AWS IAM Identity Center FAQ

Page Topics

ID 소스 및 애플리케이션 지원
9
AWS 계정에 대한 Single Sign-On(SSO) 액세스
10
비즈니스 애플리케이션에 대한 Single Sign-On(SSO) 액세스
4
기타
5

ID 소스 및 애플리케이션 지원

IAM Identity Center를 사용하도록 설정한 후 보유한 기존 IAM 역할 또는 사용자는 그대로 계속 작동합니다. 즉, AWS에 대한 기존 액세스를 방해하지 않고 단계적 접근 방식으로 IAM Identity Center로 마이그레이션할 수 있습니다.

IAM Identity Center는 AWS 계정 내에서 사용할 새 역할을 제공합니다. 기존 IAM 역할에 사용하는 것과 동일한 정책을 IAM Identity Center에서 사용되는 새 역할에 연결할 수 있습니다.

IAM Identity Center는 IAM 사용자 및 그룹을 생성하지 않습니다. Identity Center에는 사용자 정보를 보관하기 위해 특별히 구축된 ID 스토어가 있습니다. 외부 ID 제공업체를 사용하는 경우 사용자 속성 및 그룹 멤버십의 동기화된 사본이 Identity Center에 보관되지만 암호 또는 MFA 디바이스와 같은 인증 자료는 보관되지 않습니다. 여전히 외부 ID 제공업체가 사용자 정보 및 속성에 대한 신뢰할 수 있는 출처로 남습니다.

예. Okta Universal Directory, Microsoft Entra ID(구 Azure AD), OneLogin 또는 PingFederate를 사용하는 경우 SCIM을 사용하여 IdP의 사용자 및 그룹 정보를 자동으로 IAM Identity Center로 동기화할 수 있습니다. 자세히 알아보려면 IAM Identity Center 사용 설명서를 참조하세요.

AWS Directory Service를 사용하여 IAM Identity Center를 온프레미스 Active Directory(AD) 또는 AWS Managed Microsoft AD 디렉터리에 연결할 수 있습니다. 자세히 알아보려면 IAM Identity Center 사용 설명서를 참조하세요.

온프레미스에서 호스팅되는 Active Directory를 IAM Identity Center에 연결하는 방법은 두 가지입니다. (1) AD Connector를 사용하거나 (2) AWS Managed Microsoft AD 신뢰 관계를 사용하는 것입니다. AD Connector는 기존 온프레미스 Active Directory를 AWS에 간단히 연결합니다. AD Connector는 클라우드에서 어떤 정보도 캐싱하지 않고 디렉터리 요청을 온프레미스 Microsoft Active Directory로 리디렉션할 수 있는 디렉터리 게이트웨이입니다. AD Connector를 사용하여 온프레미스 디렉터리를 연결하려면 AWS Directory Service 관리 가이드를 참조하세요. AWS Managed Microsoft AD를 사용하면 Microsoft Active Directory를 AWS에서 쉽게 설정하고 실행할 수 있습니다. 이는 온프레미스 디렉터리와 AWS Managed Microsoft AD 간에 포리스트 신뢰 관계를 설정하는 데 사용할 수 있습니다. 신뢰 관계를 설정하려면 AWS Directory Service 관리 가이드를 참조하세요.

Amazon Cognito는 고객과 대면하는 애플리케이션의 ID 관리에 도움을 제공하는 서비스이며 IAM Identity Center에서 지원되는 ID 소스가 아닙니다. IAM Identity Center나 Microsoft Active Directory, Okta Universal Directory, Microsoft Entra ID(이전의 Azure AD) 또는 지원되는 다른 IdP등 외부 ID 소스에서 직원 ID를 생성 및 관리할 수 있습니다.

