기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
사용자 및 액세스를 통한 관리AWS IAM Identity Center (successor to AWS Single Sign-On)
AWS IAM Identity Center (successor to AWS Single Sign-On)AWS계정 및 비즈니스 애플리케이션에 대한 IAM Identity Center 액세스를 관리하는 방법을 간소화하는 클라우드 기반 서비스입니다. 의 모든AWS 계정에서 IAM Identity Center 액세스 및 사용자 권한을 제어할 수AWS Organizations 있습니다. 일반적으로 사용하는 비즈니스 애플리케이션과 SAML(Security Assertion Markup Language) 2.0을 지원하는 사용자 지정 애플리케이션에 대한 액세스도 관리할 수 있습니다. 또한 IAM Identity Center는 사용자가 할당된 모든AWS 계정, 비즈니스 애플리케이션 및 사용자 지정 애플리케이션을 한 곳에서 찾을 수 있는 사용자 포털을 제공합니다. 자세한 내용은 AWS IAM Identity Center (successor to AWS Single Sign-On) 사용 설명서를 참조하세요.
AWSIAM ID 센터 및 AWS Control Tower 타워와의 협력
AWS Control Tower에서는AWS IAM Identity Center (successor to AWS Single Sign-On) 중앙 클라우드 관리자와 최종 사용자가 여러AWS 계정 및 비즈니스 애플리케이션에 대한 액세스를 관리할 수 있습니다. AWS Control Tower는 이 서비스를 사용하여 Service Catalog 통해 생성된 계정에 대한 액세스를 설정하고 관리합니다.
AWS Control Tower 타워에서 IAM Identity Center 사용자 및 권한을 설정하는 방법에 대한 간단한 자습서를 보려면 이 비디오 (6:23) 를 참조하십시오. 동영상 오른쪽 하단에 있는 아이콘을 선택하여 전체 화면으로 확대하면 더 잘 보입니다. 자막을 사용할 수 있습니다.
IAM 자격 증명 센터를 통한 AWS Control Tower 설정에 대한 정보
AWS Control Tower를 처음 설정할 때는 루트 사용자 및 올바른 권한을 가진 모든 IAM 사용자만 IAM Identity Center 사용자를 추가할 수 있습니다. 하지만 최종 사용자를 AWSAccountFactory그룹에 추가한 후에는 Account Factory 마법사에서 새 IAM Identity Center 사용자를 생성할 수 있습니다. 자세한 정보는 어카운트 팩토리를 통한 계정 프로비전 및 관리을 참조하세요.
landing zone 존은 사용자 ID 및 Single Sign-On을 관리하는 데 도움이 되는 사전 구성된 디렉터리로 설정되므로 사용자가 여러 계정에서 페더레이션된 액세스 권한을 가질 수 있습니다. landing zone 존을 설정하면 사용자 그룹과 권한 집합을 포함하도록 이 기본 디렉터리가 생성됩니다.
참고
조직AWS IAM Identity Center (successor to AWS Single Sign-On) 내 관리를 관리 계정이 아닌 다른 계정에 위임할 수 있습니다. 자세한 내용은 AWSSSO 위임 관리 시작하기라는
사용자 그룹, 역할 및 권한 세트
사용자 그룹은 공유 계정 내에 정의된 특수 역할을 관리합니다. 역할은 함께 속한 권한 세트를 설정합니다. 그룹의 모든 멤버는 해당 그룹과 연결된 권한 세트 또는 역할을 상속합니다. 멤버 계정의 최종 사용자를 위한 새 그룹을 만들어 그룹이 수행하는 특정 작업에 필요한 역할만 사용자 지정하여 할당할 수 있습니다.
사용 가능한 권한 집합에는 읽기 전용 액세스, AWS Control Tower 관리 액세스 및 Service Catalog 액세스와 같은 다양한 개별 사용자 권한 요구 사항이 포함됩니다. 이러한 권한 집합을 통해 최종 사용자는 landing zone 존에서 기업 지침에 따라 자신의AWS 계정을 신속하게 프로비저닝할 수 있습니다.
사용자, 그룹 및 권한 할당을 계획하는 방법에 대한 팁은 그룹, 역할 및 정책 설정을 위한 권장 사항 단원을 참조하십시오.
AWS Control Tower의 컨텍스트에서 이 서비스를 사용하는 방법에 대한 자세한 내용은 사용 AWS IAM Identity Center (successor to AWS Single Sign-On)설명서의 다음 주제를 참조하십시오.
-
사용자를 추가하려면 사용자 추가를 참조하십시오.
-
그룹에 사용자를 추가하려면 그룹에 사용자 추가를 참조하십시오.
-
사용자 속성을 편집하려면사용자 속성 편집을 참조하십시오.
-
그룹을 추가하려면 그룹 추가를 참조하십시오.
주의
AWS Control Tower 타워는 홈 리전에 IAM ID 센터 디렉터리를 설정합니다. landing zone 존을 다른 리전에 설정한 다음 IAM Identity Center 콘솔로 이동하는 경우 리전을 홈 리전으로 변경해야 합니다. 홈 리전의 IAM ID 센터 구성을 삭제하지 마십시오.
IAM ID 센터 계정 및 AWS Control Tower 타워에 대해 알아야 할 사항
다음은 AWS Control Tower 타워에서 IAM Identity Center 사용자 계정으로 작업할 때 알아두어야 할 몇 가지 유용한 사항입니다.
-
AWSIAM Identity Center 사용자 계정이 비활성화된 경우 Account Factory 팩토리에서 새 계정을 프로비저닝하려고 할 때 오류 메시지가 표시됩니다. IAM ID 센터 콘솔에서 IAM ID 센터 사용자를 다시 활성화할 수 있습니다.
