AWS IAM Identity Center FAQ

Q: AWS IAM Identity Center란 무엇인가요?

IAM Identity Center는 AWS Identity and Access Management(IAM)를 기반으로 구축된 서비스로, 여러 AWS 계정, AWS 애플리케이션 및 다른 SAML 사용 클라우드 애플리케이션에 대한 액세스 관리를 간소화합니다. IAM Identity Center에서는 AWS 전반에서 사용할 인력 사용자를 만들거나 연결할 수 있습니다. AWS 계정에 대한 액세스만 또는 클라우드 애플리케이션에 대한 액세스만 관리하도록 선택하거나 둘 다에 대한 액세스를 관리하도록 선택할 수 있습니다. IAM Identity Center에서 직접 사용자를 만들거나 기존 인력 디렉터리에서 가져올 수 있습니다. IAM Identity Center를 사용하면 세분화된 액세스를 정의, 사용자 지정 및 할당할 수 있는 통합 관리 환경을 얻을 수 있습니다. 인력 사용자는 할당된 AWS 계정 또는 클라우드 애플리케이션에 액세스할 수 있는 사용자 포털을 얻습니다.

Q: IAM Identity Center의 이점은 무엇인가요?

IAM Identity Center를 사용하면 여러 AWS 계정, SAML 사용 클라우드 애플리케이션(Salesforce, Microsoft 365, Box 등), 내장된 사용자 지정 사내 애플리케이션에 대한 직원의 액세스 권한을 중앙에서 쉽고 빠르게 할당하고 관리할 수 있습니다. 기존 보안 인증 정보 또는 IAM Identity Center에서 관리자에 의해 구성된 보안 인증 정보를 사용하여 로그인할 수 있기 때문에 직원 생산성이 개선됩니다. 직원들은 단일의 개인화된 사용자 포털을 사용할 수 있습니다. AWS CloudTrail에서 로그인 활동을 중앙 집중식으로 모니터링하고 감사할 수 있으므로, 클라우드 애플리케이션에 대한 가시성이 향상됩니다.

Q: IAM Identity Center로 해결되는 문제는 무엇인가요?

IAM Identity Center는 각 AWS 계정의 권한을 별도로 페더레이션하고 관리해야 하는 관리 복잡성을 없애줍니다. 단일 인터페이스에서 AWS 애플리케이션을 설정할 수 있고 단일 위치에서 클라우드 애플리케이션에 대한 액세스 권한을 할당할 수 있습니다.
IAM Identity Center를 AWS CloudTrail과 통합하고 AWS 계정 및 SAML 사용 클라우드 애플리케이션(예: Microsoft 365, Salesforce 및 Box)에 대한 Single Sign-On(SSO) 액세스를 중앙에서 감사하면 액세스 가시성을 개선하는 데도 도움이 됩니다.

Q: IAM Identity Center를 사용해야 하는 이유는 무엇인가요?

IAM Identity Center는 AWS를 사용할 때 권장되는 시작점입니다. 인력 사용자의 AWS 액세스를 관리하기 위한 기본 도구로 사용되어야 합니다. 선호하는 ID 소스의 ID를 관리하고 AWS 내 사용을 위해 연결할 수 있으며 세분화된 권한을 정의하고 계정 전체에 일관된 방식으로 적용할 수 있습니다. 계정의 수가 확장되면 모든 클라우드 애플리케이션에 대한 사용자 액세스를 관리하는 단일 위치로 IAM Identity Center를 사용할 수 있습니다.

Q: IAM Identity Center로 무엇을 할 수 있나요?

IAM Identity Center를 사용하여 AWS Organizations 내의 AWS 계정, Salesforce, Office 365, Box 등의 비즈니스 클라우드 애플리케이션 및 Security Assertion Markup Language(SAML) 2.0을 지원하는 사용자 지정 애플리케이션에 대한 액세스 권한을 직원에게 쉽고 빠르게 할당할 수 있습니다. 직원은 단일 사용자 포털에서 IAM Identity Center에 구성된 보안 인증 정보 또는 기존 회사 보안 인증 정보로 로그인하여 비즈니스 애플리케이션에 액세스할 수 있습니다. 또한 IAM Identity Center는 AWS CloudTrail을 사용하여 클라우드 서비스에 대한 사용자의 액세스를 감사할 수 있습니다.

