AWS IAM Identity Center FAQ

Page Topics

일반
7
ID 소스 및 애플리케이션 지원
12
AWS 계정에 대한 Single Sign-On(SSO) 액세스
8
비즈니스 애플리케이션에 대한 Single Sign-On(SSO) 액세스
4
기타
5

일반

IAM Identity Center는 AWS Identity and Access Management(IAM)를 기반으로 구축된 서비스로, 여러 AWS 계정, AWS 애플리케이션 및 다른 SAML 사용 클라우드 애플리케이션에 대한 액세스 관리를 간소화합니다. IAM Identity Center에서는 AWS 전반에서 사용할 인력 사용자를 만들거나 연결할 수 있습니다. AWS 계정에 대한 액세스만 또는 클라우드 애플리케이션에 대한 액세스만 관리하도록 선택하거나 둘 다에 대한 액세스를 관리하도록 선택할 수 있습니다. IAM Identity Center에서 직접 사용자를 만들거나 기존 인력 디렉터리에서 가져올 수 있습니다. IAM Identity Center를 사용하면 세분화된 액세스를 정의, 사용자 지정 및 할당할 수 있는 통합 관리 환경을 얻을 수 있습니다. 인력 사용자는 할당된 AWS 계정 또는 클라우드 애플리케이션에 액세스할 수 있는 사용자 포털을 얻습니다.

IAM Identity Center는 각 AWS 계정의 권한을 별도로 페더레이션하고 관리해야 하는 관리 복잡성을 없애줍니다. 단일 인터페이스에서 AWS 애플리케이션을 설정할 수 있고 단일 위치에서 클라우드 애플리케이션에 대한 액세스 권한을 할당할 수 있습니다.

IAM Identity Center를 AWS CloudTrail과 통합하고 AWS 계정 및 SAML 사용 클라우드 애플리케이션(예: Microsoft 365, Salesforce 및 Box)에 대한 Single Sign-On(SSO) 액세스를 중앙에서 감사하면 액세스 가시성을 개선하는 데도 도움이 됩니다.

IAM Identity Center는 AWS를 사용할 때 권장되는 시작점입니다. 인력 사용자의 AWS 액세스를 관리하기 위한 기본 도구로 사용되어야 합니다. 선호하는 ID 소스의 ID를 관리하고 AWS 내 사용을 위해 연결할 수 있으며 세분화된 권한을 정의하고 계정 전체에 일관된 방식으로 적용할 수 있습니다. 계정의 수가 확장되면 모든 클라우드 애플리케이션에 대한 사용자 액세스를 관리하는 단일 위치로 IAM Identity Center를 사용할 수 있습니다.

IAM Identity Center는 관리하는 AWS 계정과 비즈니스 애플리케이션이 많고, 이러한 클라우드 서비스에 대한 사용자 액세스를 중앙에서 관리하려 하며, 새로운 암호를 외울 필요 없이 이러한 계정과 애플리케이션에 액세스할 수 있는 단일 위치를 직원들에게 제공하려는 관리자를 위한 솔루션입니다.

신규 IAM Identity Center 고객인 경우 다음을 수행합니다.

AWS 계정 내 관리 계정의 AWS Management Console에 로그인하고 IAM Identity Center 콘솔로 이동합니다.

IAM Identity Center 콘솔에서 사용자 및 그룹의 ID를 저장하는 데 사용할 디렉터리를 선택합니다. IAM Identity Center는 IAM Identity Center에서 사용자 및 그룹을 관리하는 데 사용할 수 있는 디렉터리를 기본적으로 제공합니다. IAM Identity Center가 계정에서 자동으로 검색하는 Managed Microsoft AD 및 AD Connector 인스턴스의 목록에서 Microsoft AD 디렉터리에 연결할 디렉터리를 클릭하여 변경할 수도 있습니다. Microsoft AD 디렉터리에 연결하려는 경우 AWS Directory Service 시작하기를 참조하세요.

