AWS IAM Identity Center(AWS Single Sign-On의 후속 서비스)를 사용하면 여러 AWS 계정과 비즈니스 애플리케이션에 대한 SSO 액세스를 중앙에서 손쉽게 관리할 수 있습니다. 인력은 단일 위치에서 할당된 모든 계정과 애플리케이션에 Single Sign-On으로 액세스할 수 있습니다. IAM Identity Center를 사용하면 AWS Organizations의 모든 계정에 대한 액세스와 사용자 권한을 중앙에서 손쉽게 관리할 수 있습니다. IAM Identity Center는 계정에 필요한 모든 권한을 자동으로 구성하고 관리하므로 각 계정에서 추가로 설정할 필요가 없습니다. 일반적인 직무를 기반으로 사용자 권한을 할당하고 특정 보안 요구 사항에 맞춰 해당 권한을 사용자 지정할 수 있습니다. IAM Identity Center는 Amazon SageMaker Studio, AWS Systems Manager Change Manager 및 AWS IoT SiteWise와 같은 AWS 애플리케이션과 Salesforce, Box 및 Microsoft 365와 같은 많은 비즈니스 애플리케이션과 기본적으로 통합됩니다.
IAM Identity Center의 ID 스토어에서 사용자 ID를 생성 및 관리하거나 Microsoft Active Directory, Okta, Ping Identity, JumpCloud 및 Azure Active Directory(Azure AD)를 비롯한 기존 ID 소스에 쉽게 연결할 수 있습니다. IAM Identity Center에서는 ID 소스에서 비용 센터, 직책 또는 로캘과 같은 사용자 속성을 선택하고 AWS에서 속성 기반 액세스 제어(ABAC)에 사용할 수 있습니다.
IAM Identity Center는 손쉽게 시작할 수 있습니다. IAM Identity Center Management Console에서 클릭 몇 번으로 기존 ID 소스에 연결할 수 있습니다. 거기에서 AWS Organizations의 할당된 계정과 수백 개의 미리 구성된 클라우드 애플리케이션에 대한 액세스 권한을 사용자에게 부여하는 권한을 단일 사용자 포털에서 구성할 수 있습니다.
ID 관리의 중앙 집중화
IAM Identity Center에서 사용자를 생성하고 관리
IAM Identity Center는 ID 스토어를 기본적으로 제공합니다. 이 ID 스토어를 사용하여 사용자를 생성하고 IAM Identity Center 내의 그룹으로 구성할 수 있습니다. IAM Identity Center에서 이메일 주소와 이름을 구성하여 사용자를 생성할 수 있습니다. 사용자를 생성하면 해당 사용자가 스스로 암호를 설정할 수 있도록 IAM Identity Center가 기본적으로 사용자에게 이메일을 전송합니다. 몇 분 내에 사용자 및 그룹에게 모든 AWS 계정 뿐 아니라 다수의 비즈니스 애플리케이션에 대한 권한을 부여할 수 있습니다. 사용자는 IAM Identity Center에 구성된 보안 인증 정보로 사용자 포털에 로그인하여 할당된 모든 계정과 애플리케이션을 한 곳에서 액세스하게 됩니다.
표준 기반 ID 제공업체의 사용자를 연결하고 자동으로 프로비저닝
Security Assertion Markup Language(SAML) 2.0을 통해 IAM Identity Center를 Okta Universal Directory, Azure AD 또는 지원되는 다른 ID 제공업체(IdP)에 연결할 수 있으므로 사용자가 보안 인증 정보로 로그인할 수 있습니다. 또한 IAM Identity Center는 사용자 프로비저닝 자동화를 위해 System for Cross-domain Identity Management(SCIM)를 지원합니다. IdP에서 사용자를 관리하고, 사용자를 AWS로 신속하게 가져와 모든 AWS 계정 및 비즈니스 애플리케이션에 대한 사용자 액세스를 중앙에서 관리할 수 있습니다. IAM Identity Center에서는 Okta Universal Directory에서 비용 센터, 직책 또는 로캘과 같은 여러 사용자 속성을 선택하고 ABAC에 대해 사용하여 액세스 관리를 간소화 및 중앙화할 수 있습니다.
