AWS Identity, Directory, and Access Services

AWS Cloud에서 인증, 권한 부여 및 거버넌스를 관리합니다.

AWS Identity, Directory, and Access Services를 통해 AWS Cloud에서 인증, 권한 부여 및 거버넌스를 관리할 수 있습니다. 이러한 서비스를 사용하면 AWS Cloud를 사용하는 내내 AWS 계정과 인프라에 대한 액세스를 안전하게 관리하고 감사할 수 있습니다. AWS에서는 특수 설계된 Identity, Directory 및 Access Services를 사용하여 기존 워크로드를 AWS Cloud로 쉽고 안전하게 마이그레이션하고 새로운 클라우드 네이티브 애플리케이션을 구축할 수 있습니다. 또한 유연하게 기존 ID와 디렉터리를 사용하거나 AWS 관리형 서비스를 활용할 수도 있습니다.

쉽고 안전한 인증을 위해 AWS Identity, Directory, and Access Services 사용자는 기존 ID를 AWS Cloud로 가져올 수 있습니다. 예를 들어 Facebook, Amazon 같은 소셜 자격 증명 공급자를 통해 애플리케이션 사용자를 인증할 수 있습니다. 또한 개발자와 AWS 관리자가 기존의 회사 자격 증명을 사용해 AWS 계정에 액세스하도록 허용할 수도 있습니다. AWS에서 세분화된 액세스 정책과 단기 자격 증명을 통해 AWS 리소스에 대한 권한을 관리하여 AWS 계정 내에서의 권한 부여를 관리할 수 있습니다. AWS 계정과 리소스를 추가하고 확장하는 과정에서, 여러 AWS 계정에 걸친 SSO(Single Sign-On) 액세스, 정책과 거버넌스를 관리하는 서비스를 통해 감사 및 규정 준수 요구 사항을 충족할 수 있도록 AWS가 도움을 제공합니다. AWS를 사용하면 빠르고 안전하게 시작할 수 있으며, 시간을 두고 AWS Cloud에서 수직 확장하는 동안 더욱 풍부한 기능을 활용할 수 있습니다.

 

re:Invent 2017: SID303: AWS Cloud에서 AWS Identity Services를 효율적으로 사용하는 방법

이점

신속하고 안전하게 시작

AWS Identity, Directory, and Access Services를 통해 보안 모범 사례를 따를 수 있어 AWS Cloud를 빠르고 안전하게 시작할 수 있습니다. AWS Identity and Access Management(IAM) 관리형 정책과 포인트 앤 클릭 방식의 시각적 편집기를 사용하면 데이터베이스 관리자, 데이터 과학자, 감사관 같은 일반적인 직무 기능을 기반으로 손쉽게 IAM 정책을 만들 수 있습니다. 각자의 특정한 보안 요구 사항에 따라, 기본 제공된 정책을 확장할 수도 있습니다. 예를 들어 기본 제공된 데이터베이스 관리자 정책을 복사하고 Amazon DynamoDB에 대한 액세스만 허용하도록 권한의 범위를 축소할 수 있습니다.

시간이 지날수록 더욱 풍부한 기능 활용

AWS에서는 시간이 지나 고급 기능이 필요하게 되면 더욱 풍부한 기능을 활용할 수 있습니다. 엄격한 규제 및 규정 준수 요구 사항에 따라 세분화된 액세스 정책을 만들 수 있습니다. AWS 서비스와 리소스에 대한 권한을 API 수준까지 정의하고, 해당 사용 권한을 언제 어떻게 사용할 수 있는지에 관한 조건을 설정할 수 있습니다. AWS CloudTrailAWS CloudWatch 등 AWS 로깅 및 모니터링 서비스와 통합되어, AWS 리소스 전반에 걸쳐 누가 액세스했는지 확인할 수 있습니다.

