AWS re:Post을(를) 사용하면 다음에 동의하게 됩니다. AWS re:Post 이용 약관
AWS re:Postre:Post

IAM Identity Center를 사용하면 IAM 자격 증명 또는 페더레이션 구성에 영향을 미치나요?

2분 분량
0

AWS IAM Identity Center(AWS Single Sign-On 후속)를 사용하여 사용자에 AWS 계정 및 애플리케이션에 대한 액세스 권한을 제공하려고 합니다. IAM Identity Center를 사용하면 AWS Identity and Access Management(IAM) 자격 증명(사용자, 그룹, 역할)에 영향을 미치는지 여부를 알고 싶습니다.

간략한 설명

IAM Identity Center 또는 IAM을 사용하여 인력을 AWS 계정 및 애플리케이션에 페더레이션할 수 있습니다.

IAM 페더레이션을 사용하면 액세스 제어를 위해 각 AWS 계정 및 사용자 속성에 대해 별도의 SAML 2.0 또는 OIDC IdP를 활성화할 수 있습니다. AWS 계정에서 IAM 사용자를 생성하는 대신 자격 증명 공급자를 사용할 수 있습니다. 자세한 내용은 자격 증명 공급자 및 연동을 참조하세요.

IAM Identity Center는 IAM 서비스 연결 역할을 사용합니다. 서비스 연결 역할을 사용하여 수동으로 권한을 추가할 필요가 없습니다. 자세한 내용은 IAM Identity Cente를 위한 서비스 연결 역할 사용을 참조하세요.

해결 방법

IAM Identity Center는 IAM을 사용하여 구성된 아이덴티티 페더레이션과는 독립적입니다. IAM Identity Center를 사용해도 IAM 자격 증명 또는 페더레이션 구성에는 영향을 미치지 않습니다.

IAM Identity Center는 서비스 연결 역할 AWSServiceRoleForSSO을 사용하여 AWS 리소스를 관리할 권한을 부여합니다. AWS 계정에서 생성된 AWSServiceRoleForSSO은 다음 IAM 신뢰 정책과 유사한 IAM Identity Center 서비스만 신뢰합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service":"sso.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

서비스 연결 역할 AWSServiceRoleForSSO에 의해 생성된 IAM 역할에는 다음과 유사한 IAM 신뢰 정책이 있습니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::AWS-account-ID:saml-provider/AWSSSO_ec48a2d3f5dc369d_DO_NOT_DELETE"
      },
      "Action": "sts:AssumeRoleWithSAML",
      "Condition": {
        "StringEquals": {
          "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
      }
    }
  ]
}

참고: 이 IAM 정책은 IAM Identity Center에서 자동으로 생성한 SAML 공급자만 신뢰합니다.

IAM 페더레이션을 사용하는 경우, 다음과 비슷한 신뢰 정책을 사용하여 AWS 계정에서 IAM 역할을 수동으로 생성해야 합니다.

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Principal": {"Federated": "arn:aws:iam::ACCOUNT-ID-WITHOUT-HYPHENS:saml-provider/MYIDP"},
    "Action": "sts:AssumeRoleWithSAML",
    "Condition": {"StringEquals": {
      "saml:edupersonorgdn": "ExampleOrg",
      "saml:aud": "https://signin.aws.amazon.com/saml"
    }}
  }]
}

참고: 이 정책이 첨부된 조직 내 IAM 엔터티만 AWS 계정에 액세스할 수 있습니다.

IAM identity Center를 구성하려면 IAM Identity Center 사용을 시작하고 AWS 액세스 포털에 액세스하려면 어떻게 해야 합니까?를 참조하세요.

관련 정보

AWS IAM Identity Center 내에서 사용자를 생성하고 관리하는 방법

IAM Identity Center에서 클라우드 애플리케이션에 대한 사용자 액세스 권한을 할당하려면 어떻게 해야 합니까?

IAM Identity Center 권한 세트를 사용하려면 어떻게 해야 합니까?

AWS 자격 증명 연동

주제
보안, 신원 및 규정 준수
태그
AWS IAM Identity Center
언어
한국어
AWS 공식
AWS 공식업데이트됨 일 년 전
댓글 없음

관련 콘텐츠