상자에 붙여 넣습니다.

   1. 암호화 AWS KMS 키 드롭다운 목록에서 이전 단계에서 생성한 키를 선택합니다. **** 

   1. **다음**을 선택합니다.

   1. **보안 암호 구성** 페이지에 **보안 암호 이름**과 **설명**을 입력합니다.

   1. **리소스 권한** 섹션에서 **권한 편집**을 선택합니다.

   1. 리소스 권한에 다음 리소스 정책을 포함하여 WorkSpaces 서비스의 보안 암호에 대한 위탁자 `workspaces.amazonaws.com` 액세스를 허용해야 합니다.

------
#### [ JSON ]

****  

      ```
      {
        "Version":"2012-10-17",		 	 	 
        "Statement" : [ {
          "Effect" : "Allow",
          "Principal" : {
            "Service" : [ "workspaces.amazonaws.com"]
          },
          "Action" : "secretsmanager:GetSecretValue",
          "Resource" : "*"
        } ]
      }
      ```

------

## 5단계: 전용 Microsoft Entra ID WorkSpaces 디렉터리 만들기
<a name="entra-step-5"></a>

Microsoft Entra ID로 조인된 WorkSpaces 및 Entra ID 사용자에 대한 정보를 저장하는 전용 WorkSpaces 디렉터리를 만듭니다.

**Entra ID WorkSpaces 디렉터리를 만들려면**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) WorkSpaces 콘솔을 엽니다.

1. 탐색 창에서 **디렉터리**를 선택합니다.

1. **디렉터리 생성** 페이지의 **WorkSpaces 유형**에서 **개인**을 선택합니다. **WorkSpace 디바이스 관리**에서 **Microsoft Entra ID**를 선택합니다.

1. **Microsoft Entra 테넌트 ID**에 디렉터리의 WorkSpaces에 조인할 Microsoft Entra ID 테넌트 ID를 입력합니다. 디렉터리가 만들어진 후에는 테넌트 ID를 변경할 수 없습니다.

1. **Entra ID 애플리케이션 ID 및 암호**의 경우 드롭다운 목록에서 [4단계](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-4)에서 생성한 AWS Secrets Manager 암호를 선택합니다. 디렉터리가 만들어진 후에는 디렉터리와 연결된 보안 암호를 변경할 수 없습니다. 그러나 [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/) AWS Secrets Manager 콘솔을 통해 Entra ID 애플리케이션 ID 및 암호를 포함하여 보안 암호의 콘텐츠를 항상 업데이트할 수 있습니다.

1. IAM Identity Center 인스턴스가 WorkSpaces 디렉터리와 동일한 AWS 리전에 있는 경우 **사용자 ID 소스**에서 드롭다운 목록에서 [1단계](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-1)에서 구성한 IAM Identity Center 인스턴스를 선택합니다. 디렉터리가 만들어진 후에는 디렉터리와 연결된 IAM Identity Center 인스턴스를 변경할 수 없습니다.

   IAM Identity Center 인스턴스가 WorkSpaces 디렉터리와 다른 AWS 리전에 있는 경우 **교차 리전 활성화**를 선택한 다음 드롭다운 목록에서 리전을 선택합니다.
**참고**  
다른 리전에 기존 IAM Identity Center 인스턴스가 있는 경우 교차 리전 통합을 설정하려면 옵트인해야 합니다. 교차 리전 설정에 대한 자세한 내용은 [교차 리전 IAM Identity Center 통합 생성(선택 사항)](#create-cross-region-iam-identity-integration) 섹션을 참조하세요.

1. **디렉터리 이름**에 디렉터리의 고유한 이름(예: `WorkSpacesDirectoryName`)을 입력합니다.
**중요**  
디렉터리 이름은 [3단계](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-workspaces-tutorials.html#entra-step-3)에서 Microsoft Intune으로 만든 Autopilot 디바이스 그룹에 대한 동적 쿼리를 구성하는 데 사용되는 `OrderID`와 일치해야 합니다. 디렉터리 이름 문자열은 개인 WorkSpaces를 Windows Autopilot에 등록할 때 그룹 태그로 사용됩니다. 그룹 태그는 Microsoft Entra 디바이스의 `OrderID` 속성에 매핑됩니다.

1. (선택 사항) **설명**에 디렉터리에 대한 설명을 입력합니다.

