AWS IAM Identity Center, AWS 계정 액세스 및 애플리케이션 사용을 위한 다중 리전 복제 지원

오늘 AWS는 추가 AWS 리전에서 AWS 계정 액세스와 관리형 애플리케이션 사용을 가능하게 하는 AWS IAM Identity Center 다중 리전 지원 기능의 정식 출시를 발표합니다.

이 기능을 사용하면 Microsoft Entra ID, Okta와 같은 외부 ID 제공업체(IdP)에 연결된 IAM Identity Center 조직 인스턴스에서 현재 기본 리전에 있는 직원 ID, 권한 세트, 기타 메타데이터를 추가 리전으로 복제하여 AWS 계정 액세스의 복원력을 향상시킬 수 있습니다.

또한 애플리케이션 사용자 및 데이터세트와 가까운 선호 리전에 AWS 관리형 애플리케이션을 배포하여 사용자 경험을 개선하거나 데이터 상주 요구 사항을 충족할 수 있습니다. 추가 리전에 배포된 애플리케이션은 복제된 직원 ID에 로컬로 액세스하므로 최적의 성능과 신뢰성을 제공합니다.

직원 ID를 추가 리전으로 복제하면 해당 리전에 활성화된 AWS 액세스 포털 엔드포인트가 직원에게 제공됩니다. 이는 기본 리전에서 IAM Identity Center 서비스 장애가 발생하는 매우 드문 상황에서도, 이미 프로비저닝된 권한을 사용하여 직원이 추가 리전의 AWS 액세스 포털을 통해 계속해서 AWS 계정에 액세스할 수 있음을 의미합니다. IAM Identity Center 구성은 계속해서 기본 리전에서 관리할 수 있으므로 중앙 집중식 제어를 유지할 수 있습니다.

여러 리전에서 IAM Identity Center 활성화
시작하기 전에, 현재 사용 중인 AWS 관리형 애플리케이션이 AWS Identity Center에서 고객 관리형 AWS Key Management Service(AWS KMS) 키 사용을 지원하는지 확인해야 합니다. 이 기능이 2025년 10월에 처음 도입되었을 당시, Seb은 회사 정책상 단일 리전 키만 사용해야 하는 제한이 없는 경우 다중 리전 AWS KMS 키 사용을 권장했습니다. 다중 리전 키는 각 리전에서 독립적인 키 인프라를 유지하면서도 여러 리전에서 일관된 키 자료를 제공합니다.

IAM Identity Center를 추가 리전으로 복제하기 전에, 먼저 고객 관리형 AWS KMS 키를 해당 리전으로 복제하고 IAM Identity Center 작업에 필요한 권한으로 복제 키를 구성해야 합니다. 다중 리전 복제 키 생성 방법에 대한 자세한 내용은 AWS KMS 개발자 가이드의 다중 리전 복제 키 생성을 참조하세요.

기본 리전(예: 미국 동부(버지니아 북부))에서 IAM Identity Center 콘솔로 이동한 후, 왼쪽 탐색 창에서 설정을 선택하고 관리 탭을 선택합니다. 구성된 암호화 키가 다중 리전 고객 관리형 AWS KMS 키인지 확인합니다. 추가 리전을 구성하려면 리전 추가를 선택합니다.

사용 가능한 리전 목록에서 IAM Identity Center를 복제할 추가 리전을 선택할 수 있습니다. 추가 리전을 선택할 때는 데이터 규정 준수나 사용자 경험 등 의도한 사용 사례를 고려해야 합니다.

예를 들어, 규정 준수상의 이유로 특정 리전에 제한된 데이터세트에 액세스하는 AWS 관리형 애플리케이션을 실행하려는 경우, 해당 데이터 세트가 위치한 리전을 선택해야 합니다. 추가 리전을 사용하여 AWS 애플리케이션을 배포할 계획이라면, 필요한 애플리케이션이 선택한 리전과 추가 리전 배포를 지원하는지 확인해야 합니다.

리전 추가를 선택합니다. 그러면 초기 복제가 시작되며, 소요 시간은 Identity Center 인스턴스의 크기에 따라 달라집니다.

