AWS Single Sign-On을 통해 사용자 및 액세스 관리 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Single Sign-On을 통해 사용자 및 액세스 관리

AWS Single Sign-On은 AWS 계정 및 비즈니스 애플리케이션에 대한 SSO 액세스 관리를 간소화하는 클라우드 기반 서비스입니다. AWS Organizations의 모든 AWS 계정에 대해 SSO 액세스 및 사용자 권한을 제어할 수 있습니다. 일반적으로 사용하는 비즈니스 애플리케이션과 SAML(Security Assertion Markup Language) 2.0을 지원하는 사용자 지정 애플리케이션에 대한 액세스도 관리할 수 있습니다. 또한 AWS SSO는 사용자가 할당된 모든 AWS 계정, 비즈니스 애플리케이션 및 사용자 지정 애플리케이션을 한 곳에서 찾을 수 있는 사용자 포털을 제공합니다. 자세한 내용은 AWS Single Sign-On 사용 설명서를 참조하세요.

AWS SSO 및 AWS Control Tower

AWS Control Tower Tower에서AWS Single Sign-On를 사용하면 중앙 클라우드 관리자와 최종 사용자가 여러 AWS 계정 및 비즈니스 애플리케이션에 대한 액세스를 관리할 수 있습니다. AWS Control Tower는 이 서비스를 사용하여 를 통해 생성된 계정에 대한 액세스를 설정하고 관리합니다.AWS Service Catalog.

AWS Control Tower 에서 SSO 사용자 및 권한을 설정하는 방법에 대한 간단한 자습서를 보려면 이 동영상 (6:23) 을 확인하십시오. 동영상 오른쪽 하단에 있는 아이콘을 선택하여 전체 화면으로 확대하면 더 잘 보입니다. 자막을 사용할 수 있습니다.

다음을 사용하여 AWS Control Tower 설정 정보AWS SSO

AWS Control Tower 를 처음 설정할 때 루트 사용자와 올바른 권한을 가진 IAM 사용자만 추가할 수 있습니다.AWS SSO사용자. 그러나 최종 사용자가 에 추가되면AWSAccountFactory그룹을 사용하면 [Account Factory] 마법사에서 새 SSO 사용자를 생성할 수 있습니다. 자세한 정보는 계정 팩토리를 사용하여 계정 프로비저닝 및 관리을 참조하십시오.

landing zone 존은 사전 구성된 디렉토리를 제공하여 사용자가 계정 간에 페더레이션된 액세스를 할 수 있도록 사용자 자격 증명 및 Single Sign-On을 관리할 수 있습니다. landing zone 존을 설정하면 이 기본 디렉터리가 생성됩니다.사용자 그룹권한.

사용자 그룹, 역할 및 권한 세트

사용자 그룹은 공유 계정 내에 정의된 특수 역할을 관리합니다. 역할은 함께 속한 권한 세트를 설정합니다. 그룹의 모든 멤버는 해당 그룹과 연결된 권한 세트 또는 역할을 상속합니다. 멤버 계정의 최종 사용자를 위한 새 그룹을 만들어 그룹이 수행하는 특정 작업에 필요한 역할만 사용자 지정하여 할당할 수 있습니다.

사용 가능한 권한 세트는 읽기 전용 액세스, AWS Control Tower 관리 액세스 및 기간과 같은 다양한 사용자 권한 요구 사항을 포괄합니다.AWS Service Catalog에 액세스합니다 이러한 권한 세트를 통해 최종 사용자는 엔터프라이즈 지침에 따라 landing zone 신속하게 자신의 AWS 계정을 프로비저닝할 수 있습니다.

사용자, 그룹 및 권한 할당을 계획하는 방법에 대한 팁은 그룹, 역할 및 정책 설정을 위한 권장 사항 단원을 참조하십시오.

AWS Control Tower 컨텍스트에서 이 서비스를 사용하는 방법에 대한 자세한 내용은 의 다음 주제를 참조하십시오.AWS Single Sign-On사용 설명서.

주의

AWS Control Tower Tower는AWS SSO홈 리전의 디렉터리입니다. 다른 리전에서 landing zone 존을 설정한 다음AWS SSO콘솔의 경우 리전을 홈 리전으로 변경해야 합니다. 홈 리전에서 AWS SSO 구성을 삭제하지 마십시오.

SSO 계정 및 AWS Control Tower Tower에 대해 알아야 할 사항

다음은 함께 작업할 때 알아야 할 사항입니다.AWS SSOAWS Control Tower Tower의 사용자 계정

  • AWS SSO 사용자 계정이 비활성화된 경우 Account Factory에서 새 계정을 프로비저닝하려고 할 때 오류 메시지가 표시됩니다. AWS SSO 콘솔에서 SSO 사용자를 다시 활성화할 수 있습니다.