예. IAM Identity Center를 사용하여 AWS Management Console 및 CLI v2에 대한 액세스를 제어할 수 있습니다. IAM Identity Center를 사용하면 사용자가 Single Sign-On 환경을 통해 CLI 및 AWS Management Console에 액세스할 수 있습니다. 또한 AWS Mobile 콘솔 앱은 IAM Identity Center를 지원하므로 브라우저, 모바일 및 명령줄 인터페이스에 관계없이 일관된 로그인 환경을 제공할 수 있습니다.

IAM Identity Center에 연결할 수 있는 애플리케이션은 다음과 같습니다.

IAM Identity Center 통합 애플리케이션: SageMaker StudioIoT SiteWise와 같은 IAM Identity Center 통합 애플리케이션은 인증에 IAM Identity Center를 사용하며 IAM Identity Center에 있는 ID로 작동합니다. 이러한 애플리케이션으로 ID를 동기화하거나 별도로 페더레이션을 설정하기 위한 추가 구성은 필요하지 않습니다.

사전 통합된 SAML 애플리케이션: IAM Identity Center는 일반적으로 사용되는 비즈니스 애플리케이션과 사전 통합된 상태로 제공됩니다. 전체 목록은 IAM Identity Center 콘솔을 참조하세요.

사용자 지정 SAML 애플리케이션: IAM Identity Center는 SAML 2.0을 사용한 아이덴티티 페더레이션을 허용하는 애플리케이션을 지원합니다. 사용자 지정 애플리케이션 마법사를 사용하여 IAM Identity Center에서 이러한 애플리케이션을 지원할 수 있습니다.

AWS 계정에 대한 Single Sign-On(SSO) 액세스

AWS Organizations를 사용하여 관리되는 AWS 계정이라면 IAM Identity Center에 추가할 수 있습니다. 계정 Single Sign-On(SSO)을 관리하려면 조직에서 모든 기능을 사용하도록 설정해야 합니다.

조직 내 계정을 선택하거나 OU 기준으로 계정을 필터링하면 됩니다.

신뢰할 수 있는 ID 전파는 OAuth 2.0 인증 프레임워크를 기반으로 합니다. 이 프레임워크를 사용하면 애플리케이션이 특정 사용자의 보안 인증 정보를 공유하지 않고도 특정 사용자를 대신하여 데이터 및 기타 리소스에 액세스할 수 있습니다. 이 IAM Identity Center 기능은 여러 AWS 분석 애플리케이션에서 사용자의 데이터 액세스 관리, 감사를 간소화하고 분석 사용자의 로그인 경험을 개선합니다.

리소스 및 데이터베이스 관리자는 세분화된 사용자 및 그룹 구성원 수준에서 자산에 대한 액세스를 정의할 수 있습니다. 감사자는 상호 연결된 비즈니스 인텔리전스 및 데이터 분석 애플리케이션 전반에서 사용자 작업을 검토할 수 있습니다. 비즈니스 인텔리전스 애플리케이션 사용자는 한 번만 인증하면 AWS 데이터 소스에 액세스할 수 있습니다. 신뢰할 수 있는 ID 전파를 통해 고객은 Amazon Redshift, Amazon S3, Amazon Quicksight, Amazon Athena, AWS LakeFormation 등 여러 애플리케이션 및 AWS 서비스가 포함된 분석 워크플로의 데이터에 대한 최소 권한 액세스 요구 사항을 충족할 수 있습니다. 

신뢰할 수 있는 ID 전파의 기본적인 사용 사례는 비즈니스 인텔리전스(BI) 애플리케이션이 고객의 기존 ID 공급자를 통해 한 번의 사용자 로그인으로 사용자의 ID를 인식을 유지하며 비즈니스 사용자가 Amazon Redshift 또는 Amazon Quicksight 등 AWS 분석 서비스에 필요한 데이터를 쿼리할 수 있도록 하는 것입니다. 이 기능은 일반적으로 사용되는 다양한 유형의 BI 애플리케이션을 지원하고 다양한 메커니즘을 사용하여 서비스 간에 사용자 ID를 전파합니다.