1. **VPC**에서 WorkSpaces를 시작하는 데 사용한 VPC를 선택합니다. 자세한 내용은 [WorkSpaces Personal를 위한 VPC 구성](amazon-workspaces-vpc.md) 섹션을 참조하세요.

1. **서브셋**의 경우, VPC에서 동일한 가용 영역의 서브넷이 아닌 2개의 서브넷을 선택합니다. 이러한 서브넷은 개인 WorkSpaces를 시작하는 데 사용됩니다. 자세한 내용은 [WorkSpaces Personal의 가용 영역](azs-workspaces.md) 섹션을 참조하세요.
**중요**  
서브넷에서 시작된 WorkSpaces에 인터넷 액세스가 있는지 확인합니다. 이는 사용자가 Windows 데스크톱에 로그인할 때 필요합니다. 자세한 내용은 [WorkSpaces Personal에 인터넷 액세스 제공](amazon-workspaces-internet-access.md) 섹션을 참조하세요.

1. **구성**에서 **전용 WorkSpace 활성화**를 선택합니다. 전용 WorkSpaces Personal 디렉터리를 만들어 Bring Your Own License(BYOL) Windows 10 또는 11 개인 WorkSpaces 를 시작해야 합니다.
**참고**  
**구성** 아래에 **전용 WorkSpace 활성화** 옵션이 표시되지 않으면 BYOL에 대해 계정이 활성화되지 않은 것입니다. 계정에 BYOL을 활성화하려면 [보유한 기존 Windows 데스크톱 라이선스를 WorkSpaces에서 사용](byol-windows-images.md) 섹션을 참조하세요.

1. (선택 사항) **태그**에서 디렉터리의 개인 WorkSpaces에 사용할 키 페어 값을 지정합니다.

1. 디렉터리 요약을 검토하고 **디렉터리 생성**을 선택합니다. 디렉터리를 연결하는 데 몇 분 정도 걸립니다. 디렉터리의 초기 상태는 `Creating`입니다. 디렉터리 생성 과정이 완료되면 상태가 `Active`로 변경됩니다.

디렉터리가 만들어지면 사용자를 대신하여 IAM Identity Center 애플리케이션도 자동으로 만들어집니다. 애플리케이션의 ARN을 찾으려면 디렉터리의 요약 페이지로 이동합니다.

이제 디렉터리를 사용하여 Microsoft Intune에 등록되어 Microsoft Entra ID에 조인된 Windows 10 또는 11 개인 WorkSpaces를 시작할 수 있습니다. 자세한 내용은 [WorkSpaces Personal에서 WorkSpaces 만들기](create-workspaces-personal.md) 섹션을 참조하세요.

WorkSpaces Personal 디렉터리를 만든 후 개인 WorkSpace를 만들 수 있습니다. 자세한 내용은 [WorkSpaces Personal에서 WorkSpaces 만들기](create-workspaces-personal.md) 섹션을 참조하세요.

## WorkSpaces 디렉터리에 대한 IAM Identity Center 애플리케이션 구성(선택 사항)
<a name="configure-iam-directory"></a>

디렉터리가 만들어지면 해당 IAM Identity Center 애플리케이션이 자동으로 만들어집니다. 디렉터리 세부 정보 페이지의 요약 섹션에서 애플리케이션의 ARN을 찾을 수 있습니다. 기본적으로 Identity Center 인스턴스의 모든 사용자는 해당 Identity Center 애플리케이션을 구성하지 않고도 할당된 WorkSpaces에 액세스할 수 있습니다. 그러나 IAM Identity Center 애플리케이션에 대한 사용자 할당을 구성하여 디렉터리의 WorkSpaces에 대한 사용자 액세스를 관리할 수 있습니다.

**IAM Identity Center 애플리케이션에 대한 사용자 할당을 구성하려면**

1. IAM 콘솔([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/))을 엽니다.

1. **AWS 관리형 애플리케이션** 탭에서 WorkSpaces 디렉터리의 애플리케이션을 선택합니다. 애플리케이션 이름의 형식은 `WorkSpaces.wsd-xxxxx`입니다. 여기서 `wsd-xxxxx`는 WorkSpaces 디렉터리 ID입니다.

1. **작업**, **세부 정보 편집**을 선택합니다.

1. **사용자 및 그룹 할당 방법**을 **할당 필요 없음**에서 **할당 필요**로 변경합니다.

1. **변경 사항 저장**을 선택합니다.