복제가 완료되면 사용자는 이 새로운 리전에서 AWS 계정과 애플리케이션에 액세스할 수 있습니다. ACS URL 확인을 선택하면 기본 리전과 추가 리전에 대한 어설션 소비자 서비스(ACS) URL 등 SAML 관련 정보를 확인할 수 있습니다.

직원이 추가 리전을 사용할 수 있는 방법
AWS Identity Center는 Microsoft Entra ID, Okta와 같은 외부 IdP와의 SAML Single Sign-On(SSO)을 지원합니다. 사용자가 IdP에서 인증을 완료하면 AWS 액세스 포털로 리디렉션됩니다. 새로 추가한 리전의 AWS 액세스 포털로 사용자가 리디렉션되도록 하려면, 해당 추가 리전의 ACS URL을 IdP 구성에 추가해야 합니다.

다음 스크린샷은 Okta 관리자 콘솔에서 이 작업을 수행하는 방법을 보여줍니다.

그런 다음, 사용자가 추가 리전을 쉽게 찾을 수 있도록 ID 제공업체에서 북마크 애플리케이션을 생성할 수 있습니다. 이 북마크 앱은 브라우저 북마크와 유사하게 작동하며, 추가 리전에 있는 AWS 액세스 포털의 URL만 포함합니다.

또한 기존 배포 워크플로를 사용하여 추가 리전에 AWS 관리형 애플리케이션을 배포할 수도 있습니다. 사용자는 AWS 액세스 포털, 애플리케이션 링크 또는 AWS Command Line Interface(AWS CLI)와 같은 기존 액세스 방식을 통해 애플리케이션이나 계정에 액세스할 수 있습니다.

추가 리전 배포를 지원하는 AWS 관리형 애플리케이션에 대한 자세한 내용은 IAM Identity Center 사용 설명서를 참조하세요.

알아야 할 사항
이 기능에 대해 알아야 할 주요 고려 사항은 다음과 같습니다.

• 고려 사항 – 이 기능을 출시 시점에 활용하려면 외부 IdP에 연결된 IAM Identity Center 조직 인스턴스를 사용하고 있어야 합니다. 또한 기본 리전과 추가 리전은 AWS 계정에서 기본적으로 활성화되어 있어야 합니다. 계정 인스턴스 형태의 IAM Identity Center와 나머지 두 가지 ID 소스(Microsoft Active Directory 및 IAM Identity Center 디렉터리)는 현재 지원되지 않습니다.
• 운영 – 기본 리전은 워크포스 ID, 계정 액세스 권한, 외부 IdP 및 기타 구성을 관리하는 중앙 위치로 유지됩니다. 추가 리전에서는 제한된 기능 세트로 IAM Identity Center 콘솔을 사용할 수 있으며, 대부분의 작업은 읽기 전용입니다. 예외적으로 애플리케이션 관리와 사용자 세션 해지는 수행할 수 있습니다.
• 모니터링 – 모든 직원 작업은 해당 작업이 진행된 리전의 AWS CloudTrail에 기록됩니다. 이 기능은 계정 액세스 연속성을 향상시킵니다. 외부 IdP에 서비스 장애가 발생한 경우를 대비해, 권한이 높은 사용자가 AWS에 액세스할 수 있도록 비상 접근을 구성할 수 있습니다.

현재 사용 가능
AWS IAM Identity Center 다중 리전 지원은 기본적으로 활성화된 17개 상용 AWS 리전에서 현재 사용할 수 있습니다. 리전별 이용 가능 여부와 향후 로드맵은 리전별 AWS 기능을 참조하세요. 이 기능은 추가 비용 없이 사용할 수 있으며, 고객 관리형 키의 저장 및 사용에 대해서는 표준 AWS KMS 요금이 적용됩니다.

AWS Identity Center 콘솔에서 직접 사용해 보세요. 자세한 내용은 IAM Identity Center 사용 설명을 참고하시고, AWS re:Post for Identity Center 또는 기존 AWS Support 채널을 통해 피드백을 전달할 수 있습니다.

— Channy