AWS Cloud에서 안전하게 확장

AWS 계정을 추가하는 과정에서 안전하게 확장할 수 있도록, AWS Identity, Directory, and Access Services는 AWS 계정 전반의 액세스와 거버넌스를 관리하는 기능을 지원합니다. AWS Single Sign-On(SSO)을 사용하면 여러 AWS 계정에 대한 액세스를 중앙에서 관리할 수 있습니다. AWS Organizations에서는 계정 그룹을 만든서비스 제어 정책을 적용하여 AWS 계정에 어떤 AWS 서비스 API를 허용할지 정할 수 있습니다. 예를 들어 개발 리소스와 프로덕션 리소스를 사용할 계정 그룹을 각각 생성한 후 각 그룹에 서로 다른 서비스 제어 정책을 적용할 수 있습니다.

사용 사례

100x100_benefit_team-access

AWS 리소스 및 비즈니스 애플리케이션에 대한 사용자 액세스를 관리하고 보호합니다.

AWS 리소스 및 비즈니스 애플리케이션에 대한 사용자 액세스를 관리하고 보호하는 것은 보안 및 규정 준수 정책에서 중요한 부분입니다. AWS Identity, Directory, and Access Services를 사용하면 기존 회사 ID를 사용하여 AWS 계정 및 비즈니스 애플리케이션에 대한 사용자 액세스를 관리하고 세분화된 액세스 정책을 정의하여 AWS 리소스에 대한 권한을 관리할 수 있습니다. 보안 및 규정 준수 정책에 따라 AWS 계정 전반에 걸쳐 AWS 서비스 API 사용을 제어할 수도 있습니다. AWS Identity, Directory, and Access Services를 사용하면 사용자가 본인의 AWS 계정으로 실행하는 리소스에 대한 권한을 확장할 수도 있습니다. 예를 들어 보안 엔지니어가 트리거한 AWS Lambda 함수에 부여된 권한이 해당 엔지니어에게 부여된 권한을 초과하지 않도록 할 수 있습니다.

100x100_benefit_workflow2

AWS 리소스에 대한 애플리케이션 액세스를 관리하고 보호합니다.

서로 다른 AWS 서비스와 계정에서 실행되는 분산 애플리케이션을 구축하려면 애플리케이션 리소스의 ID와 권한을 확인할 수 있어야 합니다. AWS Identity, Directory, and Access Services를 사용하면 역할이라는 단기 자격 증명을 사용하여 ID를 안전하게 확인하고 리소스 권한을 관리할 수 있습니다. 역할을 사용하면 최소한의 권한 액세스를 부여하는 보안 모범 사례를 따르고 Amazon EC2 인스턴스와 컨테이너에서 실행되는 AWS 서비스와 애플리케이션에 대한 세분화된 권한을 관리할 수 있습니다. 역할을 사용하면 암호와 API 키를 배포하거나 소스 코드에 자격 증명을 하드 코딩하지 않고도 이러한 리소스에 데이터 액세스 권한을 부여할 수 있습니다.

100x100_benefit_credential

애플리케이션에 대한 액세스를 관리하고 보호합니다.

애플리케이션에서 ID와 인증을 관리하는 사용자 지정 솔루션을 구축하는 작업은 복잡합니다. AWS Identity, Directory, and Access Services를 사용하면 손쉽게 애플리케이션에 가입 및 로그인 기능을 추가하고 애플리케이션 사용자를 위한 확장 가능한 클라우드 네이티브 디렉터리를 생성할 수 있습니다. 또한 사용자가 Facebook, Amazon 같은 소셜 자격 증명 공급자로부터 기존 ID를 가져오거나, SAML을 통해 기존 회사 ID를 사용하도록 허용할 수도 있습니다. 애플리케이션의 사용자 계정에 대한 액세스를 보호하기 위해 AWS Identity, Directory, and Access Services를 사용하여 애플리케이션에 멀티 팩터 인증(MFA)을 추가할 수 있습니다. MFA를 설정해 놓으면 사용자는 애플리케이션에 액세스하기 전에 SMS로 전달되는 6자리 코드와 같은 추가 확인 요소를 입력해야 합니다.