-
Account Factory에서 판매한 계정과 연결된 프로비저닝된 제품을 업데이트할 때 새 IAM Identity Center 사용자 이메일 주소를 지정하면 AWS Control Tower는 새 IAM Identity Center 사용자 계정을 생성합니다. 이전에 만든 사용자 계정은 제거되지 않습니다. IAM Identity Center에서 이전AWS IAM Identity Center 사용자 이메일 주소를 제거하려면 사용자 비활성화를 참조하십시오.
-
AWSIAM 아이덴티티 센터는 Azure 액티브 디렉터리와 통합되었으며
, 기존 Azure 액티브 디렉터리를 AWS Control Tower 타워에 연결할 수 있습니다. -
AWS Control Tower의 동작이AWS IAM Identity Center 및 다양한 자격 증명 소스와 상호 작용하는 방식에 대한 자세한 내용은AWS IAM ID 센터 설명서의 자격 증명 소스 변경 고려 사항을 참조하십시오.
AWS Control Tower를 위한 IAM ID 센터 그룹
AWS Control Tower는 계정에서 특정 작업을 수행하는 사용자를 구성할 수 있도록 사전 구성된 그룹을 제공합니다. IAM Identity Center에서 직접 사용자를 추가하고 이러한 그룹에 할당할 수 있습니다. 이렇게 하면 권한 세트가 계정 내의 그룹에 있는 사용자에게 적용됩니다. landing zone 존을 설정할 때 생성되는 그룹은 다음과 같습니다.
AWSAccountFactory | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 계정 | 권한 세트 | 설명 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 관리 계정 | AWSServiceCatalogEndUserAccess | 이 그룹은 이 계정에서 Account Factory를 사용하여 새 계정을 프로비전하는 데만 사용됩니다. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
AWSServiceCatalogAdmins | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 계정 | 권한 세트 | 설명 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 관리 계정 | AWSServiceCatalogAdminFullAccess | 이 그룹은 이 계정에서 Account Factory를 관리적으로 변경할 때만 사용됩니다. 이 그룹의 사용자는 그룹에 속하지 않는 한 새 계정을 프로비저닝할 수 없습니다. AWSAccountFactory | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
AWSControlTowerAdmins | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 계정 | 권한 세트 | 설명 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 관리 계정 | AWSAdministratorAccess | 이 계정에 속한 이 그룹의 사용자만 AWS Control Tower 콘솔에 액세스할 수 있습니다. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 로그 아카이브 계정 | AWSAdministratorAccess | 사용자는 이 계정에서 관리자 액세스 권한을 갖습니다. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 감사 계정 | AWSAdministratorAccess | 사용자는 이 계정에서 관리자 액세스 권한을 갖습니다. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 멤버 계정 | AWSOrganizationsFullAccess | 사용자는 이 계정에서 Organizations 대한 전체 액세스 권한을 가집니다. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
AWSSecurityAuditPowerUsers | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 계정 | 권한 세트 | 설명 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 관리 계정 | AWSPowerUserAccess | 사용자는 애플리케이션 개발 작업을 수행하며,AWS 인식 애플리케이션 개발을 지원하는 리소스와 서비스를 생성하고 구성할 수 있습니다. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 로그 아카이브 계정 | AWSPowerUserAccess | 사용자는 애플리케이션 개발 작업을 수행하며,AWS 인식 애플리케이션 개발을 지원하는 리소스와 서비스를 생성하고 구성할 수 있습니다. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 감사 계정 | AWSPowerUserAccess | 사용자는 애플리케이션 개발 작업을 수행하며,AWS 인식 애플리케이션 개발을 지원하는 리소스와 서비스를 생성하고 구성할 수 있습니다. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 멤버 계정 | AWSPowerUserAccess | 사용자는 애플리케이션 개발 작업을 수행하며,AWS 인식 애플리케이션 개발을 지원하는 리소스와 서비스를 생성하고 구성할 수 있습니다. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
AWSSecurityAuditors | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 계정 | 권한 세트 | 설명 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 관리 계정 | AWSReadOnlyAccess | 사용자는 이 계정의 모든AWS 서비스 및 리소스에 대한 읽기 전용 액세스 권한을 가집니다. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 로그 아카이브 계정 | AWSReadOnlyAccess | 사용자는 이 계정의 모든AWS 서비스 및 리소스에 대한 읽기 전용 액세스 권한을 가집니다. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 감사 계정 | AWSReadOnlyAccess | 사용자는 이 계정의 모든AWS 서비스 및 리소스에 대한 읽기 전용 액세스 권한을 가집니다. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 멤버 계정 | AWSReadOnlyAccess | 사용자는 이 계정의 모든AWS 서비스 및 리소스에 대한 읽기 전용 액세스 권한을 가집니다. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
AWSLogArchiveAdmins | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 계정 | 권한 세트 | 설명 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 로그 아카이브 계정 | AWSAdministratorAccess | 사용자는 이 계정에서 관리자 액세스 권한을 갖습니다. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
AWSLogArchiveViewers | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 계정 | 권한 세트 | 설명 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 로그 아카이브 계정 | AWSReadOnlyAccess | 사용자는 이 계정의 모든AWS 서비스 및 리소스에 대한 읽기 전용 액세스 권한을 가집니다. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
AWSAuditAccountAdmins | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 계정 | 권한 세트 | 설명 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 감사 계정 | AWSAdministratorAccess | 사용자는 이 계정에서 관리자 액세스 권한을 갖습니다. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