Q: IAM Identity Center를 사용해야 하는 이유는 무엇입니까?

IAM Identity Center는 관리하는 AWS 계정과 비즈니스 애플리케이션이 많고, 이러한 클라우드 서비스에 대한 사용자 액세스를 중앙에서 관리하려 하며, 새로운 암호를 외울 필요 없이 이러한 계정과 애플리케이션에 액세스할 수 있는 단일 위치를 직원들에게 제공하려는 관리자를 위한 솔루션입니다.

Q: IAM Identity Center 사용을 시작하려면 어떻게 해야 하나요?

신규 IAM Identity Center 고객인 경우 다음을 수행합니다.

1. AWS 계정 내 관리 계정의 AWS Management Console에 로그인하고 IAM Identity Center 콘솔로 이동합니다.
2. IAM Identity Center 콘솔에서 사용자 및 그룹의 ID를 저장하는 데 사용할 디렉터리를 선택합니다. IAM Identity Center는 IAM Identity Center에서 사용자 및 그룹을 관리하는 데 사용할 수 있는 디렉터리를 기본적으로 제공합니다. IAM Identity Center가 계정에서 자동으로 검색하는 Managed Microsoft AD 및 AD Connector 인스턴스의 목록에서 Microsoft AD 디렉터리에 연결할 디렉터리를 클릭하여 변경할 수도 있습니다. Microsoft AD 디렉터리에 연결하려는 경우 AWS Directory Service 시작하기를 참조하세요.
3. IAM Identity Center에 의해 채워지는 목록에서 AWS 계정을 선택하고 디렉터리에서 사용자 또는 그룹을 선택한 다음, 이들에게 부여할 권한을 선택하여 조직 내 AWS 계정에 대한 Single Sign-On(SSO) 액세스 권한을 부여합니다.
4. 비즈니스 클라우드 애플리케이션에 대한 액세스 권한을 사용자에게 부여하는 방법은 다음과 같습니다.
   a. IAM Identity Center에서 지원되는 사전 통합된 애플리케이션 목록에서 애플리케이션을 하나 선택합니다.
   b. 구성 지침에 따라 애플리케이션을 구성합니다.
   c. 이 애플리케이션에 액세스할 사용자 또는 그룹을 선택합니다.
5. 사용자가 IAM Identity Center에 로그인하여 계정 및 비즈니스 애플리케이션에 액세스할 수 있도록 디렉터리를 구성할 때 생성된 IAM Identity Center 로그인 웹 주소를 사용자에게 제공합니다.

Q: IAM Identity Center 비용은 얼마인가요?

IAM Identity Center는 추가 요금 없이 제공됩니다.

Q: 어느 리전에서 IAM Identity Center를 사용할 수 있나요?

리전별 IAM Identity Center 가용성은 AWS 리전 표를 참조하세요.

Q: IAM Identity Center에 어떤 ID 소스를 사용할 수 있나요?

IAM Identity Center를 사용하면 IAM Identity Center의 ID 저장소에서 사용자 ID를 생성 및 관리하거나 Microsoft Active Directory, Okta Universal Directory, Microsoft Entra ID(구 Azure AD) 또는 지원되는 다른 IdP 등 기존 ID 소스에 쉽게 연결할 수 있습니다. 자세히 알아보려면 IAM Identity Center 사용 설명서를 참조하세요.

Q: 둘 이상의 ID 소스를 IAM Identity Center에 연결할 수 있나요?

아니요. 언제든 하나의 디렉터리 또는 하나의 SAML 2.0 ID 제공업체만 IAM Identity Center에 연결할 수 있습니다. 다만 연결된 ID 소스를 다른 ID 소스로 변경할 수는 있습니다.

