AWS Single Sign-On을 통해 사용자 및 액세스 관리 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Single Sign-On을 통해 사용자 및 액세스 관리

AWS Single Sign-On은 AWS 계정 및 비즈니스 애플리케이션에 대한 SSO 액세스 관리를 간소화하는 클라우드 기반 서비스입니다. AWS Organizations의 모든 AWS 계정에 대해 SSO 액세스 및 사용자 권한을 제어할 수 있습니다. 일반적으로 사용하는 비즈니스 애플리케이션과 SAML(Security Assertion Markup Language) 2.0을 지원하는 사용자 지정 애플리케이션에 대한 액세스도 관리할 수 있습니다. 또한 AWS SSO는 사용자가 할당된 모든 AWS 계정, 비즈니스 애플리케이션 및 사용자 지정 애플리케이션을 한 곳에서 찾을 수 있는 사용자 포털을 제공합니다. 자세한 정보는 AWS Single Sign-On 사용 설명서 단원을 참조하십시오.

AWS SSO 및 AWS Control Tower

AWS Control Tower에서 AWS Single Sign-On을 사용하면 중앙 클라우드 관리자와 최종 사용자가 여러 AWS 계정 및 비즈니스 애플리케이션에 대한 액세스를 관리할 수 있습니다. AWS Control Tower는 이 서비스를 사용하여 AWS Service Catalog를 통해 생성된 계정에 대한 액세스를 설정하고 관리합니다.

AWS Control Tower에서 SSO 사용자 및 권한을 설정하는 방법에 대한 간단한 자습서를 보려면 이 동영상(6:23)을 확인하십시오. 동영상 오른쪽 하단에 있는 아이콘을 선택하여 전체 화면으로 확대하면 더 잘 보입니다. 자막을 사용할 수 있습니다.

AWS Control Tower를 처음 설정할 때 루트 사용자와 올바른 권한을 가진 IAM 사용자만 AWS SSO 사용자를 추가할 수 있습니다. 그러나 최종 사용자가 AWSAccountFactory 그룹에 추가되면 Account Factory 마법사에서 새 SSO 사용자를 생성할 수 있습니다. 자세한 정보는 계정 팩토리로 계정 프로비저닝 및 관리 단원을 참조하십시오.

랜딩 존은 사용자 자격 증명 및 Single Sign-On을 관리하기 위한 디렉터리가 사전에 구성되어 있어 사용자에게 여러 계정에 대한 연합된 액세스를 제공할 수 있습니다. 랜딩 존을 설정하면 사용자 그룹권한 세트를 포함하여 이 기본 디렉터리가 생성됩니다.

사용자 그룹, 역할 및 권한 세트

사용자 그룹은 공유 계정 내에 정의된 특수 역할을 관리합니다. 역할은 함께 속한 권한 세트를 설정합니다. 그룹의 모든 멤버는 해당 그룹과 연결된 권한 세트 또는 역할을 상속합니다. 멤버 계정의 최종 사용자를 위한 새 그룹을 만들어 그룹이 수행하는 특정 작업에 필요한 역할만 사용자 지정하여 할당할 수 있습니다.

사용 가능한 권한 세트는 읽기 전용 액세스, AWS Control Tower 관리자 액세스 및 AWS Service Catalog 액세스와 같은 다양한 사용자 권한 요구 사항을 포괄합니다. 이러한 권한 세트를 통해 최종 사용자는 엔터프라이즈 지침에 따라 신속하게 랜딩 존에서 자신의 AWS 계정을 프로비저닝할 수 있습니다.

사용자, 그룹 및 권한 할당을 계획하는 방법에 대한 팁은 그룹, 역할 및 정책 설정에 대한 권장 사항 단원을 참조하십시오.

AWS Control Tower의 컨텍스트에서 이 서비스를 사용하는 방법에 대한 자세한 내용은 AWS Single Sign-On 사용 설명서의 다음 주제를 참조하십시오.

주의

AWS Control Tower는 홈 지역에 AWS SSO 디렉터리를 설정합니다. 다른 리전에서 랜딩 존을 설정한 다음 AWS SSO 콘솔로 이동하는 경우 리전을 홈 리전으로 변경해야 합니다. 홈 리전에서 AWS SSO 구성을 삭제하지 마십시오.

SSO 계정 및 AWS Control Tower에 대해 알아야 할 사항

다음은 AWS Control Tower에서 AWS SSO 사용자 계정에 대한 작업을 수행할 때 알아야 할 사항입니다.

  • AWS SSO 사용자 계정이 비활성화된 경우 Account Factory에서 새 계정을 프로비저닝하려고 할 때 오류 메시지가 표시됩니다. AWS SSO 콘솔에서 SSO 사용자를 다시 활성화할 수 있습니다.

