AWS IAM Identity Center 기능

IAM Identity Center는 ID 스토어를 기본적으로 제공합니다. 이 ID 스토어를 사용하여 사용자를 생성하고 IAM Identity Center 내의 그룹으로 구성할 수 있습니다. IAM Identity Center에서 이메일 주소와 이름을 구성하여 사용자를 생성할 수 있습니다. 사용자를 생성하면 해당 사용자가 스스로 암호를 설정할 수 있도록 IAM Identity Center가 기본적으로 사용자에게 이메일을 전송합니다. 몇 분 내에 사용자 및 그룹에게 모든 AWS 계정 뿐 아니라 다수의 비즈니스 애플리케이션에 대한 권한을 부여할 수 있습니다. 사용자는 IAM Identity Center에 구성된 보안 자격 증명으로 사용자 포털에 로그인하여 할당된 모든 계정과 애플리케이션을 한 곳에서 액세스하게 됩니다.

Security Assertion Markup Language(SAML) 2.0을 통해 IAM Identity Center를 Okta Universal Directory, Microsoft Entra ID 또는 지원되는 다른 ID 제공업체(idP)에 연결할 수 있습니다. 이렇게 하면 사용자가 기존의 보안 자격 증명으로 로그인할 수 있습니다. 또한, IAM Identity Center는 사용자 프로비저닝 자동화를 위해 System for Cross-domain Identity Management(SCIM)도 지원합니다. IdP에서 사용자를 관리하고, 사용자를 AWS로 신속하게 가져와 모든 AWS 계정 및 비즈니스 애플리케이션에 대한 사용자 액세스를 중앙에서 관리할 수 있습니다. IAM Identity Center에서는 Okta Universal Directory에서 비용 센터, 직책 또는 로캘과 같은 여러 사용자 속성을 선택하고 ABAC에 대해 사용하여 액세스 관리를 간소화 및 중앙화할 수 있습니다.

IAM Identity Center를 사용하면 Microsoft Active Directory Domain Services(AD DS)의 기존 회사 ID를 사용하여 계정과 애플리케이션에 대한 Single Sign-On(SSO) 액세스를 관리할 수 있습니다. IAM Identity Center는 AWS Directory Service를 통해 AD DS에 연결하며, 사용자를 적절한 AD 그룹에 추가하기만 하면 계정과 애플리케이션에 대한 액세스 권한을 부여할 수 있습니다. 예를 들어 애플리케이션 작업을 하는 개발자 팀 그룹을 만들어 이 그룹에 해당 애플리케이션의 AWS 계정에 대한 액세스 권한을 부여할 수 있습니다. 팀에 합류하는 새 개발자를 AD 그룹에 추가하면 애플리케이션의 모든 AWS 계정에 대한 액세스 권한이 자동으로 부여됩니다. IAM Identity Center를 통해 AD에서 비용 센터, 직책 또는 로캘과 같은 여러 사용자 속성을 선택하고 ABAC에 대해 사용하여 액세스 관리를 간소화 및 중앙화할 수도 있습니다.

IAM Identity Center에서는 로그인 중에 사용자가 MFA 디바이스를 설정해야 하는 요구 사항을 포함하여 모든 사용자에 대한 MFA를 시행할 수 있습니다. IAM Identity Center를 사용하면 모든 ID 소스의 모든 사용자에 대한 강력한 표준 기반 인증 기능을 활성화할 수 있습니다. 지원되는 SAML 2.0 IdP를 ID 소스로 사용하는 경우 제공업체의 다중 인증(MFA) 기능을 사용할 수 있습니다. Active Directory 또는 IAM Identity Center를 ID 소스로 사용하는 경우 IAM Identity Center는 FIDO 사용 보안 키(예: YubiKey) 및 기본 제공 생체 인증(예: Apple MacBooks의 Touch ID 및 PC의 얼굴 인식)을 통해 AWS 계정 및 비즈니스 애플리케이션에 대한 사용자의 액세스를 보호하는 데 도움이 되는 웹 인증 사양을 지원합니다. 또한 Google Authenticator 또는 Twilio Authy와 같은 인증 앱을 사용하여 시간 기반 1회성 암호(OTP)를 사용할 수도 있습니다.

