IAM 페더레이션 - AWS 권장 가이드
다중 계정 IAM 페더레이션단일 계정 IAM 페더레이션

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

IAM 페더레이션

참고

사용자 및 그룹을 관리하기 위한 중앙 사용자 디렉터리가 이미 있는 경우 IAM Identity Center를 기본 작업 인력 액세스 서비스로 사용하는 것이 좋습니다. 이 섹션의 뒷부분에서 설명하는 설계 고려 사항으로 인해 IAM Identity Center를 사용할 수 없는 경우 AWS 내에서 별도의 IAM 사용자를 생성하는 대신 IAM 페더레이션을 사용합니다.

IAM 페더레이션은 사용자를 인증하고 리소스에 대한 액세스를 승인하는 데 필요한 정보를 공유할 목적으로 두 당사자 간에 신뢰 시스템을 설정합니다. 이 시스템에는 사용자 디렉터리에 연결된 ID 제공업체(IdP)와 IAM에서 관리되는 서비스 제공업체(SP)가 필요합니다. IdP는 사용자를 인증하고 관련 권한 부여 컨텍스트 데이터를 IAM에 제공할 책임이 있으며, IAM은 AWS 계정 및 환경의 리소스에 대한 액세스를 제어합니다.

IAM 페더레이션은 SAML 2.0 및 OpenID Connect(OIDC)와 같이 일반적으로 사용되는 표준을 지원합니다. SAML 기반 페더레이션은 많은 IdPs에서 지원되며 사용자가 IAM 사용자를 생성하지 않고도 AWS Management Console에 로그인하거나 AWS API를 호출할 수 있도록 페더레이션 Single Sign-On 액세스를 활성화합니다. IAM을 사용하여 AWS에서 사용자 ID를 생성하거나 기존 IdP(예: Microsoft Active Directory, Okta, Ping Identity 또는 Microsoft Entra ID)에 연결할 수 있습니다. 또는 OIDC 호환 IdP와 AWS 계정 간에 신뢰를 구축하려는 경우 IAM OIDC 자격 증명 공급자를 사용할 수 있습니다.

IAM 페더레이션에는 다중 계정 페더레이션 또는 단일 계정 페더레이션이라는 두 가지 설계 패턴이 있습니다.

다중 계정 IAM 페더레이션

이 다중 계정 IAM 패턴에서는 IdP와 통합해야 하는 모든 AWS 계정 간에 별도의 SAML 신뢰 관계를 설정합니다. 권한은 개별 계정별로 매핑되고 프로비저닝됩니다. 이 설계 패턴은 역할 및 정책을 관리하는 분산된 접근 방식을 제공하며, 각 계정에 대해 별도의 SAML 또는 OIDC IdP를 활성화하고 액세스 제어에 페더레이션 사용자 속성을 사용할 수 있는 유연성을 제공합니다.

다중 계정 IAM 페더레이션은 다음과 같은 이점을 제공합니다.

  • 모든 AWS 계정에 대한 중앙 액세스를 제공하고 각 AWS 계정에 대해 분산 방식으로 권한을 관리할 수 있습니다.

  • 다중 계정 설정에서 확장성을 달성합니다.

  • 규정 준수 요구 사항을 충족합니다.

  • 중앙 위치에서 자격 증명을 관리할 수 있습니다.

AWS 계정으로 구분된 분산 방식으로 권한을 관리하려는 경우 설계가 특히 유용합니다. 또한 AWS 계정의 Active Directory 사용자 간에 반복 가능한 IAM 권한이 없는 시나리오에도 도움이 됩니다. 예를 들어, 계정 간에 약간의 차이가 있는 리소스 액세스를 제공할 수 있는 네트워크 관리자를 지원합니다.

SAML 공급자는 각 계정에서 별도로 생성해야 하므로 각 AWS 계정에는 IAM 역할 및 해당 권한의 생성, 업데이트 및 삭제를 관리하는 프로세스가 필요합니다. 즉, 동일한 직무에 대해 민감도 수준이 서로 다른 AWS 계정에 대해 정확하고 고유한 IAM 역할 권한을 정의할 수 있습니다.

다음 다이어그램은 다중 계정 IAM 페더레이션 패턴을 보여줍니다.

다중 계정 IAM 페더레이션 패턴

단일 계정 IAM 페더레이션(hub-and-spoke 모델)

참고

이 섹션에 설명된 특정 시나리오에이 설계 패턴을 사용합니다. 대부분의 시나리오에서는 IAM Identity Center 기반 페더레이션 또는 다중 계정 IAM 페더레이션이 권장되는 접근 방식입니다. 질문이 있는 경우 AWS Support에 문의하십시오.

