사용자 디렉터리 설정 - Amazon Monitron
SSO 요구 사항 이해기본 IAM Identity Center 디렉터리를 사용하여 관리자 사용자 추가Microsoft Active Directory를 사용하여 관리자 사용자 추가 외부 ID 제공업체를 사용하여 관리자 사용자 추가IAM Identity Center를 통해 Amazon Monitron으로 복귀

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

사용자 디렉터리 설정

Amazon Monitron은 사용자 액세스를 관리하는 AWS IAM Identity Center 데 사용합니다. 사용자는 이 IAM Identity Center 사용자 디렉터리에서 추가됩니다.

관리자 사용자를 추가하는 방법은 조직에 IAM Identity Center가 어떻게 설정되어 있는지에 따라 달라집니다.

중요

Amazon Monitron 각 앱 사용자의 이메일 주소가 필요합니다. Microsoft Active Directory나 외부 ID 제공업체와 같은 디렉터리를 사용하는 경우 사용자의 이메일 주소가 추가되고 동기화되었는지 확인해야 합니다.

SSO 요구 사항 이해

프로젝트를 생성하면 Amazon Monitron은 계정에서 IAM Identity Center가 활성화되고 구성되었는지 여부와 Amazon Monitron에서 IAM Identity Center를 사용하기 위한 모든 사전 조건이 충족되는지 여부를 자동으로 감지합니다. 그렇지 않은 경우 Amazon Monitron은 오류를 생성하고 필요한 사전 조건 목록을 제공합니다. 모든 사전 조건을 충족해야 관리자 사용자를 추가할 수 있습니다. 조직의 IAM Identity Center를 활성화하고 구성하는 방법에 대한 자세한 내용은AWS Single Sign-On을 참조하세요.

중요

Amazon Monitron 옵트인 지역과 정부 지역을 제외한 모든 IAM Identity Center 지역을 지원합니다. 지원되는 리전 목록은 다음과 같습니다.

  • 미국 동부(버지니아 북부)

  • 미국 동부(오하이오)

  • 미국 서부(캘리포니아 북부)

  • 미국 서부(오레곤)

  • 아시아 태평양(뭄바이)

  • 아시아 태평양(도쿄)

  • 아시아 태평양(서울)

  • 아시아 태평양(오사카)

  • 아시아 태평양(싱가포르)

  • 아시아 태평양(시드니)

  • 캐나다(중부)

  • 유럽(프랑크푸르트)

  • 유럽(아일랜드)

  • 유럽(런던)

  • 유럽(파리)

  • 유럽(스톡홀름)

  • 남아메리카(상파울루)

IAM Identity Center 사전 조건

IAM Identity Center를 설정하려면 먼저 다음을 수행해야 합니다.

  • 먼저 AWS Organizations 서비스를 설정하고 모든 기능을 활성화하도록 설정하세요. 자세한 내용은AWS Organizations 사용 설명서조직 내 모든 기능 활성화를 참조하세요.

  • IAM Identity Center 설정을 시작하기 전에 AWS Organizations 관리 계정 자격 증명으로 로그인하십시오. IAM Identity Center를 활성화하려면 이러한 보안 인증 정보가 필요합니다. 자세한 내용은 AWS Organizations 사용 설명서의 AWS 조직 생성 및 관리를 참조하십시오. 조직 회원 계정의 보안 인증 정보로 로그인한 상태에서는 IAM Identity Center를 설정할 수 없습니다.

  • 사용자 포털에 SSO 액세스 권한을 가진 사용자 풀을 확인하기 위해 자격 증명 소스를 선택했습니다. 사용자 스토어에 기본 IAM Identity Center 자격 증명 소스를 사용하기로 선택한 경우 사전 태스크가 필요하지 않습니다. IAM Identity Center 스토어는 IAM Identity Center를 활성화하고 즉시 사용할 수 있게 되면 기본적으로 생성됩니다. 이 스토어를 사용하는 데 드는 비용은 없습니다. 또는 Azure Active Directory를 사용하여 외부 ID 제공업체에 연결하도록 선택할 수 있습니다. 사용자 저장소의 기존 Active Directory에 연결하기로 선택한 경우 다음 항목이 있어야 합니다.

    • 에 AWS Directory Service설정된 기존 AD Connector 또는 AWS Managed Microsoft AD 디렉터리는 조직의 관리 계정 내에 있어야 합니다. 한 번에 하나의 AWS Managed Microsoft AD 디렉터리만 연결할 수 있습니다. 하지만 언제든지 다른 AWS Managed Microsoft AD 디렉터리로 변경하거나 IAM Identity Center 스토어로 다시 변경할 수 있습니다. 자세한 내용은 AWS Directory Service 관리 가이드의 AWS Managed Microsoft AD 디렉터리 생성을 참조하십시오.

    • AWS Managed Microsoft AD 디렉터리가 설정된 지역에 IAM Identity Center를 설정하세요. IAM Identity Center는 디렉터리와 동일한 리전에 할당 데이터를 저장합니다. IAM Identity Center를 관리하려면 IAM Identity Center를 설정한 리전으로 전환해야 합니다. 또한 IAM Identity Center의 사용자 포털은 연결된 디렉터리와 동일한 액세스 URL을 사용한다는 점에 유의하세요.