IAM Identity Center는 AWS Organization의 모든 AWS 계정에서 액세스를 중앙에서 관리할 수 있도록 AWS Identity and Access Management(IAM) 역할 및 정책을 구축합니다. IAM Identity Center는 하나 이상의 IAM 정책 모음인 권한 세트를 사용합니다. 권한 세트를 할당하여 사용자 및 그룹에 대한 액세스 권한을 정의할 수 있습니다. 이 서비스는 이러한 할당에 따라 IAM Identity Center로 제어되는 IAM 역할을 만든 다음 권한 세트에 지정된 정책을 할당된 각 계정 내의 역할에 연결합니다. 개별 계정에서는 추가 구성이 필요 없습니다.  

IAM Identity Center는 다양한 파트너 통합 옵션을 통해 일시적으로 승격된 액세스 권한을 제공합니다. AWS는 CyberArk Secure Cloud 액세스, Tenable Cloud Security, Okta 액세스 요청을 사용하여 전체적인 감사가 필요한 민감한 작업, 복잡한 권한 및 감사 요구 사항이 있는 멀티 클라우드 환경, 여러 ID 소스 및 애플리케이션 통합을 사용하는 조직 등 다양한 임시 권한 승격 시나리오를 해결할 수 있음을 검증했습니다. 프로덕션 환경에서 높은 가치의 리소스에 대한 구성 변경과 같은 민감한 작업을 수행할 수 있는 고정 권한이 없는 인력 사용자는 액세스를 요청하고 승인을 받고 지정된 시간 동안 작업을 수행할 수 있습니다. 또한 감사자는 파트너 솔루션에서 조치 및 승인 로그를 볼 수 있습니다.

IAM Identity Center 콘솔 안에서 애플리케이션 할당을 사용하여 Salesforce, Box 및 Microsoft 365와 같은 많은 SAML 2.0 비즈니스 애플리케이션에 대한 Single Sign-On(SSO) 액세스를 제공할 수 있습니다. IAM Identity Center 안에서 단계별 지침에 따라 이러한 애플리케이션에 대한 Single Sign-On(SSO) 액세스를 쉽게 구성할 수 있습니다. 필요한 URL, 인증서, 메타데이터 입력을 알려줍니다. IAM Identity Center와 사전 통합된 비즈니스 애플리케이션의 전체 목록은 IAM Identity Center 클라우드 애플리케이션을 참조하세요.

신뢰할 수 있는 ID 전파는 OAuth 2.0 인증 프레임워크를 기반으로 합니다. 이 프레임워크를 사용하면 애플리케이션이 특정 사용자의 보안 자격 증명을 공유하지 않고도 특정 사용자를 대신하여 데이터 및 기타 리소스에 액세스할 수 있습니다. 이 IAM Identity Center 기능은 여러 AWS 분석 애플리케이션에서 사용자의 데이터 액세스 관리, 감사를 간소화하고 분석 사용자의 로그인 경험을 개선합니다. 시작하려면 애플리케이션 소유자, ID 소스 및 데이터 관리자가 앱을 서비스에 연결하고 사용자 및 그룹을 기반으로 액세스 관리를 시작합니다. 그런 다음 리소스 관리자는 ID 소스의 기존 ID 및 그룹 멤버십을 사용하여 애플리케이션 내에서 데이터 리소스 액세스를 구성하고 관리할 수 있습니다. 감사 및 보안 팀은 각 사용자에 대한 데이터 리소스에 대한 액세스를 추적할 수 있습니다. 데이터 분석가는 익숙한 Single Sign-On 환경을 사용하여 AWS 분석 서비스(Amazon Redshift, Amazon Quicksight, Amazon S3, Amazon EMR, AWS LakeFormation) 전반에서 할당된 데이터에 원활하게 액세스할 수 있습니다. 신뢰할 수 있는 ID 전파에 대해 자세히 알아보세요. 