Q: IAM Identity Center와 함께 사용할 수 있는 SAML 2.0 IdP는 무엇인가요?

IAM Identity Center는 Okta Universal Directory 또는 Microsoft Entra ID(구 Azure AD)와 같은 대부분의 SAML 2.0 IdP에 연결할 수 있습니다. 자세히 알아보려면 IAM Identity Center 사용 설명서를 참조하세요.

Q: IAM Identity Center를 사용하면 기존 IAM 역할, 사용자 또는 정책이 수정되나요?

아니요. IAM Identity Center는 AWS 계정의 기존 IAM 역할, 사용자 또는 정책을 수정하지 않습니다. IAM Identity Center는 특별히 IAM Identity Center를 통해 사용할 새로운 역할과 정책을 생성합니다.

Q: IAM Identity Center에 기존 IdP의 ID를 프로비저닝하려면 어떻게 해야 하나요?

권한을 할당하려면 먼저 기존 IdP의 ID를 IAM Identity Center에 프로비저닝해야 합니다. System for Cross-domain Identity Management(SCIM) 표준을 사용하여 Okta Universal Directory, Microsoft Entra ID(구 Azure AD), OneLogin 및 PingFederate에서 자동으로 사용자 및 그룹 정보를 동기화할 수 있습니다. 다른 IdP의 경우, IAM Identity Center 콘솔을 사용하여 IdP에서 사용자를 프로비저닝할 수 있습니다. 자세히 알아보려면 IAM Identity Center 사용 설명서를 참조하세요.

Q: IAM Identity Center로 한 번에 마이그레이션해야 하나요? 아니면 점진적으로 마이그레이션할 수 있나요?

IAM Identity Center를 사용하도록 설정한 후 보유한 기존 IAM 역할 또는 사용자는 그대로 계속 작동합니다. 즉, AWS에 대한 기존 액세스를 방해하지 않고 단계적 접근 방식으로 IAM Identity Center로 마이그레이션할 수 있습니다.

Q: 기존 역할을 IAM Identity Center로 마이그레이션하려면 어떻게 해야 하나요?

IAM Identity Center는 AWS 계정 내에서 사용할 새 역할을 제공합니다. 기존 IAM 역할에 사용하는 것과 동일한 정책을 IAM Identity Center에서 사용되는 새 역할에 연결할 수 있습니다.

Q: IAM Identity Center는 내 AWS 계정에 IAM 사용자 및 그룹을 생성하나요?

IAM Identity Center는 IAM 사용자 및 그룹을 생성하지 않습니다. Identity Center에는 사용자 정보를 보관하기 위해 특별히 구축된 ID 스토어가 있습니다. 외부 ID 제공업체를 사용하는 경우 사용자 속성 및 그룹 멤버십의 동기화된 사본이 Identity Center에 보관되지만 암호 또는 MFA 디바이스와 같은 인증 자료는 보관되지 않습니다. 여전히 외부 ID 제공업체가 사용자 정보 및 속성에 대한 신뢰할 수 있는 출처로 남습니다.

Q: IAM Identity Center로의 ID 동기화를 자동화할 수 있나요?

예. Okta Universal Directory, Microsoft Entra ID(구 Azure AD), OneLogin 또는 PingFederate를 사용하는 경우 SCIM을 사용하여 IdP의 사용자 및 그룹 정보를 자동으로 IAM Identity Center로 동기화할 수 있습니다. 자세히 알아보려면 IAM Identity Center 사용 설명서를 참조하세요.

Q: IAM Identity Center를 내 Microsoft Active Directory에 연결하려면 어떻게 해야 하나요?

AWS Directory Service를 사용하여 IAM Identity Center를 온프레미스 Active Directory(AD) 또는 AWS Managed Microsoft AD 디렉터리에 연결할 수 있습니다. 자세히 알아보려면 IAM Identity Center 사용 설명서를 참조하세요.

Q: 온프레미스에서 Active Directory의 사용자와 그룹을 관리하고 있습니다. IAM Identity Center에서 이러한 사용자 및 그룹을 활용하려면 어떻게 해야 하나요?