IAM Identity Center에 의해 채워지는 목록에서 AWS 계정을 선택하고 디렉터리에서 사용자 또는 그룹을 선택한 다음, 이들에게 부여할 권한을 선택하여 조직 내 AWS 계정에 대한 Single Sign-On(SSO) 액세스 권한을 부여합니다.

비즈니스 클라우드 애플리케이션에 대한 액세스 권한을 사용자에게 부여하는 방법은 다음과 같습니다.

a. IAM Identity Center에서 지원되는 사전 통합된 애플리케이션 목록에서 애플리케이션을 하나 선택합니다.

b. 구성 지침에 따라 애플리케이션 구성.

c. 이 애플리케이션에 액세스할 사용자 또는 그룹 선택.

사용자가 IAM Identity Center에 로그인하여 계정 및 비즈니스 애플리케이션에 액세스할 수 있도록 디렉터리를 구성할 때 생성된 IAM Identity Center 로그인 웹 주소를 사용자에게 제공합니다.

IAM Identity Center는 추가 요금 없이 제공됩니다.

리전별 IAM Identity Center 가용성은 AWS 리전 표를 참조하세요.

ID 소스 및 애플리케이션 지원

아니요. 언제든 하나의 디렉터리 또는 하나의 SAML 2.0 ID 제공업체만 IAM Identity Center에 연결할 수 있습니다. 다만 연결된 ID 소스를 다른 ID 소스로 변경할 수는 있습니다.

IAM Identity Center는 Okta Universal Directory 또는 Microsoft Entra ID(구 Azure AD)와 같은 대부분의 SAML 2.0 IdP에 연결할 수 있습니다. 자세히 알아보려면 IAM Identity Center 사용 설명서를 참조하세요.

아니요. IAM Identity Center는 AWS 계정의 기존 IAM 역할, 사용자 또는 정책을 수정하지 않습니다. IAM Identity Center는 특별히 IAM Identity Center를 통해 사용할 새로운 역할과 정책을 생성합니다.

IAM Identity Center를 사용하도록 설정한 후 보유한 기존 IAM 역할 또는 사용자는 그대로 계속 작동합니다. 즉, AWS에 대한 기존 액세스를 방해하지 않고 단계적 접근 방식으로 IAM Identity Center로 마이그레이션할 수 있습니다.

IAM Identity Center는 AWS 계정 내에서 사용할 새 역할을 제공합니다. 기존 IAM 역할에 사용하는 것과 동일한 정책을 IAM Identity Center에서 사용되는 새 역할에 연결할 수 있습니다.

IAM Identity Center는 IAM 사용자 및 그룹을 생성하지 않습니다. Identity Center에는 사용자 정보를 보관하기 위해 특별히 구축된 ID 스토어가 있습니다. 외부 ID 제공업체를 사용하는 경우 사용자 속성 및 그룹 멤버십의 동기화된 사본이 Identity Center에 보관되지만 암호 또는 MFA 디바이스와 같은 인증 자료는 보관되지 않습니다. 여전히 외부 ID 제공업체가 사용자 정보 및 속성에 대한 신뢰할 수 있는 출처로 남습니다.

예. Okta Universal Directory, Microsoft Entra ID(구 Azure AD), OneLogin 또는 PingFederate를 사용하는 경우 SCIM을 사용하여 IdP의 사용자 및 그룹 정보를 자동으로 IAM Identity Center로 동기화할 수 있습니다. 자세히 알아보려면 IAM Identity Center 사용 설명서를 참조하세요.

AWS Directory Service를 사용하여 IAM Identity Center를 온프레미스 Active Directory(AD) 또는 AWS Managed Microsoft AD 디렉터리에 연결할 수 있습니다. 자세히 알아보려면 IAM Identity Center 사용 설명서를 참조하세요.