IAM Identity Center를 사용하면 IAM Identity Center ID 소스에 정의된 사용자 속성에 기반하여 인력의 세분화된 권한을 생성하고 사용할 수 있습니다. IAM Identity Center에서는 비용 센터, 직책 또는 로캘과 같은 여러 속성을 선택하고 속성 기반 액세스 제어(ABAC)에 대해 사용하여 액세스 관리를 간소화 및 중앙화할 수 있습니다. 전체 AWS Organization에 대해 한 번 권한을 정의한 후 ID 소스에서 속성을 변경하기만 하면 AWS 액세스 권한을 부여, 취소 또는 수정할 수 있습니다.

ABAC에 대해 자세히 알아보기 »

IAM Identity Center는 조직의 모든 멤버 계정에 대해 AWS Organizations 위임 관리자 계정에서 중앙 집중식 관리 및 API 액세스를 지원합니다. 이제 조직에서 모든 멤버 계정을 중앙에서 관리하는 데 사용할 수 있는 계정을 지정할 수 있는 것입니다. 위임된 관리를 통해 관리 계정을 사용할 필요성을 줄임으로써 권장 사례를 준수할 수 있습니다.

IAM Identity Center는 지불 카드 산업 - 데이터 보안 표준(PCI DSS), 국제 표준화 기구(ISO), 시스템 및 조직 통제 기구(SOC) 1, 2 및 3, Esquema Nacional de Seguridad(ENS) High, 금융 시장 감독 기관(FINMA) 보증 계약에 대한 국제 표준(ISAE) 3000 타입 2 보고 요건, 다단계 클라우드 보안(MTCS)을 포함한 보안 표준 및 규정 준수 요구 사항을 지원합니다. 이 서비스는 PROTECTED 수준에서 Information Security Registered Assessors Program(IRAP) 평가를 받았습니다.

IAM Identity Center를 조직 인스턴스 또는 계정 인스턴스로 배포할 수 있습니다. IAM Identity Center 조직 인스턴스는 AWS Organizations의 관리 계정에 배포됩니다. 인력을 인증하고 권한을 부여하는 것은 모범 사례이자 권장되는 접근 방식입니다. 다중 계정 프로덕션 환경의 AWS 계정 및 애플리케이션을 위한 단일의 중앙 액세스 제어 포인트입니다. IAM Identity Center의 계정 인스턴스는 지원되는 AWS 애플리케이션(예: Amazon Redshift)을 신속하게 평가할 목적으로 비즈니스 사용자가 수행할 수 있는 제한된 범위의 배포로, 제한된 범위의 애플리케이션 사용자에게 제공됩니다. 조직 인스턴스 관리자는 AWS Organizations의 기능인 서비스 제어 정책(SCP)을 통해 비즈니스 사용자의 계정 인스턴스 생성 기능을 제어할 수 있습니다.

IAM Identity Center 애플리케이션 할당 구성 마법사를 사용하여 SAML 2.0 지원 애플리케이션에 대한 Single Sign-On(SSO) 통합을 만들 수 있습니다. 애플리케이션 할당 구성 마법사는 Single Sign-On(SSO) 액세스 활성화를 위해 애플리케이션을 보내기 위한 정보를 선택하고 형식을 지정하는 데 도움을 줍니다. 예를 들어 사용자 이름을 위한 SAML 특성을 만들고 사용자 AD 프로필의 사용자 이메일 주소를 기반으로 특성의 형식을 지정할 수 있습니다.

모든 관리 활동과 다중 계정 활동이 AWS CloudTrail에 기록되므로 중앙에서 IAM Identity Center 활동을 감사하는 데 필요한 가시성이 확보됩니다. CloudTrail을 통해 로그인 시도, 애플리케이션 할당, 디렉터리 통합 변경과 같은 활동을 파악할 수 있습니다. 예를 들어 일정 기간 동안 사용자가 액세스한 애플리케이션이 무엇인지 또는 특정 애플리케이션에 대한 액세스 권한이 언제 사용자에게 부여되었는지 알 수 있습니다.