IAM ID 센터 지침 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

IAM ID 센터 지침

참고

SSO는 기술 업계에서 싱글 사인온을 나타내는 데 사용되는 약어입니다. 일반적으로 SSO는 세션 및 사용자 인증 서비스입니다. 이를 통해 사용자는 한 세트의 로그인 자격 증명을 사용하여 여러 애플리케이션에 액세스할 수 있습니다. 에서 AWS싱글 사인온 기능을 언급할 때는 IAM 또는 IAM Identity AWS Identity and Access ManagementCenter라고 하며 약칭되는 AWS 서비스를 말합니다.

AWS Control Tower는 AWS Identity and Access Management (IAM) 을 사용하여 사용자 액세스 권한을 규제할 AWS 계정것을 권장합니다. 하지만 AWS Control Tower에서 IAM Identity Center를 자동으로 설정할지, 비즈니스 요구 사항을 가장 효과적으로 충족하는 방식으로 IAM Identity Center를 설정할지, 계정 액세스를 위한 다른 방법을 선택할지 선택할 수 있습니다.

기본적으로 AWS Control Tower는 여러 계정을 사용하여 AWS 환경 구성에 정의된 모범 사례 지침에 따라 랜딩 존에 AWS IAM Identity Center를 설정합니다. 대부분의 고객은 기본값을 선택합니다. 특정 산업 또는 국가의 규정 준수를 위해 또는 AWS IAM Identity Center를 사용할 수 AWS 리전 없는 경우 대체 액세스 방법이 필요할 수 있습니다.

옵션 선택

AWS Control Tower에서 대신 IAM Identity Center를 설정하도록 허용하는 대신, 콘솔에서 랜딩 존 설정 프로세스 중에 IAM Identity Center를 자체 관리하도록 선택할 수 있습니다. 나중에 언제든지 랜딩 존 설정을 수정하고 랜딩 존 설정 페이지에서 랜딩 존을 업데이트하여 이 선택을 변경할 수 있습니다.

AWS Control Tower에서 AWS IAM 자격 증명 센터를 중단하거나 AWS IAM 자격 증명 센터 사용을 시작하려면

  1. 랜딩 존 설정 페이지로 이동합니다.

  2. 구성 탭을 선택합니다.

  3. 그런 다음 적절한 라디오 버튼을 선택하여 AWS IAM Identity Center에 대한 선택 항목을 변경합니다.

AWS IAM ID 센터를 IdP로 자체 관리하기로 선택하면 AWS Control Tower는 AWS Control Tower를 관리하는 데 필요한 역할과 정책 (예: 및) 만 생성합니다. AWSControlTowerAdmin AWSControlTowerAdminPolicy 자체 관리하는 랜딩 존의 경우, AWS Control Tower는 더 이상 고객별 용도를 위한 IAM 역할 및 그룹을 생성하지 않습니다. 랜딩 존 설정 프로세스나 Account Factory를 통한 계정 프로비저닝 중에는 없습니다.

참고

AWS Control Tower 랜딩 존에서 AWS IAM Identity Center를 제거해도 AWS Control Tower가 생성한 사용자, 그룹 및 권한 집합은 제거되지 않습니다. 이러한 리소스를 제거하는 것이 좋습니다.

Azure AD, Ping 또는 Okta와 같은 대체 ID 공급자 (IdPs) 를 보유한 Account Factory 고객은 AWS IAM ID 센터 프로세스에 따라 외부 ID 공급자에 연결하고 IdP를 온보딩할 수 있습니다. 랜딩 존 설정을 수정하여 언제든지 AWS Control Tower가 그룹과 역할을 생성하도록 할 수 있습니다.