온프레미스에서 호스팅되는 Active Directory를 IAM Identity Center에 연결하는 방법은 두 가지입니다. (1) AD Connector를 사용하거나 (2) AWS Managed Microsoft AD 신뢰 관계를 사용하는 것입니다. AD Connector를 사용하면 기존 온프레미스 Active Directory를 AWS에 간단히 연결할 수 있습니다. AD Connector는 클라우드에서 어떤 정보도 캐싱하지 않고 디렉터리 요청을 온프레미스 Microsoft Active Directory로 리디렉션할 수 있는 디렉터리 게이트웨이입니다. AD Connector를 사용하여 온프레미스 디렉터리를 연결하려면 AWS Directory Service 관리 가이드를 참조하세요. AWS Managed Microsoft AD를 사용하면 Microsoft Active Directory를 AWS에서 쉽게 설정하고 실행할 수 있습니다. 이는 온프레미스 디렉터리와 AWS Managed Microsoft AD 간에 포리스트 신뢰 관계를 설정하는 데 사용할 수 있습니다. 신뢰 관계를 설정하려면 AWS Directory Service 관리 가이드를 참조하세요.

Q: Amazon Cognito 사용자 풀을 IAM Identity Center에서 ID 소스로 사용할 수 있나요?

Amazon Cognito는 고객과 대면하는 애플리케이션의 ID 관리에 도움을 제공하는 서비스이며 IAM Identity Center에서 지원되는 ID 소스가 아닙니다. IAM Identity Center나 Microsoft Active Directory, Okta Universal Directory, Microsoft Entra ID(이전의 Azure AD) 또는 지원되는 다른 IdP등 외부 ID 소스에서 직원 ID를 생성 및 관리할 수 있습니다.

Q: IAM Identity Center는 브라우저, 명령줄 및 모바일 인터페이스를 지원하나요?

예. IAM Identity Center를 사용하여 AWS Management Console 및 CLI v2에 대한 액세스를 제어할 수 있습니다. IAM Identity Center를 사용하면 사용자가 Single Sign-On 환경을 통해 CLI 및 AWS Management Console에 액세스할 수 있습니다. 또한 AWS Mobile 콘솔 앱은 IAM Identity Center를 지원하므로 브라우저, 모바일 및 명령줄 인터페이스에 관계없이 일관된 로그인 환경을 제공할 수 있습니다.

Q: IAM Identity Center에 어떤 클라우드 애플리케이션을 연결할 수 있나요?

IAM Identity Center에 연결할 수 있는 애플리케이션은 다음과 같습니다.

1. IAM Identity Center 통합 애플리케이션: SageMaker Studio 및 IoT SiteWise와 같은 IAM Identity Center 통합 애플리케이션은 인증에 IAM Identity Center를 사용하며 IAM Identity Center에 있는 ID로 작동합니다. 이러한 애플리케이션으로 ID를 동기화하거나 별도로 페더레이션을 설정하기 위한 추가 구성은 필요하지 않습니다.
2. 사전 통합된 SAML 애플리케이션: IAM Identity Center는 일반적으로 사용되는 비즈니스 애플리케이션과 사전 통합된 상태로 제공됩니다. 전체 목록은 IAM Identity Center 콘솔을 참조하세요.
3. 사용자 지정 SAML 애플리케이션: IAM Identity Center는 SAML 2.0을 사용한 아이덴티티 페더레이션을 허용하는 애플리케이션을 지원합니다. 사용자 지정 애플리케이션 마법사를 사용하여 IAM Identity Center에서 이러한 애플리케이션을 지원할 수 있습니다.

Q: 어떤 AWS 계정을 IAM Identity Center에 연결할 수 있나요?

AWS Organizations를 사용하여 관리되는 AWS 계정이라면 IAM Identity Center에 추가할 수 있습니다. 계정 Single Sign-On(SSO)을 관리하려면 조직에서 모든 기능을 사용하도록 설정해야 합니다.

