AWS IAM Identity Center - AWS 권장 가이드
기존 ID 소스를 IAM Identity Center에 연결AWS에서 자격 증명 생성 및 관리IAM Identity Center의 일반 설계 고려 사항

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS IAM Identity Center

AWS IAM Identity Center는 증가하는 직원 ID를 생성 또는 연결하고 AWS 환경 전체에서 해당 ID에 대한 보안 액세스를 중앙에서 관리할 수 있는 단일 위치를 제공합니다. AWS Organizations와 함께 IAM Identity Center를 활성화할 수 있습니다. 이는 AWS 조직 및 AWS 관리형 애플리케이션 내의 여러 AWS 계정에 대한 중앙 관리형 액세스를 제공하는 데 권장되는 접근 방식입니다.

Amazon Q, Amazon Q Developer, Amazon SageMaker Studio, Amazon QuickSight를 포함한 AWS 관리형 서비스는 인증 및 권한 부여를 위해 IAM Identity Center를 통합하고 사용합니다. ID 소스를 IAM Identity Center에 한 번만 연결하고 온보딩된 모든 AWS 관리형 애플리케이션에 대한 인력 액세스를 관리합니다. 사용자 또는 그룹을 조회하여 AWS 관리형 서비스에 대한 Single Sign-On 액세스 권한을 부여하려면 먼저 Microsoft Entra ID, Okta, Google Workspace 및 Microsoft Active Directory와 같은 기존 회사 디렉터리의 ID를 IAM Identity Center에 프로비저닝해야 합니다. 또한 IAM Identity Center는 애플리케이션별 사용자 중심 경험을 지원합니다. 예를 들어 Amazon Q 사용자는 한 Amazon Q 통합 서비스에서 다른 서비스로 이동할 때 연속성을 경험합니다.

참고

IAM Identity Center 기능을 개별적으로 사용할 수 있습니다. 예를 들어 직접 계정 페더레이션 및 IAM 역할을 사용하여 AWS 계정에 대한 액세스를 관리하는 동안 Identity Center를 사용하여 Amazon Q와 같은 AWS 관리형 서비스에 대한 액세스만 관리하도록 선택할 수 있습니다.

신뢰할 수 있는 자격 증명 전파AWS 서비스의 데이터에 액세스해야 하는 쿼리 도구 및 비즈니스 인텔리전스(BI) 애플리케이션 사용자에게 간소화된 Single Sign-On 환경을 제공합니다. 데이터 액세스 관리는 사용자의 자격 증명을 기반으로 하므로 관리자는 사용자의 기존 사용자 및 그룹 멤버십을 기반으로 액세스 권한을 부여할 수 있습니다. 신뢰할 수 있는 ID 전파는 OAuth 2.0 권한 부여 프레임워크를 기반으로 하고, 이를 통해 애플리케이션은 암호를 공유하지 않고도 사용자 데이터에 안전하게 액세스하고 이를 공유할 수 있습니다. 

Amazon Redshift 쿼리 편집기 v2, Amazon EMR 및 Amazon QuickSight와 같이 신뢰할 수 있는 ID 전파와 통합되는 AWS 관리형 서비스는 IAM Identity Center에서 직접 토큰을 가져옵니다. 또한 IAM Identity Center는 애플리케이션이 외부 OAuth 2.0 권한 부여 서버에서 자격 증명 토큰과 액세스 토큰을 교환할 수 있는 옵션을 제공합니다. AWS 서비스 및 기타 이벤트에 대한 사용자 액세스는 서비스별 로그 및 CloudTrail 이벤트에 기록되므로 감사자는 사용자가 수행한 작업과 액세스한 리소스를 알 수 있습니다.

신뢰할 수 있는 ID 전파를 사용하려면 IAM Identity Center를 활성화하고 사용자 및 그룹을 프로비저닝해야 합니다. IAM Identity Center의 조직 인스턴스를 사용하는 것이 좋습니다.

참고

신뢰할 수 있는 자격 증명 전파에서는 다중 계정 권한(권한 세트)을 설정할 필요가 없습니다. IAM Identity Center를 활성화하고 신뢰할 수 있는 ID 전파에만 사용할 수 있습니다.

자세한 내용은 신뢰할 수 있는 자격 증명 전파를 사용하기 위한 사전 조건 및 고려 사항을 참조하고 자격 증명 전파를 시작할 수 있는 애플리케이션에서 지원하는 특정 사용 사례를 확인하세요.