Microsoft Active Directory에 연결
IAM Identity Center를 사용하면 Microsoft Active Directory Domain Services(AD DS)의 기존 회사 ID를 사용하여 계정과 애플리케이션에 대한 Single Sign-On(SSO) 액세스를 관리할 수 있습니다. IAM Identity Center는 AWS Directory Service를 통해 AD DS에 연결하며, 사용자를 적절한 AD 그룹에 추가하기만 하면 계정과 애플리케이션에 대한 액세스 권한을 부여할 수 있습니다. 예를 들어 애플리케이션 작업을 하는 개발자 팀 그룹을 만들어 이 그룹에 해당 애플리케이션의 AWS 계정에 대한 액세스 권한을 부여할 수 있습니다. 팀에 합류하는 새 개발자를 AD 그룹에 추가하면 애플리케이션의 모든 AWS 계정에 대한 액세스 권한이 자동으로 부여됩니다. IAM Identity Center를 통해 AD에서 비용 센터, 직책 또는 로캘과 같은 여러 사용자 속성을 선택하고 ABAC에 대해 사용하여 액세스 관리를 간소화 및 중앙화할 수도 있습니다.
다중 인증
IAM Identity Center에서는 로그인 중에 사용자가 MFA 디바이스를 설정해야 하는 요구 사항을 포함하여 모든 사용자에 대한 MFA를 시행할 수 있습니다. IAM Identity Center를 사용하면 모든 ID 소스의 모든 사용자에 대한 강력한 표준 기반 인증 기능을 활성화할 수 있습니다. 지원되는 SAML 2.0 IdP를 ID 소스로 사용하는 경우 제공업체의 다중 인증(MFA) 기능을 사용할 수 있습니다. Active Directory 또는 IAM Identity Center를 ID 소스로 사용하는 경우 IAM Identity Center는 FIDO 사용 보안 키(예: YubiKey) 및 기본 제공 생체 인증(예: Apple MacBooks의 Touch ID 및 PC의 얼굴 인식)을 통해 AWS 계정 및 비즈니스 애플리케이션에 대한 사용자의 액세스를 보호하는 데 도움이 되는 웹 인증 사양을 지원합니다. 또한 Google Authenticator 또는 Twilio Authy와 같은 인증 앱을 사용하여 시간 기반 1회성 암호(OTP)를 사용할 수도 있습니다.
세분화된 권한 및 할당
다중 계정 권한
IAM Identity Center는 AWS Organization의 모든 AWS 계정에서 액세스를 중앙에서 관리할 수 있도록 AWS Identity and Access Management(IAM) 역할 및 정책을 구축합니다. IAM Identity Center는 하나 이상의 IAM 정책 모음인 권한 세트를 사용합니다. 권한 세트를 할당하여 사용자 및 그룹에 대한 액세스 권한을 정의할 수 있습니다. 이 서비스는 이러한 할당에 따라 IAM Identity Center로 제어되는 IAM 역할을 만든 다음 권한 세트에 지정된 정책을 할당된 각 계정 내의 역할에 연결합니다. 개별 계정에서는 추가 구성이 필요 없습니다.
임시 승격 액세스 옵션
IAM Identity Center는 다양한 파트너 통합 옵션을 통해 일시적으로 승격된 액세스 권한을 제공합니다. AWS는 CyberArk Secure Cloud 액세스, Ermetic 및 Okta 액세스 요청을 사용하여 전체적인 감사가 필요한 민감한 작업, 복잡한 권한 및 감사 요구 사항이 있는 멀티 클라우드 환경, 여러 자격 증명 소스 및 애플리케이션 통합을 사용하는 조직 등 다양한 임시 권한 승격 시나리오를 해결할 수 있음을 검증했습니다. 프로덕션 환경의 높은 가치의 리소스에 대한 구성 변경과 같은 민감한 작업을 수행할 수 있는 고정 권한이 없는 인력 사용자는 액세스를 요청하고 승인을 받고 지정된 시간 동안 작업을 수행할 수 있습니다. 또한 감사자는 파트너 솔루션에서 조치 및 승인 로그를 볼 수 있습니다.
