액세스 제어를 위한 속성 - AWS IAM Identity Center
시작하기

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

액세스 제어를 위한 속성

액세스 제어 속성은 정책에서 리소스에 대한 액세스를 제어하는 데 사용할 사용자 속성을 선택하는 IAM Identity Center 콘솔의 페이지 이름입니다. 사용자 ID 소스의 기존 속성을 AWS 기반으로 사용자를 워크로드에 할당할 수 있습니다.

예를 들어 부서 이름을 기반으로 S3 버킷에 대한 액세스를 할당하려고 한다고 가정해 보겠습니다. 액세스 제어 속성 페이지에서 속성 기반 액세스 제어와 함께 사용할 부서 사용자 속성 () 을 선택합니다. ABAC 그런 다음 IAM Identity Center 권한 집합에서 부서 속성이 S3 버킷에 할당한 부서 태그와 일치하는 경우에만 사용자에게 액세스 권한을 부여하는 정책을 작성합니다. IAMIdentity Center는 사용자의 부서 속성을 액세스 중인 계정에 전달합니다. 그런 다음 속성을 사용하여 정책을 기반으로 액세스를 결정합니다. 에 대한 자세한 내용은 ABAC 을 참조하십시오속성 기반 액세스 제어.

시작하기

액세스 제어를 위한 속성 구성을 시작하는 방법은 사용 중인 ID 소스에 따라 달라집니다. 선택한 ID 소스에 관계없이 속성을 선택한 후에는 권한 집합 정책을 만들거나 편집해야 합니다. 이러한 정책은 사용자 ID에 AWS 리소스에 대한 액세스 권한을 부여해야 합니다.

IAMIdentity Center를 ID 소스로 사용할 때의 속성 선택

IAMIdentity Center를 ID 소스로 구성할 때는 먼저 사용자를 추가하고 해당 속성을 구성합니다. 그런 다음 액세스 제어용 속성 페이지로 이동하여 정책에 사용할 속성을 선택합니다. 마지막으로 AWS 계정페이지로 이동하여 속성을 사용할 권한 집합을 만들거나 ABAC 편집하십시오.

ID 소스로 AWS Managed Microsoft AD 을 사용할 때의 속성 선택

ID AWS Managed Microsoft AD 소스로 IAM ID 센터를 구성하는 경우 먼저 Active Directory의 속성 세트를 IAM ID 센터의 사용자 속성에 매핑합니다. 다음으로 액세스 제어용 속성 페이지로 이동합니다. 그런 다음 Active Directory에서 매핑한 기존 속성 집합을 기반으로 ABAC 구성에 사용할 SSO 속성을 선택합니다. 마지막으로 작성자는 권한 집합의 액세스 제어 속성을 사용하여 사용자 ID에 리소스에 대한 액세스 권한을 부여하는 ABAC 규칙을 적용합니다. AWS IAMIdentity Center의 사용자 속성과 AWS Managed Microsoft AD 디렉터리의 사용자 속성에 대한 기본 매핑 목록은 을 참조하십시오. 기본 매핑

외부 ID 제공업체를 ID 소스로 사용할 때의 속성 선택

IAMID 소스로 외부 ID 공급자 (IdP) 를 사용하여 Identity Center를 구성하는 경우 속성을 사용하는 두 가지 방법이 있습니다. ABAC

  • 어설션을 통해 SAML 속성을 전송하도록 IdP를 구성할 수 있습니다. 이 경우 IAM Identity Center는 정책 평가를 위해 IdP의 속성 이름과 값을 전달합니다.

    참고

    SAML어설션의 속성은 액세스 제어용 속성 페이지에서 볼 수 없습니다. 정책을 작성할 때 이러한 특성을 미리 알고 액세스 제어 규칙에 추가해야 합니다. 외부 IdPs 속성을 신뢰하기로 결정한 경우 사용자가 페더레이션할 때 이러한 속성은 항상 전달됩니다. AWS 계정 SAML및 SCIM 를 통해 IAM Identity Center에 동일한 속성을 가져오는 시나리오에서는 SAML 속성 값이 액세스 제어 결정의 우선 순위를 갖습니다.

  • IAMIdentity Center 콘솔의 액세스 제어용 속성 페이지에서 사용할 속성을 구성할 수 있습니다. 여기서 선택한 속성 값은 어설션을 통해 IdP에서 가져온 모든 일치하는 속성의 값을 대체합니다. 사용 여부에 따라 SCIM 다음 사항을 고려하십시오.

    • 를 사용하는 SCIM 경우 IdP는 속성 값을 ID 센터에 자동으로 동기화합니다. IAM 액세스 제어에 필요한 추가 속성은 속성 목록에 없을 수 있습니다. SCIM 이 경우 IdP의 IT 관리자와 협력하여 필수 접두사를 사용하는 어설션을 SAML 통해 Identity IAM Center에 이러한 속성을 보내는 것을 고려해 보십시오. https://aws.amazon.com/SAML/Attributes/AccessControl: SAML어설션을 통해 IdP에서 액세스 제어를 위한 사용자 속성을 전송하도록 구성하는 방법에 대한 자세한 내용은 해당 IdP의 를 시작하기 튜토리얼 참조하십시오.

    • 를 사용하지 SCIM 않는 경우 IAM Identity Center를 ID 소스로 사용하는 것처럼 수동으로 사용자를 추가하고 속성을 설정해야 합니다. 그런 다음 액세스 제어를 위한 속성 페이지로 이동하여 정책에 사용할 속성을 선택합니다.

IAMIdentity Center의 사용자 속성과 외부의 IdPs 사용자 속성에 지원되는 속성의 전체 목록은 을 참조하십시오지원되는 외부 ID 제공업체 속성.

IAMIdentity ABAC Center에서 시작하려면 다음 항목을 참조하십시오.

주제