Identity, Directory and Access Services


AWS Identity and Access Management(IAM)를 통해 AWS 서비스와 리소스에 대한 액세스를 관리할 수 있습니다. IAM 정책을 만들어 AWS 리소스에 대한 액세스를 허용하거나 거부하는 IAM 사용자 및 그룹의 권한을 관리할 수 있습니다.


AWS Organizations는 여러 AWS 계정을 정책 기반으로 관리하는 기능을 제공합니다. Organizations에서는 계정 그룹을 생성한 후 해당 그룹에 정책을 연결할 수 있습니다.


Microsoft Active Directory용 AWS Directory Service를 사용하면 디렉터리 인식 워크로드와 AWS 리소스가 AWS 클라우드에서 관리형 Active Directory를 활용할 수 있습니다.


AWS Single Sign-On(SSO)을 통해 여러 AWS 계정과 비즈니스 애플리케이션의 SSO 액세스를 중앙에서 손쉽게 관리할 수 있습니다. 사용자는 회사 자격 증명으로 사용자 포털에 로그인하고 한 곳에서 자신의 계정과 애플리케이션에 액세스할 수 있습니다.


Amazon Cognito를 사용하면 모바일과 웹 앱에 사용자 가입 및 로그인 기능을 손쉽게 추가할 수 있습니다. 또한 Facebook, Amazon 같은 소셜 자격 증명 공급자 또는 SAML을 통한 엔터프라이즈 자격 증명 공급자를 통해 사용자를 인증할 수도 있습니다.


Amazon Cloud Directory를 사용하면 다차원의 데이터 계층 구조를 구성할 수 있는 유연한 클라우드 네이티브 디렉터리를 구축할 수 있습니다. 조직도, 과정 카탈로그, 디바이스 레지스트리 등 다양한 사용 사례의 디렉터리를 만들 수 있습니다.

웹 세미나

AWS Identity and Access Management(IAM) 역할 사용의 모범 사례
AWS와 SAML 연동
AWS IAM 및 AWS Organizations를 사용하여 AWS 정책 닌자 되기
AWS Organizations - 엔터프라이즈급 계정 관리
AWS Directory Service를 Office 365와 통합하는 방법
Amazon Cognito의 사용자 가입 및 로그인 심층 분석

AWS 웹 세미나 소식 받기.

주요 기능

기존의 회사 ID를 사용합니다.

AWS를 사용하면 기존의 회사 ID를 사용하여 AWS 리소스 및 비즈니스 애플리케이션에 대한 사용자 액세스를 관리할 수 있습니다. AWS Identity and Access Management(IAM)는 SAML 2.0(Security Assertion Markup Language 2.0)을 사용해 온프레미스 Microsoft Active Directory(AD)와 통합되므로 single sign-on(SSO)으로 AD 자격 증명을 사용해 AWS 계정에 액세스할 수 있습니다. AWS 계정이 추가되어 AWS 클라우드에서 수직 확장해야 하는 경우, AWS Single Sign-On(SSO)을 사용하면 여러 AWS 계정 및 비즈니스 애플리케이션에 대한 SSO 액세스를 중앙에서 관리할 수 있습니다. AWS Directory Service에서는 AD 포리스트 트러스트 또는 AD 커넥터를 사용하여 온프레미스 AD를 AWS Cloud로 확장할 수 있습니다. 그런 다음 기존 AD 사용자와 그룹을 사용하여 AWS 계정 및 SQL Server용 Amazon RDS, Windows Server용 Amazon EC2, Amazon WorkSpaces 등 AD 인식 워크로드에 대한 액세스를 관리할 수 있습니다.

애플리케이션 ID를 관리하고 안전하게 액세스합니다.