이 변경 사항을 적용하면 Identity Center 인스턴스의 사용자는 애플리케이션에 할당되지 않는 한 할당 WorkSpaces에 대한 액세스 권한을 잃게 됩니다. 애플리케이션에 사용자를 할당하려면 AWS CLI 명령을 사용하여 애플리케이션에 사용자 또는 그룹을 `create-application-assignment` 할당합니다. 자세한 내용은 [AWS CLI 명령 참조](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/create-application-assignment.html)를 참조하세요.

## 교차 리전 IAM Identity Center 통합 생성(선택 사항)
<a name="create-cross-region-iam-identity-integration"></a>

WorkSpaces와 연결된 IAM Identity Center 인스턴스가 동일한 AWS 리전에 있는 것이 좋습니다. 그러나 WorkSpaces 리전과 다른 리전에 구성된 IAM Identity Center 인스턴스가 이미 있는 경우 교차 리전 통합을 생성할 수 있습니다. 리전 간 WorkSpaces 및 IAM Identity Center 통합을 만들 때 는 사용자 및 그룹 속성과 같은 IAM Identity Center 인스턴스의 정보에 액세스하고 저장하기 위해 리전 간 직접 호출을 수행할 수 있습니다.

**중요**  
Amazon WorkSpaces는 조직 수준 인스턴스에 대해서만 리전 간 IAM Identity Center 및 WorkSpaces 통합을 지원합니다. WorkSpaces는 계정 수준 인스턴스에 대한 리전 간 IAM Identity Center 통합을 지원하지 않습니다. IAM Identity Center 인스턴스 유형 및 사용 사례에 대한 자세한 내용은 [IAM Identity Center 인스턴스 유형 이해하기](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/setting-up.html#idc-instance-types)를 참조하세요.

WorkSpaces 디렉터리와 IAM Identity Center 인스턴스 간에 리전 간 통합을 생성하는 경우 리전 간 직접 호출로 인해 WorkSpaces를 배포할 때와 로그인하는 동안 지연 시간이 길어질 수 있습니다. 지연 시간 증가는 WorkSpaces 리전과 IAM Identity Center 리전 간의 거리에 비례합니다. 구체적인 사용 사례에 대해 지연 시간 테스트를 수행하는 것이 좋습니다.

 [5단계: 전용 Microsoft Entra ID WorkSpaces 디렉터리 생성](https://docs.aws.amazon.com/workspaces/latest/adminguide/launch-entra-id.html#entra-step-5) 중에 리전 간 IAM Identity Center 연결을 활성화할 수 있습니다. **사용자 ID 소스**의 경우 드롭다운 메뉴에서 [1단계: IAM Identity Center 활성화 및 Microsoft Entra ID와 동기화](#entra-step-1)에서 구성한 IAM Identity Center 인스턴스를 선택합니다.

**중요**  
디렉터리가 만들어진 후에는 디렉터리와 연결된 IAM Identity Center 인스턴스를 변경할 수 없습니다.

# WorkSpaces Personal을 사용하여 전용 사용자 지정 디렉터리 만들기
<a name="launch-custom"></a>

Windows 10 및 11 BYOL 개인 WorkSpaces를 생성하고 AWSIAM Identity Center Identity Providers(IdPs로 관리되는 사용자에게 할당하기 전에 전용 사용자 지정 WorkSpaces 디렉터리를 생성해야 합니다. 개인 WorkSpaces는 Microsoft Active Directory에 조인되지 않지만 JumpCloud와 같이 선택한 모바일 디바이스 관리(MDM) 솔루션으로 관리할 수 있습니다. JumpCloud에 대한 자세한 내용은 [이 문서](https://jumpcloud.com/support/integrate-with-aws-workspaces)를 참조하세요. 다른 옵션을 사용하는 자습서는 [WorkSpaces Personal용 디렉터리 만들기](launch-workspaces-tutorials.md) 섹션을 참조하세요.

**참고**  
Amazon WorkSpaces는 사용자 지정 디렉터리에서 시작된 개인 WorkSpaces에서 사용자 계정을 만들거나 관리할 수 없습니다. 관리자는 이를 관리해야 합니다.
사용자 지정 WorkSpaces 디렉터리는 아프리카(케이프타운), 이스라엘(텔아비브), 중국(닝샤)을 제외하고 Amazon WorkSpaces가 제공되는 모든 AWS리전에서 사용할 수 있습니다.
Amazon WorkSpaces는 사용자 지정 디렉터리를 사용하여 WorkSpaces에서 사용자 계정을 만들거나 관리할 수 없습니다. 사용하는 MDM 에이전트 소프트웨어가 Windows WorkSpaces 에서 사용자 프로필을 만들 수 있도록 하려면 MDM 솔루션 제공업체에 문의하세요. 사용자 프로필을 만들면 사용자가 Windows 로그인 화면에서 Windows 데스크톱에 로그인할 수 있습니다.