사용자에게 액세스 권한을 부여할 때 권한 세트를 선택하여 사용자의 권한을 제한할 수 있습니다. 권한 세트란 IAM Identity Center에서 생성할 수 있는 권한의 모음으로, 직무에 대한 AWS 관리형 정책 또는 모든 AWS 관리형 정책을 기반으로 권한을 모델링합니다. 직무에 대한 AWS 관리형 정책은 IT 업계의 일반적인 직무와 긴밀하게 연결되도록 구성됩니다. 필요한 경우 보안 요구 사항 충족을 위해 권한 세트를 완전히 사용자 지정할 수도 있습니다. IAM Identity Center는 선택한 계정에 이러한 권한을 자동으로 적용합니다. 권한 세트를 변경할 때 IAM Identity Center를 사용하여 변경 내용을 관련 계정에 쉽게 적용할 수 있습니다. 사용자가 AWS 액세스 포털을 통해 계정에 액세스하면 이러한 권한이 사용자가 해당 계정 내에서 할 수 있는 작업을 제한합니다. 사용자에게 여러 권한 세트를 부여할 수도 있습니다. 사용자 포털을 통해 계정에 액세스할 때 사용자는 해당 세션에 사용할 권한 집합을 선택할 수 있습니다.

IAM Identity Center는 여러 계정을 사용하는 환경에서 권한 관리를 자동화하고 감사 및 거버넌스 목적으로 프로그래밍을 통해 권한을 검색할 수 있는 APIAWS CloudFormation 지원을 제공합니다.

ABAC를 구현하려면 IAM Identity Center 사용자 및 Microsoft AD 또는 외부 SAML 2.0 IdP(예: Okta Universal Directory, Microsoft Entra ID(구 Azure AD), OneLogin 또는 PingFederate)에서 동기화된 사용자를 위한 IAM Identity Center ID 저장소에서 속성을 선택할 수 있습니다. IdP를 ID 소스로 사용하는 경우, 선택 사항으로 속성을 SAML 2.0 어설션의 일부로 보낼 수 있습니다.

모든 AWS 계정, 그리고 IAM Identity Center 관리자에게 할당받은 사용자 권한에 대해 AWS CLI 보안 인증 정보를 얻을 수 있습니다. 이러한 CLI 자격 증명을 사용하여 프로그래밍 방식으로 AWS 계정에 액세스할 수 있습니다.

IAM Identity Center를 통해 가져온 AWS CLI 보안 인증 정보는 60분간 유효합니다. 필요한 만큼 자주 새로운 자격 증명 세트를 얻을 수 있습니다.

비즈니스 애플리케이션에 대한 Single Sign-On(SSO) 액세스

IAM Identity Center 콘솔에서 애플리케이션 창으로 이동하고 새 애플리케이션 구성(Configure new application)을 선택한 다음 IAM Identity Center에 사전 통합된 클라우드 애플리케이션 목록에서 애플리케이션을 선택합니다. 화면의 지침에 따라 애플리케이션을 구성합니다. 이제 애플리케이션이 구성되었고 이 애플리케이션에 대한 액세스 권한을 할당할 수 있습니다. 애플리케이션에 대한 액세스 권한을 부여할 그룹 또는 사용자를 선택하고 '액세스 할당'을 선택해 프로세스를 완료하십시오.

예. 애플리케이션이 SAML 2.0을 지원하는 경우, 애플리케이션을 사용자 지정 SAML 2.0 애플리케이션으로 구성할 수 있습니다. IAM Identity Center 콘솔에서 애플리케이션 창으로 이동하고 새 애플리케이션 구성(Configure new application)을 선택한 다음 사용자 지정 SAML 2.0 애플리케이션을 선택합니다. 지침에 따라 애플리케이션을 구성합니다. 이제 애플리케이션이 구성되었고 이 애플리케이션에 대한 액세스 권한을 할당할 수 있습니다. 애플리케이션에 대한 액세스 권한을 부여할 그룹 또는 사용자를 선택하고 '액세스 할당'을 선택해 프로세스를 완료하십시오.