애플리케이션 할당
IAM Identity Center 콘솔 안에서 애플리케이션 할당을 사용하여 Salesforce, Box 및 Microsoft 365와 같은 많은 SAML 2.0 비즈니스 애플리케이션에 대한 Single Sign-On(SSO) 액세스를 제공할 수 있습니다. IAM Identity Center 안에서 단계별 지침에 따라 이러한 애플리케이션에 대한 Single Sign-On(SSO) 액세스를 쉽게 구성할 수 있습니다. 필요한 URL, 인증서, 메타데이터 입력을 알려줍니다. IAM Identity Center와 사전 통합된 비즈니스 애플리케이션의 전체 목록은 IAM Identity Center 클라우드 애플리케이션을 참조하세요.
속성 기반 액세스 제어
IAM Identity Center를 사용하면 IAM Identity Center ID 소스에 정의된 사용자 속성에 기반하여 인력의 세분화된 권한을 생성하고 사용할 수 있습니다. IAM Identity Center에서는 비용 센터, 직책 또는 로캘과 같은 여러 속성을 선택하고 속성 기반 액세스 제어(ABAC)에 대해 사용하여 액세스 관리를 간소화 및 중앙화할 수 있습니다. 전체 AWS Organization에 대해 한 번 권한을 정의한 후 ID 소스에서 속성을 변경하기만 하면 AWS 액세스 권한을 부여, 취소 또는 수정할 수 있습니다.
관리 및 거버넌스 기능
멤버 계정에서 관리 위임
IAM Identity Center는 조직의 모든 멤버 계정에 대해 AWS Organizations 위임 관리자 계정에서 중앙 집중식 관리 및 API 액세스를 지원합니다. 이제 조직에서 모든 구성원 계정을 중앙에서 관리하는 데 사용할 수 있는 계정을 지정할 수 있는 것입니다. 위임된 관리를 통해 관리 계정을 사용할 필요성을 줄임으로써 권장 사례를 준수할 수 있습니다.
보안 표준 및 규정 준수 인증 지원
IAM Identity Center는 지불 카드 산업 - 데이터 보안 표준(PCI DSS), 국제 표준화 기구(ISO), 시스템 및 조직 통제 기구(SOC) 1, 2 및 3, Esquema Nacional de Seguridad(ENS) High, 금융 시장 감독 기관(FINMA) 보증 계약에 대한 국제 표준(ISAE) 3000 타입 2 보고 요건, 다단계 클라우드 보안(MTCS)을 포함한 보안 표준 및 규정 준수 요구 사항을 지원합니다. 이 서비스는 PROTECTED 수준에서 Information Security Registered Assessors Program(IRAP) 평가를 받았습니다.
AWS Organizations 통합
IAM Identity Center를 AWS Organizations와 통합하면 조직에서 하나 이상의 계정을 선택하고, 이러한 계정에 대한 액세스 권한을 사용자에게 부여할 수 있습니다. 클릭 몇 번으로 IAM Identity Center 사용을 시작하고 애플리케이션 또는 팀이 사용 중인 모든 AWS 계정에 대한 액세스 권한을 인력에게 부여할 수 있습니다.
SAML 사용 애플리케이션 구성 마법사
IAM Identity Center 애플리케이션 할당 구성 마법사를 사용하여 SAML 2.0 지원 애플리케이션에 대한 Single Sign-On(SSO) 통합을 만들 수 있습니다. 애플리케이션 할당 구성 마법사는 Single Sign-On(SSO) 액세스 활성화를 위해 애플리케이션을 보내기 위한 정보를 선택하고 형식을 지정하는 데 도움을 줍니다. 예를 들어 사용자 이름을 위한 SAML 속성을 만들고 사용자 AD 프로필의 사용자 이메일 주소를 기반으로 속성의 형식을 지정할 수 있습니다.
여러 애플리케이션 및 AWS 계정의 액세스 이벤트 감사
모든 관리 활동과 다중 계정 활동이 AWS CloudTrail에 기록되므로 중앙에서 IAM Identity Center 활동을 감사하는 데 필요한 가시성이 확보됩니다. CloudTrail을 통해 로그인 시도, 애플리케이션 할당, 디렉터리 통합 변경과 같은 활동을 파악할 수 있습니다. 예를 들어 일정 기간 동안 사용자가 액세스한 애플리케이션이 무엇인지 또는 특정 애플리케이션에 대한 액세스 권한이 언제 사용자에게 부여되었는지 알 수 있습니다.
AWS IAM Identity Center에 대해 자세히 알아보기