단일 계정 페더레이션 패턴에서 SAML 신뢰 관계는 IdP와 단일 AWS 계정(자격 증명 계정) 간에 설정됩니다. 권한은 중앙 집중식 자격 증명 계정을 통해 매핑되고 프로비저닝됩니다. 이 설계 패턴은 단순성과 효율성을 제공합니다. 자격 증명 공급자는 자격 증명 계정의 특정 IAM 역할(및 권한)에 매핑되는 SAML 어설션을 제공합니다. 그런 다음 페더레이션 사용자는 cross-account-roles 수임하여 자격 증명 계정에서 다른 AWS 계정에 액세스할 수 있습니다.

다음 다이어그램은 단일 계정 IAM 페더레이션 패턴을 보여줍니다.

단일 계정 IAM 페더레이션 패턴

사용 사례: 

  • 단일 AWS 계정이 있지만 경우에 따라 격리된 샌드박스 또는 테스트를 위해 수명이 짧은 AWS 계정을 생성해야 하는 회사.

  • 기본 계정에서 프로덕션 서비스를 유지 관리하지만 프로젝트 기반 임시 학생 계정을 제공하는 교육 기관. 

참고

이러한 사용 사례에는 프로덕션 데이터가 페더레이션 계정으로 전달되지 않도록 하고 잠재적 보안 위험을 제거하기 위한 강력한 거버넌스 및 시간 제한 재활용 프로세스가 필요합니다. 이러한 시나리오에서는 감사 프로세스도 어렵습니다.

IAM 페더레이션과 IAM Identity Center 중에서 선택하기 위한 설계 고려 사항

  • IAM Identity Center는 한 번에 하나의 디렉터리에만 계정 연결을 지원합니다. 여러 디렉터리를 사용하거나 사용자 속성을 기반으로 권한을 관리하려면 IAM 페더레이션을 설계 대안으로 사용하는 것이 좋습니다. Microsoft Active Directory Federation Service(AD FS), Okta 또는 Microsoft Entra ID와 같은 SAML 2.0 프로토콜을 지원하는 IdP가 있어야 합니다. IdP 및 SP 메타데이터를 교환하고 IAM 역할을 회사 디렉터리 그룹 및 사용자에게 매핑하도록 SAML 어설션을 구성하여 양방향 신뢰를 구축할 수 있습니다.

  • IAM OIDC 자격 증명 공급자를 사용하여 OIDC 호환 IdP와 AWS 계정 간에 신뢰를 구축하는 경우 IAM 페더레이션을 사용하는 것이 좋습니다. IAM 콘솔을 사용하여 OIDC 자격 증명 공급자를 생성하면 콘솔이 지문을 가져오려고 시도합니다. 또한, 수동으로 OIDC IdP의 지문을 얻어 콘솔에서 올바른 지문을 가져왔는지 확인하는 것이 좋습니다. 자세한 내용은 IAM 설명서의 IAM에서 OIDC 자격 증명 공급자 생성을 참조하세요.

  • 회사 디렉터리 사용자에게 직무에 대한 반복 가능한 권한이 없는 경우 IAM 페더레이션을 사용합니다. 예를 들어 다른 네트워크 또는 데이터베이스 관리자는 AWS 계정에서 사용자 지정 IAM 역할 권한이 필요할 수 있습니다. IAM Identity Center에서 이를 달성하기 위해 별도의 고객 관리형 정책을 생성하고 권한 세트에서 참조할 수 있습니다. 자세한 내용은 AWS 블로그 게시물 고급 사용 사례를 위해 AWS IAM Identity Center에서 고객 관리형 정책을 사용하는 방법을 참조하세요.

  • 각 계정이 자체 권한을 관리하는 분산 권한 모델 또는 AWS CloudFormation StackSets를 통해 중앙 집중식 권한 모델을 사용하는 경우 IAM 페더레이션을 사용하는 것이 좋습니다. 중앙 집중식 권한과 분산형 권한이 모두 포함된 하이브리드 모델을 사용하는 경우 IAM Identity Center를 사용하는 것이 좋습니다. 자세한 내용은 IAM 설명서의 자격 증명 공급자 및 페더레이션을 참조하세요.

  • Amazon Q Developer Professional 및 AWS CLI 버전 2와 같은 서비스 및 기능은 AWS Identity Center를 기본적으로 지원합니다. 그러나 이러한 기능 중 일부는 IAM 페더레이션에서 지원되지 않습니다.

  • IAM Access Analyzer는 현재 IAM Identity Center 사용자 작업 분석을 지원하지 않습니다.