온프레미스에서 호스팅되는 Active Directory를 IAM Identity Center에 연결하는 방법은 두 가지입니다. (1) AD Connector를 사용하거나 (2) AWS Managed Microsoft AD 신뢰 관계를 사용하는 것입니다. AD Connector는 기존 온프레미스 Active Directory를 AWS에 간단히 연결합니다. AD Connector는 클라우드에서 어떤 정보도 캐싱하지 않고 디렉터리 요청을 온프레미스 Microsoft Active Directory로 리디렉션할 수 있는 디렉터리 게이트웨이입니다. AD Connector를 사용하여 온프레미스 디렉터리를 연결하려면 AWS Directory Service 관리 가이드를 참조하세요. AWS Managed Microsoft AD를 사용하면 Microsoft Active Directory를 AWS에서 쉽게 설정하고 실행할 수 있습니다. 이는 온프레미스 디렉터리와 AWS Managed Microsoft AD 간에 포리스트 신뢰 관계를 설정하는 데 사용할 수 있습니다. 신뢰 관계를 설정하려면 AWS Directory Service 관리 가이드를 참조하세요.

Amazon Cognito는 고객과 대면하는 애플리케이션의 ID 관리에 도움을 제공하는 서비스이며 IAM Identity Center에서 지원되는 ID 소스가 아닙니다. IAM Identity Center나 Microsoft Active Directory, Okta Universal Directory, Microsoft Entra ID(이전의 Azure AD) 또는 지원되는 다른 IdP등 외부 ID 소스에서 직원 ID를 생성 및 관리할 수 있습니다.

예. IAM Identity Center를 사용하여 AWS Management Console 및 CLI v2에 대한 액세스를 제어할 수 있습니다. IAM Identity Center를 사용하면 사용자가 Single Sign-On 환경을 통해 CLI 및 AWS Management Console에 액세스할 수 있습니다. 또한 AWS Mobile 콘솔 앱은 IAM Identity Center를 지원하므로 브라우저, 모바일 및 명령줄 인터페이스에 관계없이 일관된 로그인 환경을 제공할 수 있습니다.

IAM Identity Center에 연결할 수 있는 애플리케이션은 다음과 같습니다.

IAM Identity Center 통합 애플리케이션: SageMaker StudioIoT SiteWise와 같은 IAM Identity Center 통합 애플리케이션은 인증에 IAM Identity Center를 사용하며 IAM Identity Center에 있는 ID로 작동합니다. 이러한 애플리케이션으로 ID를 동기화하거나 별도로 페더레이션을 설정하기 위한 추가 구성은 필요하지 않습니다.

사전 통합된 SAML 애플리케이션: IAM Identity Center는 일반적으로 사용되는 비즈니스 애플리케이션과 사전 통합된 상태로 제공됩니다. 전체 목록은 IAM Identity Center 콘솔을 참조하세요.

사용자 지정 SAML 애플리케이션: IAM Identity Center는 SAML 2.0을 사용한 아이덴티티 페더레이션을 허용하는 애플리케이션을 지원합니다. 사용자 지정 애플리케이션 마법사를 사용하여 IAM Identity Center에서 이러한 애플리케이션을 지원할 수 있습니다.

AWS 계정에 대한 Single Sign-On(SSO) 액세스

AWS Organizations를 사용하여 관리되는 AWS 계정이라면 IAM Identity Center에 추가할 수 있습니다. 계정 Single Sign-On(SSO)을 관리하려면 조직에서 모든 기능을 사용하도록 설정해야 합니다.

조직 내 계정을 선택하거나 OU 기준으로 계정을 필터링하면 됩니다.

신뢰할 수 있는 ID 전파의 기본적인 사용 사례는 비즈니스 인텔리전스(BI) 애플리케이션이 고객의 기존 ID 공급자를 통해 한 번의 사용자 로그인으로 사용자의 ID를 인식을 유지하며 비즈니스 사용자가 Amazon Redshift 또는 Amazon Quicksight 등 AWS 분석 서비스에 필요한 데이터를 쿼리할 수 있도록 하는 것입니다. 이 기능은 일반적으로 사용되는 다양한 유형의 BI 애플리케이션을 지원하고 다양한 메커니즘을 사용하여 서비스 간에 사용자 ID를 전파합니다.

