액세스 제어를 위한 속성 활성화 및 구성 - AWS IAM Identity Center
액세스 제어에 속성 활성화속성 선택액세스 제어의 속성 비활성화

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

액세스 제어를 위한 속성 활성화 및 구성

모든 경우에 ABAC를 사용하려면 먼저 IAM Identity Center 콘솔 또는 IAM Identity Center API를 사용하여 ABAC를 활성화해야 합니다. IAM Identity Center를 사용하여 속성을 선택하려면 IAM Identity Center 콘솔 또는 IAM Identity Center API의 액세스 제어용 속성 페이지를 사용합니다. 자격 증명 소스로 외부 ID 제공업체(idP)를 사용하고 SAML 어설션을 통해 속성을 보내도록 선택한 경우 속성을 전달하도록 IdP를 구성합니다. SAML 어설션으로 이 속성을 전달하는 경우 IAM Identity Center는 속성 값을 IAM Identity Center ID 스토어의 값으로 바꿉니다. 사용자가 계정에 페더레이션할 때 IAM Identity Center에 구성된 속성만 액세스 제어 결정을 내리기 위해 전송됩니다.

참고

IAM Identity Center 콘솔의 액세스 제어 속성 페이지에서는 외부 IdP가 구성 및 전송한 속성을 볼 수 없습니다. 외부 IdP의 SAML 어설션에 액세스 제어 속성을 전달하는 경우 사용자가 페더레이션할 때 해당 속성이 AWS 계정 로 직접 전송됩니다. 속성은 IAM Identity Center에서 매핑에 사용할 수 없습니다.

액세스 제어에 속성 활성화

다음 절차에 따라 IAM Identity Center 콘솔을 사용하여 액세스용 속성(ABAC) 제어 기능을 활성화합니다.

참고

기존 권한 집합이 있고 IAM Identity Center 인스턴스에서 ABAC를 활성화하려는 경우 추가 보안 제한 사항을 적용하려면 먼저 iam:UpdateAssumeRolePolicy 정책가 있어야 합니다. 계정에 권한 집합을 생성하지 않은 경우에는 이러한 추가 보안 제한이 필요하지 않습니다.

액세스 제어의 속성을 활성화하려면

  1. IAM Identity Center 콘솔을 엽니다.

  2. 설정을 선택합니다.

  3. 설정 페이지에서 액세스 제어 정보의 속성 정보 상자를 찾은 다음 활성화를 선택합니다. 다음 절차를 계속 진행하여 구성합니다.

속성 선택

다음 절차에 따라 ABAC 구성의 속성을 설정합니다.

IAM Identity Center 콘솔을 사용하여 속성을 선택하려면

  1. IAM Identity Center 콘솔을 엽니다.

  2. 설정을 선택합니다.

  3. 설정 페이지에서 액세스 제어용 속성 탭을 선택한 다음 속성 관리를 선택합니다.

  4. 액세스 제어 속성 페이지에서 속성 추가를 선택하고 세부 정보를 입력합니다. 여기에서 ID에서 가져온 속성을 IAM Identity Center가 세션 태그로 전달하는 속성에 매핑합니다.

    는 정책에 사용하기 위해 속성에 부여하는 이름을 나타냅니다. 이 이름은 임의의 이름일 수 있지만 액세스 제어를 위해 작성하는 정책에 정확한 이름을 지정해야 합니다. 예를 들어 Okta(외부 IdP)를 ID 소스로 사용하고 있으며 조직의 비용 센터 데이터를 세션 태그와 함께 전달해야 한다고 가정해 보겠습니다. 키에는 키 이름과 비슷하게 일치하는 이름을 입력합니다. CostCenter 여기서 어떤 이름을 선택하든 이름은 aws:PrincipalTag 조건 키(즉, "ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}")에서도 정확하게 같은 이름이어야 한다는 점에 유의해야 합니다.

    참고

    키에는 단일 값 속성을 사용합니다(예:)Manager. IAM Identity Center는 ABAC에 대한 다중 값 속성(예:)Manager, IT Systems을 지원하지 않습니다.

    은 구성된 ID 소스에서 가져온 속성의 내용을 나타냅니다. 여기에 AWS Managed Microsoft AD 디렉터리의 속성 매핑에 나열된 해당 ID 소스 테이블의 모든 값을 입력할 수 있습니다. 예를 들어, 위에서 언급한 예제에 제공된 컨텍스트를 사용하여 지원되는 IdP 속성 목록을 검토하고 지원되는 속성과 가장 근접하게 일치하는 항목이 ${path:enterprise.costCenter}인지 확인한 다음 필드에 입력합니다. 참조는 위에 제공된 스크린샷을 참조하세요. 참고로, SAML 어설션을 통해 속성을 전달하는 옵션을 사용하지 않는 한 ABAC의 경우 이 목록 외부의 외부 IdP 속성 값을 사용할 수 없습니다.

  5. 변경 사항 저장를 선택합니다.

이제 액세스 제어 속성 매핑을 구성했으므로 ABAC 구성 프로세스를 완료해야 합니다. 이렇게 하려면 ABAC 규칙을 생성하여 권한 집합 및/또는 리소스 기반 정책에 추가합니다. 이는 사용자 ID에 AWS 리소스에 대한 액세스 권한을 부여하기 위해 필요합니다. 자세한 내용은 IAM Identity Center에서 ABAC에 대한 권한 정책 생성 단원을 참조하세요.

액세스 제어의 속성 비활성화

다음 절차를 사용하여 ABAC 기능을 사용 중지하고 구성된 모든 속성 매핑을 삭제합니다.

액세스 제어의 속성을 비활성화하려면

  1. IAM Identity Center 콘솔을 엽니다.

  2. 설정을 선택합니다.

  3. 설정 페이지에서 액세스 제어 속성 탭을 선택한 다음 비활성화를 선택합니다.

  4. 액세스 제어 속성 비활성화 대화 상자에서 정보를 검토하고 준비가 되면 DELETE를 입력한 다음 확인을 선택합니다.

    중요

    이 단계는 구성된 모든 속성을 삭제합니다. 일단 삭제되면 ID 소스에서 받은 모든 속성과 이전에 구성한 사용자 지정 속성은 전달되지 않습니다.