**Contents**
+ [요구 사항 및 제한 사항](#custom-requirements-limitations)
+ [1단계: IAM Identity Center를 활성화하고 ID 제공업체와 연결](#custom-step-1)
+ [2단계: 전용 사용자 지정 WorkSpaces 디렉터리 만들기](#custom-step-2)

## 요구 사항 및 제한 사항
<a name="custom-requirements-limitations"></a>
+ 사용자 지정 WorkSpaces 디렉터리는 Windows 10 또는 11 Bring Your Own License 개인 WorkSpaces만 지원합니다.
+ 사용자 지정 WorkSpaces 디렉터리는 DCV 프로토콜만 지원합니다.
+ AWS계정에 대해 BYOL을 활성화하고 개인 WorkSpaces가 Windows 10 및 11 활성화를 위해 액세스할 수 있는 자체 AWS KMS서버가 있는지 확인합니다. 자세한 내용은 [보유한 기존 Windows 데스크톱 라이선스를 WorkSpaces에서 사용](byol-windows-images.md)을 참조하세요.
+ AWS계정으로 가져온 BYOL 이미지에 MDM 에이전트 소프트웨어를 사전 설치해야 합니다.

## 1단계: IAM Identity Center를 활성화하고 ID 제공업체와 연결
<a name="custom-step-1"></a>

자격 증명 공급자로 관리되는 사용자에게 WorkSpaces를 할당하려면 AWSIAM Identity Center를 AWS통해 사용자 정보를에 제공해야 합니다. IAM Identity Center를 사용하여 AWS리소스에 대한 사용자의 액세스를 관리하는 것이 좋습니다. 자세한 정보는 [IAM Identity Center란 무엇인가요?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)를 참조하세요. 이는 일회성 설정입니다.

**에서 사용자 정보를 사용할 수 있도록 하려면AWS**

1. 에서 IAM Identity Center를 활성화합니다AWS. 특히 다중 계정 환경을 사용하는 경우 AWS조직에서 IAM Identity Center를 활성화할 수 있습니다. IAM Identity Center의 계정 인스턴스를 만들 수도 있습니다. 자세한 내용은 [AWSIAM Identity Center 활성화](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html)를 참조하세요. 각 WorkSpaces 디렉터리는 하나의 IAM Identity Center 조직 또는 계정 인스턴스와 연결할 수 있습니다. 각 IAM Identity Center 인스턴스는 하나 이상의 WorkSpaces Personal 디렉터리와 연결할 수 있습니다.

   조직 인스턴스를 사용하고 구성원 계정 중 하나에 WorkSpaces 디렉터리를 만들려는 경우 다음 IAM Identity Center 권한이 있는지 확인합니다.
   + `"sso:DescribeInstance"`
   + `"sso:CreateApplication"`
   + `"sso:PutApplicationGrant"`
   + `"sso:PutApplicationAuthenticationMethod"`
   + `"sso:DeleteApplication"`
   + `"sso:DescribeApplication"`
   + `"sso:getApplicationGrant"`

   자세한 내용은 [IAM Identity Center 리소스에 대한 액세스 권한 관리 개요](https://docs.aws.amazon.com/singlesignon/latest/userguide/iam-auth-access-overview.html)를 참조하세요. 이러한 권한을 차단하는 서비스 제어 정책(SCP)이 없는지 확인합니다. SCP에 대한 자세한 내용은 [서비스 제어 정책(SCP)](https://docs.aws.amazon.com/userguide/orgs_manage_policies_scps.html)을 참조하세요.

1. ID 제공업체(IdP)에서 IAM Identity Center 인스턴스로 사용자를 자동으로 동기화하도록 IAM Identity Center와 IdP를 구성합니다. 자세한 내용은 [시작하기 자습서](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html)를 참조하고 사용하려는 IdP에 대한 특정 자습서를 선택합니다. 예를 들어, [IAM Identity Center를 사용하여 JumpCloud Directory Platform에 연결](https://docs.aws.amazon.com/singlesignon/latest/userguide/jumpcloud-idp.html)합니다.