사용자에게 액세스 권한을 부여할 때 권한 세트를 선택하여 사용자의 권한을 제한할 수 있습니다. 권한 세트란 IAM Identity Center에서 생성할 수 있는 권한의 모음으로, 직무에 대한 AWS 관리형 정책 또는 모든 AWS 관리형 정책을 기반으로 권한을 모델링합니다. 직무에 대한 AWS 관리형 정책은 IT 업계의 일반적인 직무와 긴밀하게 연결되도록 구성됩니다. 필요한 경우 보안 요구 사항 충족을 위해 권한 세트를 완전히 사용자 지정할 수도 있습니다. IAM Identity Center는 선택한 계정에 이러한 권한을 자동으로 적용합니다. 권한 세트를 변경할 때 IAM Identity Center를 사용하여 변경 내용을 관련 계정에 쉽게 적용할 수 있습니다. 사용자가 AWS 액세스 포털을 통해 계정에 액세스하면 이러한 권한이 사용자가 해당 계정 내에서 할 수 있는 작업을 제한합니다. 사용자에게 여러 권한 세트를 부여할 수도 있습니다. 사용자 포털을 통해 계정에 액세스할 때 사용자는 해당 세션에 사용할 권한 집합을 선택할 수 있습니다.

IAM Identity Center는 여러 계정을 사용하는 환경에서 권한 관리를 자동화하고 감사 및 거버넌스 목적으로 프로그래밍을 통해 권한을 검색할 수 있는 APIAWS CloudFormation 지원을 제공합니다.

ABAC를 구현하려면 IAM Identity Center 사용자 및 Microsoft AD 또는 외부 SAML 2.0 IdP(예: Okta Universal Directory, Microsoft Entra ID(구 Azure AD), OneLogin 또는 PingFederate)에서 동기화된 사용자를 위한 IAM Identity Center ID 저장소에서 속성을 선택할 수 있습니다. IdP를 ID 소스로 사용하는 경우, 선택 사항으로 속성을 SAML 2.0 어설션의 일부로 보낼 수 있습니다.

모든 AWS 계정, 그리고 IAM Identity Center 관리자에게 할당받은 사용자 권한에 대해 AWS CLI 보안 인증 정보를 얻을 수 있습니다. 이러한 CLI 자격 증명을 사용하여 프로그래밍 방식으로 AWS 계정에 액세스할 수 있습니다.

IAM Identity Center를 통해 가져온 AWS CLI 보안 인증 정보는 60분간 유효합니다. 필요한 만큼 자주 새로운 자격 증명 세트를 얻을 수 있습니다.

비즈니스 애플리케이션에 대한 Single Sign-On(SSO) 액세스

IAM Identity Center 콘솔에서 애플리케이션 창으로 이동하고 새 애플리케이션 구성(Configure new application)을 선택한 다음 IAM Identity Center에 사전 통합된 클라우드 애플리케이션 목록에서 애플리케이션을 선택합니다. 화면의 지침에 따라 애플리케이션을 구성합니다. 이제 애플리케이션이 구성되었고 이 애플리케이션에 대한 액세스 권한을 할당할 수 있습니다. 애플리케이션에 대한 액세스 권한을 부여할 그룹 또는 사용자를 선택하고 '액세스 할당'을 선택해 프로세스를 완료하십시오.

예. 애플리케이션이 SAML 2.0을 지원하는 경우, 애플리케이션을 사용자 지정 SAML 2.0 애플리케이션으로 구성할 수 있습니다. IAM Identity Center 콘솔에서 애플리케이션 창으로 이동하고 새 애플리케이션 구성(Configure new application)을 선택한 다음 사용자 지정 SAML 2.0 애플리케이션을 선택합니다. 지침에 따라 애플리케이션을 구성합니다. 이제 애플리케이션이 구성되었고 이 애플리케이션에 대한 액세스 권한을 할당할 수 있습니다. 애플리케이션에 대한 액세스 권한을 부여할 그룹 또는 사용자를 선택하고 '액세스 할당'을 선택해 프로세스를 완료하십시오.