  • 현재 차세대 방화벽 (NGFW) 또는 보안 웹 게이트웨이 (SWG) 와 같은 웹 콘텐츠 필터링 솔루션을 사용하여 특정 Amazon Web Service(AWS) 도메인 또는 URL 엔드포인트에 대한 액세스를 필터링하는 경우, IAM Identity Center가 제대로 작동하려면 웹 콘텐츠 필터링 솔루션 허용 목록에 다음 도메인 및/또는 URL 엔드포인트를 추가해야 합니다.

    특정 DNS 도메인

    • *.awsapps.com(http://awsapps.com/)

    • *.signin.aws

    특정 URL 엔드포인트

    • https://[디렉터리 이름].awsapps.com/start

    • https://[디렉터리 이름].awsapps.com/login

    • https://[리전 이름].signin.aws/platform/login

IAM Identity Center를 활성화하기 전에 먼저 AWS 계정이 IAM 역할의 할당량 한도에 근접하고 있는지 확인하는 것이 좋습니다. 자세한 내용은 IAM 객체 할당량을 참조하세요. 할당량 한도에 가까워지면 할당량을 늘리는 것을 고려해 보세요. 그렇지 않으면 IAM 역할 제한을 초과한 계정에 권한 세트를 프로비저닝할 때 IAM Identity Center에 문제가 발생할 수 있습니다.

기본 IAM Identity Center 디렉터리를 사용하여 관리자 사용자 추가

프로젝트에 관리자 사용자를 추가하는 가장 간단한 방법은 IAM Identity Center 네이티브 디렉터리를 사용하는 것입니다. Amazon Monitron을 사용하기 시작하고 IAM Identity Center를 기본 수준에서 구성하도록 하면 사용할 수 있습니다. Amazon Monitron을 사용하기 전에 IAM Identity Center를 설정하고 네이티브 디렉터리를 사용하도록 설정할 수도 있습니다. 어느 방법을 사용하든 이름과 이메일 이외의 사용자 자격 증명 정보가 다른 관리자 사용자에게 노출되지 않도록 수동으로 사용자를 추가할 수 있습니다.

기본 IAM Identity Center 디렉터리를 사용할 때 관리자 사용자를 추가하려면 다음과 같이 하세요.

  1. https://console.aws.amazon.com/monitron에서 Amazon Monitron 콘솔을 엽니다.

  2. 프로젝트 생성을 선택합니다.

  3. 탐색 창에서 원하는 프로젝트를 선택합니다.

  4. 사용자 페이지에서 관리자 사용자로 할당하려는 사용자를 선택합니다. 사용자가 보이지 않으면 검색해 보세요.

    선택한 사용자는 선택된 사용자 섹션에 표시됩니다.

  5. 원하는 사용자가 디렉터리에 없는 경우 사용자 생성을 선택하여 사용자를 추가합니다.

    1. 사용자 생성에서 이메일에 새 관리자 사용자의 이메일 주소를 입력합니다.

    2. 이름에 관리자 이름을 입력합니다.

    3. 사용자 생성을 선택합니다.

  6. 디렉터리 목록에 사용자 이름이 나타나면 추가를 선택하여 선택한 관리자 사용자를 추가합니다.

  7. 관리자 사용자에게 Amazon Monitron 모바일 앱을 다운로드할 수 있는 링크가 포함된 프로젝트 초대장을 이메일로 보냅니다. 자세한 정보는 이메일 초대 보내기을 참조하세요.

    Amazon Monitron은 모든 관리자 사용자가 나열된 프로젝트의 프로젝트 페이지로 이동합니다.

  8. 관리자 사용자를 추가하려면 관리자 추가를 선택합니다.

    모든 관리자 사용자는 Amazon Monitron 모바일 앱을 사용하여 다른 사용자를 추가할 수 있습니다. 자세한 내용은 Amazon Monitron 사용 설명서사용자 추가를 참조하세요.

Microsoft Active Directory를 사용하여 관리자 사용자 추가

조직의 기본 사용자 디렉터리로 Microsoft Active Directory(AD)를 사용하는 경우 이를 사용하도록 IAM Identity Center를 구성할 수 있습니다. IAM ID 센터를 사용하면 디렉터리 서비스를 사용하여 AWS 자체 관리형 Active Directory를 관리형 AWS Microsoft AD 디렉터리로 연결할 수 있습니다. 이 Microsoft AD 디렉터리는 Amazon Monitron 콘솔(또는 Amazon Monitron 모바일 앱)을 사용하여 사용자 역할을 할당할 때 가져올 수 있는 자격 증명 풀을 제공합니다.

중요

Amazon Monitron 각 앱 사용자의 이메일 주소가 필요합니다. 사용자의 이메일 주소가 추가되고 동기화되었는지 확인하세요.

