게시된 날짜: Nov 25, 2019

오늘 오전부터 AWS Identity and Access Management(IAM)에서 직원의 기존 ID 속성(예: 디렉터리의 비용 센터 및 부서)을 사용하여 AWS에서 세분된 권한을 생성할 수 있게 됩니다. 관리자는 AWS에서 이런 직원 속성을 이용하여 AWS 리소스에 대한 속성 기반 액세스 제어를 구현하고, 대규모 권한 관리를 단순화할 수 있습니다.  

직원에게 AWS 리소스에 대한 액세스 권한을 부여하려면 자격 증명 연동을 사용합니다. 표준을 준수하는 ID 공급자(IdP)를 통해 회사 디렉터리에 저장된 직원 ID의 연동된 액세스 권한을 관리할 수 있습니다. 디렉터리에서 ID 속성을 활용하여 연동된 사용자의 액세스 권한을 관리할 때 관리 및 최종 사용자 경험을 단순화하고 싶다는 고객의 의견이 있었습니다. 이번 기능 출시를 통해 관리자들은 직원을 AWS에 연동할 때 AWS 세션에서 직원 속성을 전송하도록 IdP를 구성할 수 있게 됩니다. 이 속성을 AWS에서 태그로 활용하면 세분된 권한을 간단히 생성할 수 있고, 직원은 태그가 일치하는 AWS 리소스에만 액세스하게 됩니다. 이렇게 하면 AWS 계정에서 생성하고 관리해야 하는 권한 개수가 감소합니다. 예를 들어 레드 팀의 개발자 Bob과 블루 팀의 개발자 Sally가 AWS로 연동하고 동일한 IAM 역할을 맡을 경우, 각 팀으로 태그된 프로젝트 리소스에만 해당하는 권한을 갖게 됩니다. Bob과 Sally가 ASWS에 연동될 때 IdP가 팀 이름 속성을 AWS 세션에 전송하고, 해당 역할 권한을 통해 팀 이름 태그가 일치하는 프로젝트 리소스에 대한 액세스 권한을 부여하기 때문입니다. Bob이 블루 팀으로 옮겨간 경우, 디렉터리에 있는 Bob의 팀 이름을 업데이트하면 IAM에서 권한을 업데이트하지 않고도 Bob이 파란 팀의 프로젝트 리소스에 자동 액세스할 수 있습니다. 

AWS Identity 파트너인 Ping Identity, OneLogin, Okta, Auth0, Forgerock, IBM 및 RSA가 자사 ID 솔루션으로 새로운 기능의 경험을 처음부터 끝까지 인증하였습니다. 새로운 기능을 인증할 추가 파트너도 환영합니다. 표준을 준수하는 ID 공급자에게 문의하여 안내를 받으십시오. 기업 ID를 AWS의 권한 규칙과 연결하는 방법에 대해 자세히 알아보려면 AWS 세션에서 세션 태그 전달을 참조하십시오.