아니요. IAM Identity Center는 SAML 2.0 기반 애플리케이션만 지원합니다.

아니요. IAM Identity Center는 웹 브라우저를 통해서만 비즈니스 애플리케이션에 대한 Single Sign-On을 지원합니다.

기타

IAM Identity Center는 사용자 및 그룹에 할당된 AWS 계정과 클라우드 애플리케이션에 대한 데이터와 AWS 계정에 액세스하기 위해 부여된 권한에 대한 데이터를 저장합니다. 또한 IAM Identity Center는 사용자에게 액세스를 부여하는 각 권한 세트에 대한 IAM 역할을 개별 AWS 계정에서 생성하고 관리합니다.

IAM Identity Center를 사용하면 모든 ID 소스의 모든 사용자에 대한 강력한 표준 기반 인증 기능을 활성화할 수 있습니다. 지원되는 SAML 2.0 IdP를 ID 소스로 사용하는 경우 제공업체의 다중 인증 기능을 활성화할 수 있습니다. IAM Identity Center 또는 Active Directory를 ID 소스로 사용하는 경우 IAM Identity Center는 FIDO 지원 보안 키(예: YubiKey) 및 기본 제공 생체 인증(예: Apple MacBooks의 Touch ID 및 PC의 얼굴 인식)을 통해 AWS 계정 및 비즈니스 애플리케이션에 대한 사용자의 액세스를 보안하도록 웹 인증 사양을 지원합니다. 또한 Google Authenticator 또는 Twilio Authy와 같은 인증 앱을 사용하여 1회성 암호(OTP)를 활성화할 수도 있습니다.

IAM Identity Center 및 AWS Directory Service에서 기존 Remote Authentication Dial-In User Service(RADIUS) MFA 구성을 사용하여 2차 검증 양식으로 사용자를 인증할 수도 있습니다. IAM Identity Center를 통한 MFA 구성에 대해 자세히 알아보려면 IAM Identity Center 사용 설명서를 참조하세요.

예. IAM Identity Center ID 저장소 및 Active Directory의 사용자 ID에 대해 IAM Identity Center는 FIDO 지원 보안 키(예: YubiKey) 및 기본 제공 생체 인증(예: Apple MacBooks의 Touch ID 및 PC의 얼굴 인식)을 통해 AWS 계정 및 비즈니스 애플리케이션에 대한 사용자의 액세스를 보호하는 데 도움이 되는 웹 인증(WebAuthn) 사양을 지원합니다. 또한 Google Authenticator 또는 Twilio Authy와 같은 인증 앱을 사용하여 1회성 암호(OTP)를 활성화할 수도 있습니다.

직원들은 IAM Identity Center에서 ID 소스를 구성할 때 생성되는 액세스 포털을 방문하여 IAM Identity Center를 시작할 수 있습니다. IAM Identity Center에서 사용자를 관리하는 경우, 직원은 IAM Identity Center에서 구성한 이메일 주소 및 암호를 사용하여 사용자 포털에 로그인할 수 있습니다. Microsoft Active Directory 또는 SAML 2.0 ID 제공업체에 IAM Identity Center를 연결하는 경우, 직원은 기존 기업 보안 인증 정보로 사용자 포털에 로그인한 다음 계정 및 할당된 애플리케이션을 볼 수 있습니다. 계정 또는 애플리케이션에 액세스하려면 직원은 액세스 포털에서 관련 아이콘을 선택하면 됩니다.

예. IAM Identity Center는 여러 계정을 사용하는 환경에서 권한 관리를 자동화하고 감사 및 거버넌스를 위해 프로그래밍을 통해 권한을 검색할 수 있는 계정 할당 API를 제공합니다.