Q: 조직의 조직 단위(OU)에 포함된 AWS 계정에 대한 Single Sign-On(SSO)을 설정하려면 어떻게 해야 하나요?

조직 내 계정을 선택하거나 OU 기준으로 계정을 필터링하면 됩니다.

Q: 신뢰할 수 있는 ID 전파란 무엇인가요?

신뢰할 수 있는 ID 전파는 OAuth 2.0 인증 프레임워크를 기반으로 합니다. 이 프레임워크를 사용하면 애플리케이션이 특정 사용자의 보안 인증 정보를 공유하지 않고도 특정 사용자를 대신하여 데이터 및 기타 리소스에 액세스할 수 있습니다. 이 IAM Identity Center 기능은 여러 AWS 분석 애플리케이션에서 사용자의 데이터 액세스 관리, 감사를 간소화하고 분석 사용자의 로그인 경험을 개선합니다.

Q: 신뢰할 수 있는 ID 전파를 사용해야 하는 이유는 무엇인가요?

리소스 및 데이터베이스 관리자는 세분화된 사용자 및 그룹 구성원 수준에서 자산에 대한 액세스를 정의할 수 있습니다. 감사자는 상호 연결된 비즈니스 인텔리전스 및 데이터 분석 애플리케이션 전반에서 사용자 작업을 검토할 수 있습니다. 비즈니스 인텔리전스 애플리케이션 사용자는 한 번만 인증하면 AWS 데이터 소스에 액세스할 수 있습니다. 신뢰할 수 있는 ID 전파를 통해 고객은 Amazon Redshift, Amazon S3, Amazon Quicksight, Amazon Athena, AWS LakeFormation 등 여러 애플리케이션 및 AWS 서비스가 포함된 분석 워크플로의 데이터에 대한 최소 권한 액세스 요구 사항을 충족할 수 있습니다. 

Q: 신뢰할 수 있는 ID 전파의 일반적인 사용 사례는 무엇인가요?

신뢰할 수 있는 ID 전파의 기본적인 사용 사례는 비즈니스 인텔리전스(BI) 애플리케이션이 고객의 기존 ID 공급자를 통해 한 번의 사용자 로그인으로 사용자의 ID를 인식을 유지하며 비즈니스 사용자가 Amazon Redshift 또는 Amazon Quicksight 등 AWS 분석 서비스에 필요한 데이터를 쿼리할 수 있도록 하는 것입니다. 이 기능은 일반적으로 사용되는 다양한 유형의 BI 애플리케이션을 지원하고 다양한 메커니즘을 사용하여 서비스 간에 사용자 ID를 전파합니다.

Q: 사용자가 IAM Identity Center를 사용하여 계정에 액세스할 때 사용자에게 부여되는 권한을 제어하려면 어떻게 해야 하나요?

사용자에게 액세스 권한을 부여할 때 권한 세트를 선택하여 사용자의 권한을 제한할 수 있습니다. 권한 세트란 IAM Identity Center에서 생성할 수 있는 권한의 모음으로, 직무에 대한 AWS 관리형 정책 또는 모든 AWS 관리형 정책을 기반으로 권한을 모델링합니다. 직무에 대한 AWS 관리형 정책은 IT 업계의 일반적인 직무와 긴밀하게 연결되도록 구성됩니다. 필요한 경우 보안 요구 사항 충족을 위해 권한 세트를 완전히 사용자 지정할 수도 있습니다. IAM Identity Center는 선택한 계정에 이러한 권한을 자동으로 적용합니다. 권한 세트를 변경할 때 IAM Identity Center를 사용하여 변경 내용을 관련 계정에 쉽게 적용할 수 있습니다. 사용자가 AWS 액세스 포털을 통해 계정에 액세스하면 이러한 권한이 사용자가 해당 계정 내에서 할 수 있는 작업을 제한합니다. 사용자에게 여러 권한 세트를 부여할 수도 있습니다. 사용자 포털을 통해 계정에 액세스할 때 사용자는 해당 세션에 사용할 권한 세트를 선택할 수 있습니다.