아니요. IAM Identity Center는 SAML 2.0 기반 애플리케이션만 지원합니다.

아니요. IAM Identity Center는 웹 브라우저를 통해서만 비즈니스 애플리케이션에 대한 Single Sign-On을 지원합니다.

기타

IAM Identity Center는 사용자 및 그룹에 할당된 AWS 계정과 클라우드 애플리케이션에 대한 데이터와 AWS 계정에 액세스하기 위해 부여된 권한에 대한 데이터를 저장합니다. 또한 IAM Identity Center는 사용자에게 액세스를 부여하는 각 권한 세트에 대한 IAM 역할을 개별 AWS 계정에서 생성하고 관리합니다.

IAM Identity Center를 사용하면 모든 ID 소스의 모든 사용자에 대한 강력한 표준 기반 인증 기능을 활성화할 수 있습니다. 지원되는 SAML 2.0 IdP를 ID 소스로 사용하는 경우 제공업체의 다중 인증 기능을 활성화할 수 있습니다. IAM Identity Center 또는 Active Directory를 ID 소스로 사용하는 경우 IAM Identity Center는 FIDO 지원 보안 키(예: YubiKey) 및 기본 제공 생체 인증(예: Apple MacBooks의 Touch ID 및 PC의 얼굴 인식)을 통해 AWS 계정 및 비즈니스 애플리케이션에 대한 사용자의 액세스를 보안하도록 웹 인증 사양을 지원합니다. 또한 Google Authenticator 또는 Twilio Authy와 같은 인증 앱을 사용하여 1회성 암호(OTP)를 활성화할 수도 있습니다.

IAM Identity Center 및 AWS Directory Service에서 기존 Remote Authentication Dial-In User Service(RADIUS) MFA 구성을 사용하여 2차 검증 양식으로 사용자를 인증할 수도 있습니다. IAM Identity Center를 통한 MFA 구성에 대해 자세히 알아보려면 IAM Identity Center 사용 설명서를 참조하세요.

예. IAM Identity Center ID 저장소 및 Active Directory의 사용자 ID에 대해 IAM Identity Center는 FIDO 지원 보안 키(예: YubiKey) 및 기본 제공 생체 인증(예: Apple MacBooks의 Touch ID 및 PC의 얼굴 인식)을 통해 AWS 계정 및 비즈니스 애플리케이션에 대한 사용자의 액세스를 보호하는 데 도움이 되는 웹 인증(WebAuthn) 사양을 지원합니다. 또한 Google Authenticator 또는 Twilio Authy와 같은 인증 앱을 사용하여 1회성 암호(OTP)를 활성화할 수도 있습니다.

직원들은 IAM Identity Center에서 ID 소스를 구성할 때 생성되는 액세스 포털을 방문하여 IAM Identity Center를 시작할 수 있습니다. IAM Identity Center에서 사용자를 관리하는 경우, 직원은 IAM Identity Center에서 구성한 이메일 주소 및 암호를 사용하여 사용자 포털에 로그인할 수 있습니다. Microsoft Active Directory 또는 SAML 2.0 ID 제공업체에 IAM Identity Center를 연결하는 경우, 직원은 기존 기업 보안 인증 정보로 사용자 포털에 로그인한 다음 계정 및 할당된 애플리케이션을 볼 수 있습니다. 계정 또는 애플리케이션에 액세스하려면 직원은 액세스 포털에서 관련 아이콘을 선택하면 됩니다.

예. IAM Identity Center는 여러 계정을 사용하는 환경에서 권한 관리를 자동화하고 감사 및 거버넌스를 위해 프로그래밍을 통해 권한을 검색할 수 있는 계정 할당 API를 제공합니다.