AWS 액세스 포털은 인증된 사용자에게 AWS 계정 및 클라우드 애플리케이션에 대한 Single Sign-On 액세스를 제공합니다. AWS 액세스 포털에서 생성된 자격 증명을 사용하여 AWS 계정의 리소스에 대한 AWS CLIorAWS SDK 액세스를 구성할 수도 있습니다.https://docs.aws.amazon.com/sdkref/latest/guide/access-sso.html 이렇게 하면 프로그래밍 방식 액세스에 장기 자격 증명을 사용하지 않아도 되므로 자격 증명이 손상될 가능성이 크게 줄어들고 보안 태세가 향상됩니다.

IAM Identity Center APIs.

IAM Identity Center는 IAM Identity Center에서 사용자가 수행한 작업에 대한 레코드를 제공하는 AWS CloudTrail과 통합됩니다. CloudTrail은 사용자가 SCIM(System for Cross-domain Identity Management) 프로토콜을 사용하여 외부 IdP에서 IAM 자격 증명 센터에서 수동으로 생성 또는 프로비저닝되거나 동기화될 때 기록되는CreateUserAPI 호출과 같은 API 이벤트를 기록합니다. CloudTrail에 기록된 모든 이벤트 또는 로그 항목에는 요청을 생성한 사람에 대한 정보가 포함됩니다.이 기능은 추가 조사가 필요할 수 있는 예상치 못한 변경 사항 또는 활동을 식별하는 데 도움이 됩니다. CloudTrail에서 지원되는 IAM Identity Center 작업의 전체 목록은 IAM Identity Center 설명서를 참조하세요.

기존 ID 소스를 IAM Identity Center에 연결

ID 페더레이션은 중앙 IdP를 사용하여 사용자 인증을 관리하고 서비스 공급자(SPs. IAM Identity Center는 Okta, Microsoft Entra ID, Ping, Google Workspace, JumpCloud, OneLogin, 온프레미스 Active Directory 및 모든 SAML 2.0 호환 자격 증명 소스를 포함하여 기존 기업 자격 증명 소스에서 자격 증명을 가져올 수 있는 유연성을 제공합니다.

기존 ID 소스를 IAM Identity Center에 연결하는 것이 권장되는 방법인데, 이는 작업 인력에게 Single Sign-On 액세스 권한을 제공하고 AWS 서비스 전반에서 일관된 경험을 제공하기 때문입니다. 또한 여러 소스를 유지 관리하는 대신 단일 위치에서 자격 증명을 관리하는 것이 좋습니다. IAM Identity Center는 IAM Identity Center가 외부 IdPs에서 사용자를 인증할 수 있도록 허용하는 개방형 ID 표준인 SAML 2.0과의 ID 페더레이션을 지원합니다. IAM Identity Center는 SCIM v2.0 표준도 지원합니다. 이 표준을 사용하면 현재 SCIM을 통해서만 사용자 프로비저닝을 지원하는 Google Workspace 및 PingOne을 제외하고 지원되는 외부 IdPs와 IAM Identity Center 간에 사용자 및 그룹을 자동으로 프로비저닝, 업데이트 및 프로비저닝 해제할 수 있습니다.

특정 표준 및 고려 사항을 준수하는 경우 다른 SAML 2.0 기반 외부 IdPs IAM Identity Center에 연결할 수도 있습니다.

기존 Microsoft Active Directory를 IAM Identity Center에 연결할 수도 있습니다. 이 옵션을 사용하면 AWS Directory Service. 이 옵션은 온프레미스에 있는 자체 관리형 Active Directory 또는 AWS Managed Microsoft AD의 디렉터리에 있는 ID를 이미 관리하고 있는 대기업에 적합합니다. AWS Managed Microsoft AD의 디렉터리를 IAM Identity Center에 연결할 수 있습니다. 또한 IAM Identity Center가 인증을 위해 도메인을 신뢰하도록 허용하는 양방향 신뢰 관계를 설정하여 Active Directory의 자체 관리형 디렉터리를 IAM Identity Center에 연결할 수 있습니다. 또 다른 방법은 클라우드에서 정보를 캐싱하지 않고 디렉터리 요청을 자체 관리형 Active Directory로 리디렉션할 수 있는 디렉터리 게이트웨이인 AD Connector를 사용하는 것입니다. 다음 다이어그램은이 옵션을 보여줍니다.

AD Connector 및 양방향 신뢰를 사용하여 온프레미스 Active Directory의 자격 증명 동기화

장점

  • 기존 자격 증명 소스를 IAM 자격 증명 센터에 연결하여 액세스를 간소화하고 AWS 서비스 전반에서 작업 인력에게 일관된 경험을 제공합니다.

