인증 및 액세스

AWS 서비스로 개발할 때는 코드가 AWS를 사용하여 인증하는 방법을 설정해야 합니다. 환경 및 사용 가능한 AWS액세스 권한에 따라 다양한 방식으로 AWS리소스에 대한 프로그래밍 방식의 액세스를 구성할 수 있습니다.

로컬 (AWS가 아닌 지역) 에서실행되는 코드의 인증 옵션

• IAM Identity Center 인증 - 보안 모범 사례로 IAM Identity Center 에서 AWS Organizations를 사용하여 모든 사용자 AWS 계정 액세스를 관리하는 것이 좋습니다. AWS IAM Identity Center에서 사용자를 생성하거나 Microsoft Active Directory를 사용하거나, SAML 2.0 ID 공급자 (IdP)를 사용하거나, IdP를 개별적으로 AWS 계정에 페더레이션할 수 있습니다. 사용자 리전에서 IAM Identity Center를 지원하는지 확인하려면 Amazon Web Services 일반 참조의 AWS IAM Identity Center엔드포인트 및 할당량을 참조하세요.

• IAM Roles Anywhere – IAM Roles Anywhere를 사용하여 AWS 외부에서 실행되는 서버, 컨테이너 및 애플리케이션과 같은 워크로드에 대한 IAM의 임시 보안 인증을 얻을 수 있습니다. IAM Roles Anywhere를 사용하려면 워크로드에 X.509 인증서를 사용해야 합니다.

• 역할 수임 - IAM 역할을 수임하여 다른 방법으로는 액세스할 수 없는 AWS 리소스에 일시적으로 액세스할 수 있습니다.

• AWS 액세스 키 — 편리하지 않거나 AWS 리소스의 보안 위험을 증가시킬 수 있는 기타 옵션.

AWS환경 내에서 실행되는 코드의 인증 옵션

• Amazon EC2 인스턴스용 IAM 역할 사용 - Amazon EC2 인스턴스에서 IAM 역할을 사용하여 사용자 애플리케이션을 안전하게 실행합니다.

• 다음과 같은 방법으로 IAM Identity Center를 사용하여 프로그래밍 방식으로 AWS과 상호 작용할 수 있습니다.

  • 콘솔에서 AWS CLI 명령을 실행하는 데 AWS CloudShell을 사용합니다.

  • AWS 리소스와 포함된 통합 개발 환경 (IDE)을 AWS 에서 프로그래밍을 시작할 때 AWS Cloud9을 사용합니다.

  • 소프트웨어 개발 팀을 위한 클라우드 기반 협업 공간은 Amazon CodeCatalyst를 고려하십시오.

웹 기반 ID 제공자를 통한 인증 - 모바일 혹은 클라이언트 기반 웹 애플리케이션

AWS에 대한 액세스가 필요한 모바일 애플리케이션이나 클라이언트 기반 웹 애플리케이션을 생성하는 경우, 웹 ID 페더레이션을 사용하여 임시 AWS 보안 인증 정보를 오청하도록 앱을 구축하십시오.

웹 ID 페더레이션을 사용하면 사용자 정의 로그인 코드를 생성하거나 자신의 사용자 보안 인증을 관리할 필요가 없습니다. 대신에, 앱 사용자는 Login with Amazon, Facebook, Google 또는 다른 OpenID Connect(OIDC) 호환 IdP와 같은 널리 알려진 외부 ID 제공업체 (IdP)를 사용해 로그인할 수 있습니다. 앱 사용자는 인증 토큰을 받은 다음, 해당 토큰을 AWS 계정의 리소스를 사용할 수 있는 권한을 가진 IAM 역할에 매핑되는 임시 보안 인증으로 바꿉니다.

SDK 또는 도구에 맞게 이를 구성하는 방법을 알아보려면 웹 ID 또는 OpenID Connect와 페더레이션을 참조하십시오.

모바일 애플리케이션의 경우 Amazon Cognito를 사용하는 것이 좋습니다. Amazon Cognito는 ID 브로커로 활동하며 사용자를 대신하여 상당한 페더레이션을 합니다. 자세한 정보는 IAM 사용 설명서의 모바일 앱용 Amazon Cognito를 참조하십시오.

액세스 관리에 대한 추가 정보

IAM 사용 설명서에는 AWS 리소스에 대한 액세스를 안전하게 제어하는 방법에 대한 다음 정보가 수록되어 있습니다.

• IAM ID (사용자, 그룹 및 역할) - AWS의 기본 ID를 숙지하십시오.

• IAM의 보안 모범 사례 — 공유 책임 모델에 따라 AWS 애플리케이션을 개발할 때 따라야 할 보안 권장 사항.

Amazon Web Services 일반 참조에는 다음에 대한 기본 사항이 있습니다.

• AWS보안 인증 이해 및 취득 — 콘솔 및 프로그래밍 방식 액세스 모두에 대한 액세스 키 옵션 및 관리 관행.

AWS Builder ID

이미 소유하고 있거나 생성하고 싶은 모든 AWS 계정의 보완. AWS 계정이 상요자가 생성하고 해당 리소스의 보안 경계가 되는 AWS 리소스의 컨테이너 역할을 하는 동안 사용자의 AWS Builder ID은 사용자를 개인으로 나타냅니다. AWS Builder ID로 로그인하여 Amazon CodeWhisperer 및 Amazon CodeCatalyst와 같은 개발자 도구 및 서비스에 액세스할 수 있습니다.

• AWS 로그인 사용 설명서의 AWS Builder ID으로 로그인 - AWS Builder ID의 생성 및 사용 방법을 알아보고 Builder ID가 제공하는 내용을 알아봅니다.

• AWS Toolkit와 CodeWhisperer 사용한 인증- CodeWhisperer사용자 설명서의 ID 구축기 — AWS Builder ID를 사용한 앱 사용 방식을 알아보세요.

• Amazon CodeCatalyst 사용 설명서의 CodeCatalyst 개념 - AWS Builder ID - CodeCatalyst에서 AWS Builder ID를 사용하는 방법을 알아보세요.