체크리스트: IAM Identity ABAC AWS Center를 사용하여 구성 - AWS IAM Identity Center

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

체크리스트: IAM Identity ABAC AWS Center를 사용하여 구성

이 체크리스트에는 AWS 리소스를 준비하고 액세스를 위한 IAM ABAC Identity Center를 설정하는 데 필요한 구성 작업이 포함되어 있습니다. 이 체크리스트의 작업을 순서대로 완료합니다. 참조 링크를 통해 특정 항목으로 이동하면 이 항목으로 돌아가서 이 체크리스트의 나머지 작업을 진행할 수 있습니다.

단계 작업 레퍼런스
1 모든 AWS 리소스에 태그를 추가하는 방법을 검토하세요. IAMIdentity ABAC Center에서 구현하려면 먼저 ABAC 구현하려는 모든 AWS 리소스에 태그를 추가해야 합니다.
2 ID 저장소의 관련 사용자 ID 및 속성을 사용하여 IAM Identity Center에서 ID 소스를 구성하는 방법을 검토하십시오. IAMIdentity Center를 사용하면 지원되는 모든 IAM Identity Center ID 소스의 사용자 속성을 in에 사용할 수 ABAC 있습니다 AWS.
3 다음 기준에 따라 액세스 제어 결정을 내리는 데 사용할 속성을 결정하고 IAM Identity Center로 전송하십시오. AWS

  • 외부 ID 공급자 (IdP) 를 사용하는 경우 IdP에서 전달된 속성을 사용할지 아니면 Identity Center 내에서 속성을 선택할지를 결정하십시오. IAM

  • IdP가 속성을 전송하도록 선택한 경우 어설션으로 속성을 전송하도록 IdP를 구성하십시오. SAML 특정 IdP에 대해서는 자습서의 Optional 섹션을 참조하십시오.

  • IdP를 ID 소스로 사용하고 Identity Center에서 IAM 속성을 선택하는 경우 IdP에서 속성 값을 SCIM 가져오도록 구성하는 방법을 조사하십시오. SCIMIdP와 함께 사용할 수 없는 경우 IAM Identity Center 콘솔 사용자 페이지를 사용하여 사용자와 해당 속성을 추가하십시오.

  • Active Directory 또는 IAM ID 센터를 ID 소스로 사용하거나 IdP를 사용하고 IAM ID 센터에서 속성을 선택하도록 선택한 경우 구성할 수 있는 사용 가능한 속성을 검토하십시오. 그런 다음 바로 4단계로 이동하여 IAM Identity Center 콘솔을 사용하여 ABAC 속성 구성을 시작하십시오.
4

IAMIdentity Center 콘솔에서 액세스 제어용 속성 페이지를 ABAC 사용하는 데 사용할 속성을 선택합니다. 이 페이지에서는 2단계에서 구성한 ID 소스에서 액세스 제어를 위한 속성을 선택할 수 있습니다. ID와 해당 속성을 IAM Identity Center에 등록한 후에는 액세스 제어 결정에 사용할 수 있도록 사용자에게 전달되는 키-값 쌍 (매핑) 을 생성해야 합니다 AWS 계정 .
5

권한 집합 내에 사용자 지정 권한 정책을 만들고 액세스 제어 속성을 사용하여 ABAC 규칙을 만들어 사용자가 일치하는 태그가 있는 리소스에만 액세스할 수 있도록 하십시오. 4단계에서 구성한 사용자 속성은 AWS 에서 액세스 제어 결정을 위한 태그로 사용됩니다. aws:PrincipalTag/key 조건을 사용하여 권한 정책의 액세스 제어 속성을 참조할 수 있습니다.
6

다양한 AWS 계정버전에서는 5단계에서 만든 권한 집합에 사용자를 할당하세요. 이렇게 하면 사용자가 자신의 계정으로 페더레이션하여 AWS 리소스에 액세스할 때 일치하는 태그를 기반으로 한 액세스 권한만 얻을 수 있습니다.

이 단계를 완료한 후 SSO (Single Sign-On) AWS 계정 를 사용하여 페더레이션한 사용자는 일치하는 속성에 따라 AWS 리소스에 액세스할 수 있게 됩니다.