  • AWS 애플리케이션에 대한 인력 액세스를 효율적으로 관리합니다. IAM Identity Center를 통해 ID 소스의 사용자 및 그룹 정보를 사용할 수 있도록 하여 AWS 서비스에 대한 사용자 액세스를 보다 쉽게 관리하고 감사할 수 있습니다. 

  • AWS 서비스의 데이터에 대한 사용자 액세스 제어 및 가시성을 개선합니다. 선택한 자격 증명 소스 및 기타 AWS 액세스 관리 구성을 계속 사용하는 동안 비즈니스 인텔리전스 도구에서 사용하는 AWS 데이터 서비스로 사용자 자격 증명 컨텍스트를 전송할 수 있습니다.

  • 다중 계정 AWS 환경에 대한 인력 액세스를 관리합니다. IAM Identity Center를 기존 ID 소스와 함께 사용하거나 새 디렉터리를 생성하고 AWS 환경의 일부 또는 전체에 대한 작업 인력 액세스를 관리할 수 있습니다.

  • AWS 관리 콘솔에 대한 긴급 액세스를 설정하여 IAM Identity Center를 활성화한 AWS 리전에서 서비스가 중단될 경우 추가 보호 계층을 제공합니다.

서비스 고려 사항
설계 고려 사항

  • 한 번에 단일 AWS 리전에서 IAM Identity Center의 인스턴스를 활성화할 수 있습니다. IAM Identity Center를 활성화하면 기본 리전에서 권한 세트 및 통합 애플리케이션에 대한 액세스를 제어합니다. 즉, 드물지만이 리전에서 IAM Identity Center 서비스가 중단되는 경우 사용자는 계정 및 애플리케이션에 액세스하기 위해 로그인할 수 없습니다. 추가 보호를 제공하려면 SAML 2.0 기반 페더레이션을 사용하여 AWS Management Console에 대한 긴급 액세스를 설정하는 것이 좋습니다.

    참고

    이 긴급 액세스 권장 사항은 타사 외부 IdP를 ID 소스로 사용하고 IAM 서비스 데이터 영역과 외부 IdP를 사용할 수 있을 때 작동하는 경우에 적용됩니다.

  • Active Directory를 사용하거나 IAM Identity Center에서 사용자를 생성하는 경우 표준 AWS 휴지통 지침을 따르세요.

  • AD Connector를 사용하여 온프레미스 Active Directory를 IAM Identity Center에 연결하려는 경우 AD Connector는 Active Directory 도메인과 one-on-one 신뢰 관계를 맺고 있으며 전이적 신뢰를 지원하지 않는다는 점을 고려하세요. 즉, IAM Identity Center는 생성한 AD 커넥터에 연결된 단일 도메인의 사용자 및 그룹에만 액세스할 수 있습니다. 여러 도메인 또는 포리스트를 지원해야 하는 경우 AWS Managed Microsoft AD를 사용합니다.

  • 외부 IdP를 사용하는 경우 멀티 팩터 인증(MFA)은 IAM Identity Center가 아닌 외부 IdP에서 관리됩니다. IAM Identity Center는 ID 소스가 IAM Identity Center의 ID 스토어, AWS Managed Microsoft AD 또는 AD Connector로 구성된 경우에만 MFA 기능을 지원합니다. 

AWS에서 자격 증명 생성 및 관리

외부 IdP와 함께 IAM Identity Center를 사용하는 것이 좋습니다. 그러나 기존 IdP가 없는 경우 서비스의 기본 ID 소스인 IAM Identity Center 디렉터리에서 사용자 및 그룹을 생성하고 관리할 수 있습니다. 이 옵션은 다음 다이어그램에 나와 있습니다. 작업 인력 사용자를 위해 각 AWS 계정에서 IAM 사용자 또는 역할을 생성하는 것보다 선호됩니다. 자세한 내용은 IAM Identity Center 설명서를 참조하세요. 

AWS에서 자격 증명 생성 및 관리
서비스 고려 사항

  • IAM Identity Center에서 자격 증명을 생성하고 관리할 때 사용자는 수정할 수 없는 기본 암호 정책을 준수해야 합니다. 자격 증명에 대한 자체 암호 정책을 정의하고 사용하려면 자격 증명 소스를 Active Directory 또는 외부 IdP로 변경합니다. IdP

  • IAM Identity Center에서 자격 증명을 생성하고 관리할 때는 재해 복구 계획을 고려하세요. IAM Identity Center는 가용 영역의 장애를 견딜 수 있도록 여러 가용 영역에서 작동하도록 구축된 리전 서비스입니다. 그러나 드물지만 IAM Identity Center가 활성화된 리전에서 중단이 발생하는 경우 AWS에서 권장하는 긴급 액세스 설정을 구현하고 사용할 수 없습니다. 사용자 및 그룹이 포함된 IAM Identity Center 디렉터리도 해당 리전의 중단의 영향을 받기 때문입니다. 재해 복구를 구현하려면 ID 소스를 외부 SAML 2.0 IdP 또는 Active Directory로 변경해야 합니다.