  • Account Factory에서 판매한 계정과 연결된 프로비저닝된 제품을 업데이트할 때 새 SSO 사용자 이메일 주소를 지정하면 AWS Control Tower Tower에서 새 SSO 사용자 계정을 생성합니다. 이전에 만든 사용자 계정은 제거되지 않습니다. AWS SSO에서 이전 SSO 사용자 이메일 주소를 제거하려면 사용자 비활성화를 참조하십시오.

  • AWS SSO는Azure Active Directory을 사용하면 기존 Azure Active Directory를 AWS Control Tower Tower에 연결할

  • AWS Control Tower 타워의 동작이 AWS SSO 및 다른 자격 증명 소스와 상호 작용하는 방법에 대한 자세한 내용은ID 소스 변경에 대한 고려 사항AWS SSO 설명서에 나와 있습니다.

AWS SSOAWS Control Tower

AWS Control Tower는 사전 구성된 그룹을 제공하여 계정에서 특정 작업을 수행하는 사용자를 구성합니다. AWS SSO에서 사용자를 추가하고 이러한 그룹에 직접 할당할 수 있습니다. 이렇게 하면 권한 세트가 계정 내의 그룹에 있는 사용자에게 적용됩니다. landing zone 존을 설정할 때 생성되는 그룹은 다음과 같습니다.

AWSAccountFactory
계정 권한 세트 설명
관리 AWSServiceCatalogEndUserAccess 이 그룹은 이 계정에서 Account Factory를 사용하여 새 계정을 프로비저닝하는 데만 사용됩니다.
AWSServiceCatalogAdmins
계정 권한 세트 설명
관리 AWSServiceCatalogAdminFullAccess 이 그룹은 이 계정에서 Account Factory를 관리하는 데만 사용됩니다. 이 그룹의 사용자는 새 계정을 프로비저닝할 수 없습니다.AWSAccountFactory그룹
AWSControlTowerAdmins
계정 권한 세트 설명
관리 AWSAdministratorAccess 이 계정의 이 그룹 사용자만 AWS Control Tower 콘솔에 액세스할 수 있습니다.
로그 아카이브 계정 AWSAdministratorAccess 사용자는 이 계정에서 관리자 액세스 권한을 갖습니다.
감사 계정 AWSAdministratorAccess 사용자는 이 계정에서 관리자 액세스 권한을 갖습니다.
멤버 계정 AWSOrganizationsFullAccess 사용자는 이 계정의 Organizations 대한 전체 액세스 권한을 갖습니다.
AWSSecurityAuditPowerUsers
계정 권한 세트 설명
관리 AWSPowerUserAccess 사용자가 애플리케이션 개발 작업을 수행하며, AWS 인식 애플리케이션 개발을 지원하는 리소스와 서비스를 생성하고 구성할 수 있습니다.
로그 아카이브 계정 AWSPowerUserAccess 사용자가 애플리케이션 개발 작업을 수행하며, AWS 인식 애플리케이션 개발을 지원하는 리소스와 서비스를 생성하고 구성할 수 있습니다.
감사 계정 AWSPowerUserAccess 사용자가 애플리케이션 개발 작업을 수행하며, AWS 인식 애플리케이션 개발을 지원하는 리소스와 서비스를 생성하고 구성할 수 있습니다.
멤버 계정 AWSPowerUserAccess 사용자가 애플리케이션 개발 작업을 수행하며, AWS 인식 애플리케이션 개발을 지원하는 리소스와 서비스를 생성하고 구성할 수 있습니다.
AWSSecurityAuditors
계정 권한 세트 설명
관리 AWSReadOnlyAccess 사용자는 이 계정에 있는 모든 AWS 제품 및 리소스에 대한 읽기 전용 액세스 권한을 갖습니다.
로그 아카이브 계정 AWSReadOnlyAccess 사용자는 이 계정에 있는 모든 AWS 제품 및 리소스에 대한 읽기 전용 액세스 권한을 갖습니다.
감사 계정 AWSReadOnlyAccess 사용자는 이 계정에 있는 모든 AWS 제품 및 리소스에 대한 읽기 전용 액세스 권한을 갖습니다.
멤버 계정 AWSReadOnlyAccess 사용자는 이 계정에 있는 모든 AWS 제품 및 리소스에 대한 읽기 전용 액세스 권한을 갖습니다.
AWSLogArchiveAdmins
계정 권한 세트 설명
로그 아카이브 계정 AWSAdministratorAccess 사용자는 이 계정에서 관리자 액세스 권한을 갖습니다.
AWSLogArchiveViewers
계정 권한 세트 설명
로그 아카이브 계정 AWSReadOnlyAccess 사용자는 이 계정에 있는 모든 AWS 제품 및 리소스에 대한 읽기 전용 액세스 권한을 갖습니다.
AWSAuditAccountAdmins
계정 권한 세트 설명
감사 계정 AWSAdministratorAccess 사용자는 이 계정에서 관리자 액세스 권한을 갖습니다.