Amazon Cognito를 사용하면 여러 외부 ID 옵션을 사용하여 애플리케이션에 대한 액세스를 관리할 수 있습니다. 사용자가 Facebook, Amazon 같은 소셜 자격 증명 공급자를 이용하거나 SAML을 통해 엔터프라이즈 자격 증명 공급자를 이용해 기존 ID를 가져와 애플리케이션에 가입하고 로그인하도록 할 수 있습니다. Amazon Cognito 사용자 풀을 사용하여 확장 가능한 클라우드 네이티브 디렉터리에서 애플리케이션 사용자를 관리할 수도 있습니다.

멀티 팩터 인증으로 안전하게 액세스합니다.

멀티 팩터 인증(MFA)을 사용하여 AWS 리소스와 애플리케이션에 안전하게 액세스합니다. AWS Identity and Access Management(IAM)를 사용하면 AWS 계정에 대한 액세스에 MFA를 적용할 수 있습니다. 또한 Microsoft Active Directory용 AWS Directory Service를 사용하여 AD 인식 애플리케이션에 RADIUS(Remote Authentication Dial-In User Service) 기반 MFA를 적용할 수도 있습니다. Amazon Cognito를 사용하면 애플리케이션에 MFA를 추가할 수 있습니다.

세분화된 액세스 정책을 만듭니다.

AWS Identity, Directory, and Access Services를 통해 AWS Cloud에서 안전하게 액세스를 관리할 수 있습니다. AWS Identity and Access Management(IAM)를 사용하면 AWS 리소스에 대해 세분화된 액세스 정책을 설정할 수 있습니다. 예를 들어 IAM 사용자 그룹이 어떤 조건에서 어떤 특정 AWS 서비스 API를 사용할 권한이 있는지 정의하는 정책을 만들 수 있습니다.

단기 자격 증명을 사용하여 액세스를 관리합니다.

AWS IAM 역할을 사용하면 단기 자격 증명을 사용하여 AWS 리소스에 대한 액세스를 관리할 수 있습니다. IAM 역할을 통해 암호나 API 키를 배포하지 않고도 AWS 계정의 리소스에 대한 액세스 권한을 부여할 수 있습니다. 예를 들어 AWS Lambda 함수에 IAM 역할을 할당하여 AWS CloudWatch에 담당자 대신 로그를 쓸 수 있는 권한을 부여할 수 있습니다. 또는 Amazon EC2의 IAM 역할을 사용하여 EC2에서 실행 중인 애플리케이션에 Amazon RDS 데이터베이스에 대한 액세스 권한을 부여할 수 있습니다.

관리형 디렉터리 서비스.

AWS는 여러 디렉터리 서비스 옵션을 제공해 다양한 유형의 애플리케이션을 지원합니다. Microsoft AD가 필요한 애플리케이션의 경우, Microsoft Active Directory용 AWS Directory Service(AWS Managed Microsoft AD)와 관리형 AD 서비스를 이용할 수 있습니다. AWS Managed Microsoft AD가 요구 사항에 맞지 않을 경우 Amazon EC2에 자체 AD를 배포할 수도 있습니다. Amazon Cognito 사용자 풀을 사용하여 애플리케이션의 클라우드 네이티브 사용자 디렉터리를 구축할 수도 있습니다. 또는 Amazon Cloud Directory를 사용하면 확장 가능한 디렉터리를 만들어 조직도, 과정 카탈로그 및 디바이스 레지스트리 등 세분화된 계층의 데이터를 관리할 수 있습니다.

AWS 시작하기

icon1

AWS 계정 가입

AWS 프리 티어에 즉시 액세스할 수 있습니다.
icon2

10분 자습서로 알아보기

간단한 자습서를 통해 자세히 알아보십시오.
icon3

AWS를 사용하여 구축을 시작하십시오

AWS 프로젝트를 시작하는 데 도움이 되는 단계별 안내서를 통해 빌드를 시작하십시오.

AWS 시작하기

가입
질문이 있으십니까?
문의처