설계 고려 사항

  • IAM Identity Center는 한 번에 하나의 자격 증명 소스만 사용할 수 있도록 지원합니다. 그러나 현재 자격 증명 소스를 다른 두 자격 증명 소스 옵션 중 하나로 변경할 수 있습니다. 이 변경을 수행하기 전에 자격 증명 소스 변경에 대한 고려 사항을 검토하여 영향을 평가합니다.

  • IAM Identity Center 디렉터리를 ID 소스로 사용하면 2023년 11월 15일 이후에 생성된 인스턴스에 대해 MFA가 기본적으로 활성화됩니다. 신규 사용자는 IAM Identity Center에 처음 로그인할 때 MFA 디바이스를 등록하라는 메시지가 표시됩니다. 관리자는 보안 요구 사항에 따라 사용자의 MFA 설정을 업데이트할 수 있습니다.

IAM Identity Center의 일반 설계 고려 사항

  • IAM Identity Center는 속성을 사용하여 세분화된 권한을 생성할 수 있는 권한 부여 전략인 속성 기반 액세스 제어(ABAC)를 지원합니다. IAM Identity Center에 액세스 제어를 위한 속성을 전달하는 방법에는 두 가지가 있습니다.

    • 외부 IdP를 사용하는 경우 접두사를 사용하여 SAML 어설션에서 직접 속성을 전달할 수 있습니다https://aws.amazon.com/SAML/Attributes/AccessControl.

    • IAM Identity Center를 ID 소스로 사용하는 경우 IAM Identity Center ID 스토어에 있는 속성을 추가하고 사용할 수 있습니다.

    • 모든 경우에 ABAC를 사용하려면 먼저 IAM Identity Center 콘솔의 액세스 제어 속성 페이지에서 액세스 제어 속성을 선택해야 합니다. SAML 어설션을 사용하여 전달하려면 IdP의 속성 이름을 로 설정해야 합니다https://aws.amazon.com/SAML/Attributes/AccessControl:<AttributeName>

    • IAM Identity Center 콘솔 액세스 제어용 속성 페이지에 정의된 속성은 IdP에서 SAML 어설션을 통해 전달된 속성보다 우선합니다. SAML 어설션에서만 전달된 속성을 사용하려면 IAM Identity Center에서 수동으로 속성을 정의하지 마십시오. IdP 또는 IAM Identity Center에서 속성을 정의한 후 aws:PrincipalTag 전역 조건 키를 사용하여 권한 세트에 사용자 지정 권한 정책을 생성할 수 있습니다. 이렇게 하면 리소스의 태그와 일치하는 속성을 가진 사용자만 AWS 계정의 해당 리소스에 액세스할 수 있습니다.

  • IAM Identity Center는 인력 자격 증명 관리 서비스이므로 프로그래밍 방식의 액세스를 위한 인증 프로세스를 완료하려면 사람의 상호 작용이 필요합니다. machine-to-machine 인증을 위한 단기 자격 증명이 필요한 경우 AWS의 워크로드에 대한 Amazon EC2 인스턴스 프로파일 또는 AWS 외부의 워크로드에 대한 IAM Roles Anywhere를 살펴보세요.

  • IAM Identity Center는 조직 내 AWS 계정의 리소스에 대한 액세스를 제공합니다. 그러나 조직에 계정을 초대하지 않고 IAM Identity Center를 사용하여 외부 계정(즉, 조직 외부의 AWS 계정)에 대한 Single Sign-On 액세스를 제공하려는 경우 IAM Identity Center에서 외부 계정을 SAML 애플리케이션으로 구성할 수 있습니다.

  • IAM Identity Center는 임시 액세스 관리(TEAM) 솔루션( just-in-time 액세스라고도 함)과의 통합을 지원합니다. 이 통합은 대규모로 다중 계정 AWS 환경에 대한 시간 제한 승격 액세스를 제공합니다. 임시 액세스 권한 상승을 통해 사용자는 특정 기간 동안 특정 작업을 수행할 수 있는 액세스를 요청할 수 있습니다. 승인자는 각 요청을 검토하고 승인 또는 거부 여부를 결정합니다. IAM Identity Center는 지원되는 AWS 보안 파트너의 공급업체 관리형 팀 솔루션 또는 시간 제한 액세스 요구 사항을 충족하도록 유지 관리하고 조정하는 자체 관리형 솔루션을 모두 지원합니다.