  • Account Factory에서 판매한 계정과 연결된 프로비저닝된 제품을 업데이트할 때 새 SSO 사용자 이메일 주소를 지정하면 AWS Control Tower에서 새 SSO 사용자 계정을 생성합니다. 이전에 만든 사용자 계정은 제거되지 않습니다. AWS SSO에서 이전 SSO 사용자 이메일 주소를 제거하려면 사용자 비활성화를 참조하십시오.

  • AWS SSO는 Azure Active Directory와 통합되어 있으며, 기존 Azure Active Directory를 AWS Control Tower에 연결할 수 있습니다. 자세한 내용은 이 블로그 게시물을 참조하십시오.

  • AWS Control Tower의 동작이 AWS SSO 및 다른 자격 증명 소스와 상호 작용하는 방법에 대한 자세한 내용은 AWS SSO 설명서의 자격 증명 소스 변경에 대한 고려 사항을 참조하십시오.

AWS Control Tower에 대한 AWS SSO 그룹

AWS Control Tower는 사전 구성된 그룹을 제공하여 계정에서 특정 작업을 수행하는 사용자를 구성합니다. AWS SSO에서 사용자를 추가하고 이러한 그룹에 직접 할당할 수 있습니다. 이렇게 하면 권한 세트가 계정 내의 그룹에 있는 사용자에게 적용됩니다. 랜딩 존을 설정할 때 생성되는 그룹은 다음과 같습니다.

AWSAccountFactory
Account 권한 세트 설명
관리 계정 AWSServiceCatalogEndUserAccess 이 그룹은 이 계정에서 Account Factory를 사용하여 새 계정을 프로비저닝하는 데만 사용됩니다.
AWSServiceCatalogAdmins
Account 권한 세트 설명
관리 계정 AWSServiceCatalogAdminFullAccess 이 그룹은 이 계정에서 Account Factory에 대한 관리 변경을 수행하는 데만 사용됩니다. 이 그룹의 사용자가 새 계정을 프로비저닝하려면 AWSAccountFactory 그룹에도 속해야 합니다.
AWSControlTowerAdmins
Account 권한 세트 설명
관리 계정 AWSAdministratorAccess 이 계정의 이 그룹 사용자만 AWS Control Tower 콘솔에 액세스할 수 있습니다.
로그 아카이브 계정 AWSAdministratorAccess 사용자는 이 계정에서 관리자 액세스 권한을 갖습니다.
감사 계정 AWSAdministratorAccess 사용자는 이 계정에서 관리자 액세스 권한을 갖습니다.
멤버 계정 AWSOrganizationsFullAccess 사용자는 이 계정에서 조직에 대한 전체 액세스 권한을 갖습니다.
AWSSecurityAuditPowerUsers
Account 권한 세트 설명
관리 계정 AWSPowerUserAccess 사용자가 애플리케이션 개발 작업을 수행하며, AWS 인식 애플리케이션 개발을 지원하는 리소스와 서비스를 생성하고 구성할 수 있습니다.
로그 아카이브 계정 AWSPowerUserAccess 사용자가 애플리케이션 개발 작업을 수행하며, AWS 인식 애플리케이션 개발을 지원하는 리소스와 서비스를 생성하고 구성할 수 있습니다.
감사 계정 AWSPowerUserAccess 사용자가 애플리케이션 개발 작업을 수행하며, AWS 인식 애플리케이션 개발을 지원하는 리소스와 서비스를 생성하고 구성할 수 있습니다.
멤버 계정 AWSPowerUserAccess 사용자가 애플리케이션 개발 작업을 수행하며, AWS 인식 애플리케이션 개발을 지원하는 리소스와 서비스를 생성하고 구성할 수 있습니다.
AWSSecurityAuditors
Account 권한 세트 설명
관리 계정 AWSReadOnlyAccess 사용자는 이 계정에 있는 모든 AWS 제품 및 리소스에 대한 읽기 전용 액세스 권한을 갖습니다.
로그 아카이브 계정 AWSReadOnlyAccess 사용자는 이 계정에 있는 모든 AWS 제품 및 리소스에 대한 읽기 전용 액세스 권한을 갖습니다.
감사 계정 AWSReadOnlyAccess 사용자는 이 계정에 있는 모든 AWS 제품 및 리소스에 대한 읽기 전용 액세스 권한을 갖습니다.
멤버 계정 AWSReadOnlyAccess 사용자는 이 계정에 있는 모든 AWS 제품 및 리소스에 대한 읽기 전용 액세스 권한을 갖습니다.
AWSLogArchiveAdmins
Account 권한 세트 설명
로그 아카이브 계정 AWSAdministratorAccess 사용자는 이 계정에서 관리자 액세스 권한을 갖습니다.
AWSLogArchiveViewers
Account 권한 세트 설명
로그 아카이브 계정 AWSReadOnlyAccess 사용자는 이 계정에 있는 모든 AWS 제품 및 리소스에 대한 읽기 전용 액세스 권한을 갖습니다.
AWSAuditAccountAdmins
Account 권한 세트 설명
감사 계정 AWSAdministratorAccess 사용자는 이 계정에서 관리자 액세스 권한을 갖습니다.