Q: 여러 계정에서 권한 관리를 자동화하려면 어떻게 해야 하나요?

IAM Identity Center는 여러 계정을 사용하는 환경에서 권한 관리를 자동화하고 감사 및 거버넌스 목적으로 프로그래밍을 통해 권한을 검색할 수 있는 API와 AWS CloudFormation 지원을 제공합니다.

Q: ABAC에 사용할 사용자 속성을 선택하려면 어떻게 해야 하나요?

ABAC를 구현하려면 IAM Identity Center 사용자 및 Microsoft AD 또는 외부 SAML 2.0 IdP(예: Okta Universal Directory, Microsoft Entra ID(구 Azure AD), OneLogin 또는 PingFederate)에서 동기화된 사용자를 위한 IAM Identity Center ID 저장소에서 속성을 선택할 수 있습니다. IdP를 ID 소스로 사용하는 경우, 선택 사항으로 속성을 SAML 2.0 어설션의 일부로 보낼 수 있습니다.

Q: AWS CLI 보안 인증 정보를 받을 수 있는 AWS 계정은 무엇인가요?

모든 AWS 계정, 그리고 IAM Identity Center 관리자에게 할당받은 사용자 권한에 대해 AWS CLI 보안 인증 정보를 얻을 수 있습니다. 이러한 CLI 보안 인증 정보를 사용하여 프로그래밍 방식으로 AWS 계정에 액세스할 수 있습니다.

Q: AWS 액세스 포털에서 AWS CLI 보안 인증 정보는 얼마간 유효한가요?

IAM Identity Center를 통해 가져온 AWS CLI 보안 인증 정보는 60분간 유효합니다. 필요한 만큼 자주 새로운 보안 인증 정보 세트를 얻을 수 있습니다.

Q: Salesforce 같은 비즈니스 애플리케이션에 대한 IAM Identity Center를 설정하려면 어떻게 해야 하나요?

IAM Identity Center 콘솔에서 애플리케이션 창으로 이동하고 새 애플리케이션 구성(Configure new application)을 선택한 다음 IAM Identity Center에 사전 통합된 클라우드 애플리케이션 목록에서 애플리케이션을 선택합니다. 화면의 지침에 따라 애플리케이션을 구성합니다. 이제 애플리케이션이 구성되었고 이 애플리케이션에 대한 액세스 권한을 할당할 수 있습니다. 애플리케이션에 대한 액세스 권한을 부여할 그룹 또는 사용자를 선택하고 액세스 할당(Assign Access)을 선택해 프로세스를 완료합니다.

Q: IAM Identity Center의 사전 통합된 애플리케이션 목록에 없는 비즈니스 애플리케이션을 사용하고 있습니다. 이 경우에도 IAM Identity Center를 사용할 수 있나요?

예. 애플리케이션이 SAML 2.0을 지원하는 경우, 애플리케이션을 사용자 지정 SAML 2.0 애플리케이션으로 구성할 수 있습니다. IAM Identity Center 콘솔에서 애플리케이션 창으로 이동하고 새 애플리케이션 구성(Configure new application)을 선택한 다음 사용자 지정 SAML 2.0 애플리케이션을 선택합니다. 지침에 따라 애플리케이션을 구성합니다. 이제 애플리케이션이 구성되었고 이 애플리케이션에 대한 액세스 권한을 할당할 수 있습니다. 애플리케이션에 대한 액세스 권한을 부여할 그룹 또는 사용자를 선택하고 액세스 할당(Assign Access)을 선택해 프로세스를 완료합니다.

Q: 애플리케이션이 OpenID Connect(OIDC)만 지원하는데, IAM Identity Center를 사용할 수 있나요?

아니요. IAM Identity Center는 SAML 2.0 기반 애플리케이션만 지원합니다.

Q: IAM Identity Center는 네이티브 모바일 및 데스크톱 애플리케이션에 대한 Single Sign-On을 지원하나요?