1. IdP에 구성한 사용자가 AWSIAM Identity Center 인스턴스와 올바르게 동기화되었는지 확인합니다. 첫 번째 동기화는 IdP 구성에 따라 최대 1시간이 걸릴 수 있습니다.

## 2단계: 전용 사용자 지정 WorkSpaces 디렉터리 만들기
<a name="custom-step-2"></a>

개인 WorkSpaces 및 사용자에 대한 정보를 저장하는 전용 WorkSpaces Personal 디렉터리를 만듭니다.

**전용 사용자 지정 WorkSpaces 디렉터리를 만들려면**

1. [https://console.aws.amazon.com/workspaces/v2/home](https://console.aws.amazon.com/workspaces/v2/home) WorkSpaces 콘솔을 엽니다.

1. 탐색 창에서 **디렉터리**를 선택합니다.

1. **디렉터리 생성**을 선택합니다.

1. **디렉터리 생성** 페이지의 **WorkSpaces** 유형에서 **개인**을 선택합니다. **WorkSpace 디바이스 관리**에서 **사용자 지정**을 선택합니다.

1. **사용자 ID 소스**의 경우 드롭다운 목록에서 [1단계](https://docs.aws.amazon.com/)에서 구성한 IAM Identity Center 인스턴스를 선택합니다. 디렉터리가 만들어진 후에는 디렉터리와 연결된 IAM Identity Center 인스턴스를 변경할 수 없습니다.
**참고**  
디렉터리에 대한 IAM Identity Center 인스턴스를 지정해야 합니다. 그렇지 않으면 WorkSpaces 콘솔을 사용하여 디렉터리로 개인 WorkSpaces를 시작할 수 없습니다. 연결된 Identity Center가 없는 WorkSpaces 디렉터리는 WorkSpaces Core 파트너 솔루션하고만 호환됩니다.

1. **디렉터리 이름**에 디렉터리의 고유한 이름을 입력합니다.

1. **VPC**에서 WorkSpaces를 시작하는 데 사용한 VPC를 선택합니다. 자세한 내용은 [WorkSpaces Personal를 위한 VPC 구성](amazon-workspaces-vpc.md) 섹션을 참조하세요.

1. **서브셋**의 경우, VPC에서 동일한 가용 영역의 서브넷이 아닌 2개의 서브넷을 선택합니다. 이러한 서브넷은 개인 WorkSpaces를 시작하는 데 사용됩니다. 자세한 내용은 [WorkSpaces Personal의 가용 영역](azs-workspaces.md) 섹션을 참조하세요.
**중요**  
서브넷에서 시작된 WorkSpaces에 인터넷 액세스가 있는지 확인합니다. 이는 사용자가 Windows 데스크톱에 로그인할 때 필요합니다. 자세한 내용은 [WorkSpaces Personal에 인터넷 액세스 제공](amazon-workspaces-internet-access.md) 섹션을 참조하세요.

1. **구성**에서 **전용 WorkSpace 활성화**를 선택합니다. 전용 WorkSpaces Personal 디렉터리를 만들어 Bring Your Own License(BYOL) Windows 10 또는 11 개인 WorkSpaces 를 시작해야 합니다.

1. (선택 사항) **태그**에서 디렉터리의 개인 WorkSpaces에 사용할 키 페어 값을 지정합니다.

1. 디렉터리 요약을 검토하고 **디렉터리 생성**을 선택합니다. 디렉터리를 연결하는 데 몇 분 정도 걸립니다. 디렉터리의 초기 상태는 `Creating`입니다. 디렉터리 생성 과정이 완료되면 상태가 `Active`로 변경됩니다.

디렉터리가 만들어지면 사용자를 대신하여 IAM Identity Center 애플리케이션도 자동으로 만들어집니다. 애플리케이션의 ARN을 찾으려면 디렉터리의 요약 페이지로 이동합니다.

이제 디렉터리를 사용하여 Microsoft Intune에 등록되어 Microsoft Entra ID에 조인된 Windows 10 또는 11 개인 WorkSpaces를 시작할 수 있습니다. 자세한 내용은 [WorkSpaces Personal에서 WorkSpaces 만들기](create-workspaces-personal.md) 섹션을 참조하세요.

WorkSpaces Personal 디렉터리를 만든 후 개인 WorkSpace를 만들 수 있습니다. 자세한 내용은 [WorkSpaces Personal에서 WorkSpaces 만들기](create-workspaces-personal.md) 섹션을 참조하세요.