모든 Amazon Monitron 관리자 사용자는 Amazon Monitron용 IAM Identity Center에 구성된 사용자 디렉터리의 자격 증명 정보에 액세스할 수 있습니다. 사용자 조직 정보에 대한 액세스를 제한하려면 격리된 디렉터리를 사용하는 것이 좋습니다.

Microsoft Active Directory를 사용하여 관리자 사용자를 추가하려면 다음과 같이 하세요.

  1. Microsoft Active Directory에 연결하도록 IAM Identity Center를 구성합니다. 이와 관련된 단계는 자체 관리형 Active Directory를 사용하는지 아니면 관리형 Microsoft AD 디렉터리를 사용하는지에 따라 달라집니다. AWS 자세한 내용은 Microsoft AD 디렉터리에 연결을 참조하세요.

  2. https://console.aws.amazon.com/monitron에서 Amazon Monitron 콘솔을 엽니다.

  3. 프로젝트 생성을 선택합니다.

  4. 탐색 창에서 원하는 프로젝트를 선택합니다.

  5. Active Directory 도메인의 경우 자격 증명을 추가하려는 디렉터리 도메인을 선택합니다.

  6. 원하는 사용자 디렉터리 검색 방법에 따라 사용자 또는 그룹을 선택합니다.

  7. 검색 상자에 문자열을 입력하여 추가하려는 자격 증명을 찾은 다음 검색을 선택합니다.

    반환되는 사용자 수를 제한하려면 검색 상자에 더 긴 문자열을 입력하세요. 예를 들어 검색 상자에 “olg”를 입력하면 “Olga Kurth”, “Jamie Folgman”과 같이 이름에 “olg”라는 글자가 있는 모든 사용자가 목록에 표시됩니다.

  8. 관리자 사용자로 할당하려는 사용자를 선택합니다.

  9. 추가를 선택하여 관리자 사용자를 추가합니다.

외부 ID 제공업체를 사용하여 관리자 사용자 추가

외부 ID 제공업체(idP)를 사용하는 경우, Security Assertion Markup Language(SAML) 2.0 표준을 통해 해당 공급업체를 사용하도록 IAM Identity Center를 구성할 수 있습니다. 그러면 IdP 디렉터리의 자격 증명 풀이 제공됩니다. Amazon Monitron 콘솔(또는 Amazon Monitron 모바일 앱)을 사용할 때 이 풀을 가져와서 관리자 사용자로 할당할 수 있습니다. 또한 이를 통해 사용자는 회사 보안 인증을 사용하여 Amazon Monitron에 로그인할 수 있습니다.

중요

Amazon Monitron 각 앱 사용자의 이메일 주소가 필요합니다. 사용자의 이메일 주소가 추가되고 동기화되었는지 확인하세요.

모든 Amazon Monitron 관리자 사용자는 Amazon Monitron용 IAM Identity Center에 구성된 사용자 디렉터리의 자격 증명 정보에 액세스할 수 있습니다. 사용자 조직 정보에 대한 액세스를 제한하려면 격리된 디렉터리를 사용하는 것이 좋습니다.

외부 ID 제공업체(idP)를 사용하여 관리자 사용자를 추가하려면 다음과 같이 하세요.

  1. 외부 AWS IdP와 연결하도록 IAM ID 센터를 구성합니다. 여기에 관련된 단계는 사용 중인 공급업체에 따라 다릅니다. 자세한 내용은 외부 ID 제공업체에 연결을 참조하세요.

  2. https://console.aws.amazon.com/monitron에서 Amazon Monitron 콘솔을 엽니다.

  3. 프로젝트 생성을 선택합니다.

  4. 탐색 창에서 원하는 프로젝트를 선택합니다.

  5. 사용자 페이지에서 관리자 사용자로 할당하려는 사용자를 선택합니다. 사용자가 보이지 않으면 검색해 보세요.

  6. 추가를 선택하여 관리자 사용자를 추가합니다.

IAM Identity Center를 통해 Amazon Monitron으로 복귀

Amazon Monitron 웹 앱에서 로그아웃해도 여전히 로그인되어 있을 수 있습니다. AWS IAM Identity Center사용자 포털에서 연 다른 모든 애플리케이션은 계속 열려 있고 실행 중입니다.

IAM Identity Center에서 로그아웃하는 두 가지 방법이 있습니다.

  • IAM Identity Center 포털에서 직접 로그아웃하세요.

  • 한 시간에 한 번 AWS IAM ID 센터에서 사용자가 서비스를 적극적으로 사용하고 있는지 AWS 확인합니다. 그렇지 않으면 IAM Identity Center에서 자동으로 로그아웃됩니다.

IAM Identity Center를 사용하는 관리자 사용자에 대한 자세한 내용은 사용자 디렉터리 설정을 참조하세요.

Amazon Monitron 및 IAM ID 센터의 보안 모범 사례에 대해 알아보려면 보안 모범 사례를 참조하십시오. Amazon Monitron

SSO 사용자 포털 사용에 대한 자세한 내용은 사용자 포털 사용을 참조하세요.