아니요. IAM Identity Center는 웹 브라우저를 통해서만 비즈니스 애플리케이션에 대한 Single Sign-On을 지원합니다.

Q: IAM Identity Center는 사용자 대신 어떤 데이터를 저장하나요?

IAM Identity Center는 사용자 및 그룹에 할당된 AWS 계정과 클라우드 애플리케이션에 대한 데이터와 AWS 계정에 액세스하기 위해 부여된 권한에 대한 데이터를 저장합니다. 또한 IAM Identity Center는 사용자에게 액세스를 부여하는 각 권한 세트에 대한 IAM 역할을 개별 AWS 계정에서 생성하고 관리합니다.

Q: IAM Identity Center에서 사용할 수 있는 다중 인증(MFA) 기능은 무엇인가요?

IAM Identity Center를 사용하면 모든 ID 소스의 모든 사용자에 대한 강력한 표준 기반 인증 기능을 활성화할 수 있습니다. 지원되는 SAML 2.0 IdP를 ID 소스로 사용하는 경우 제공업체의 다중 인증 기능을 활성화할 수 있습니다. IAM Identity Center 또는 Active Directory를 ID 소스로 사용하는 경우 IAM Identity Center는 FIDO 지원 보안 키(예: YubiKey) 및 기본 제공 생체 인증(예: Apple MacBooks의 Touch ID 및 PC의 얼굴 인식)을 통해 AWS 계정 및 비즈니스 애플리케이션에 대한 사용자의 액세스를 보안하도록 웹 인증 사양을 지원합니다. 또한 Google Authenticator 또는 Twilio Authy와 같은 인증 앱을 사용하여 1회성 암호(OTP)를 활성화할 수도 있습니다.

IAM Identity Center 및 AWS Directory Service에서 기존 Remote Authentication Dial-In User Service(RADIUS) MFA 구성을 사용하여 2차 검증 양식으로 사용자를 인증할 수도 있습니다. IAM Identity Center를 통한 MFA 구성에 대해 자세히 알아보려면 IAM Identity Center 사용 설명서를 참조하세요.

Q: IAM Identity Center는 웹 인증 사양을 지원하나요?

예. IAM Identity Center ID 저장소 및 Active Directory의 사용자 ID에 대해 IAM Identity Center는 FIDO 지원 보안 키(예: YubiKey) 및 기본 제공 생체 인증(예: Apple MacBooks의 Touch ID 및 PC의 얼굴 인식)을 통해 AWS 계정 및 비즈니스 애플리케이션에 대한 사용자의 액세스를 보호하는 데 도움이 되는 웹 인증(WebAuthn) 사양을 지원합니다. 또한 Google Authenticator 또는 Twilio Authy와 같은 인증 앱을 사용하여 1회성 암호(OTP)를 활성화할 수도 있습니다.

Q: 직원이 IAM Identity Center 사용을 시작하려면 어떻게 해야 하나요?

직원들은 IAM Identity Center에서 ID 소스를 구성할 때 생성되는 액세스 포털을 방문하여 IAM Identity Center를 시작할 수 있습니다. IAM Identity Center에서 사용자를 관리하는 경우, 직원은 IAM Identity Center에서 구성한 이메일 주소 및 암호를 사용하여 사용자 포털에 로그인할 수 있습니다. Microsoft Active Directory 또는 SAML 2.0 ID 제공업체에 IAM Identity Center를 연결하는 경우, 직원은 기존 기업 보안 인증 정보로 사용자 포털에 로그인한 다음 계정 및 할당된 애플리케이션을 볼 수 있습니다. 계정 또는 애플리케이션에 액세스하려면 직원은 액세스 포털에서 관련 아이콘을 선택하면 됩니다.

Q: IAM Identity Center에 사용할 수 있는 API가 있나요?

예. IAM Identity Center는 여러 계정을 사용하는 환경에서 권한 관리를 자동화하고 감사 및 거버넌스를 위해 프로그래밍을 통해 권한을 검색할 수 있는 계정 할당 API를 제공합니다.