위임된 관리

위임된 관리는 등록된 멤버 계정의 할당된 사용자가 대부분의 IAM Identity Center 관리 작업을 수행할 수 있는 편리한 방법을 제공합니다. IAM Identity Center를 활성화하면 AWS Organizations 기본적으로의 관리 계정에 IAM Identity Center 인스턴스가 생성됩니다. 이는 원래 IAM Identity Center가 조직의 모든 멤버 계정에서 역할을 프로비저닝, 프로비저닝 해제 및 업데이트할 수 있도록 이러한 방식으로 설계되었습니다. IAM Identity Center 인스턴스는 항상 관리 계정에 있어야 하지만 IAM Identity Center 관리를의 멤버 계정에 위임하여 관리 계정 외부에서 IAM Identity Center를 관리하는 기능을 AWS Organizations확장할 수 있습니다.

위임된 관리를 활성화하면 다음과 같은 이점이 있습니다.

관리 계정에 액세스해야 하는 사용자 수를 최소화하여 보안 문제를 완화하는 데 도움이 됩니다.
일부 관리자가 애플리케이션과 조직의 멤버 계정에 사용자 및 그룹을 할당할 수 있습니다.

IAM Identity Center의 작동 방식에 대한 자세한 내용은 섹션을 AWS Organizations참조하세요AWS 계정 액세스. 추가 정보를 확인하고 위임 관리를 구성하는 방법을 보여주는 예제 회사 시나리오를 검토하려면 AWS 보안 블로그의 IAM Identity Center 위임 관리 시작하기를 참조하세요.

주제

모범 사례

위임된 관리를 구성하기 전에 고려해야 할 몇 가지 모범 사례는 다음과 같습니다.

관리 계정에 최소 권한 부여 - 관리 계정은 권한이 높은 계정이며 보안 주체 최소 권한 원칙을 준수하기 위해 관리 계정에 대한 액세스를 가능한 한 적은 사용자만 제한하는 것이 좋습니다. 위임 관리자 기능은 관리 계정에 액세스해야 하는 사용자 수를 최소화하기 위한 것입니다. 필요한 경우에만 임시로 승격된 액세스 권한을 사용하여이 액세스 권한을 부여하는 것을 고려할 수도 있습니다.
관리 계정에 대한 전용 권한 세트 - 관리 계정에 대한 전용 권한 세트를 사용합니다. 보안상의 이유로 관리 계정에 액세스하는 데 사용되는 권한 세트는 관리 계정의 IAM Identity Center 관리자만 수정할 수 있습니다. 위임된 관리자는 관리 계정에 프로비저닝된 권한 세트를 변경할 수 없습니다.
관리 계정의 권한 세트에 사용자만 할당(그룹 아님) - 관리 계정에는 특별한 권한이 있으므로 콘솔 또는 AWS Command Line Interface (CLI)에서이 계정에 대한 액세스를 할당할 때 주의해야 합니다. 관리 계정에 액세스할 수 있는 권한 세트에 그룹을 할당하면 해당 그룹의 멤버십을 수정할 수 있는 권한이 있는 모든 사용자가 해당 그룹에 사용자를 추가/제거하여 관리 계정에 액세스할 수 있는 사용자에게 영향을 미칠 수 있습니다. ID 제공업체(IdP) 관리자, Microsoft Active Directory 도메인 서비스(AD DS) 관리자 또는 IAM Identity Center 관리자를 포함하여 ID 소스를 제어할 수 있는 그룹 관리자입니다. 따라서 관리 계정에서 액세스 권한을 부여하는 권한 세트에 사용자를 직접 할당하고 그룹을 피해야 합니다. 그룹을 사용하여 관리 계정에 대한 액세스를 관리하는 경우 IdP에 적절한 제어가 마련되어 이러한 그룹을 수정할 수 있는 사용자를 제한하고 필요에 따라 해당 그룹에 대한 변경 사항(또는 관리 계정의 사용자에 대한 자격 증명 변경 사항)을 로깅하고 검토해야 합니다.
Active Directory 위치 고려 – Active Directory를 IAM Identity Center ID 소스로 사용할 계획이라면 IAM Identity Center 위임 관리자 기능을 활성화한 멤버 계정의 디렉터리를 찾습니다. IAM Identity Center ID 소스를 다른 소스에서 Active Directory로 변경하거나 Active Directory에서 다른 소스로 변경하려면 디렉터리가 IAM Identity Center 위임된 관리자 멤버 계정에 있어야 합니다. Active Directory가 관리 계정에 있도록 하려면 위임된 관리자에게 관리 계정을 완료하는 데 필요한 권한이 없으므로 관리 계정에서 설정을 수행해야 합니다.

외부 ID 소스를 사용하여 위임된 관리 계정의 IAM Identity Center ID 스토어 작업 제한

IdP 또는와 같은 외부 ID 소스를 사용하는 경우 IAM Identity Center 관리자가 위임된 관리 계정 내에서 수행할 수 있는 ID 스토어 작업을 제한하는 정책을 구현 AWS Directory Service해야 합니다. 쓰기 및 삭제 작업은 신중하게 고려해야 합니다. 일반적으로 외부 자격 증명 소스는 사용자 및 해당 속성과 그룹 멤버십에 대한 신뢰할 수 있는 소스입니다. 자격 증명 스토어 APIs 또는 콘솔을 사용하여 이를 수정하면 일반 동기화 주기 중에 변경 사항을 덮어씁니다. 이러한 작업을 신뢰할 수 있는 자격 증명 소스를 독점적으로 제어하는 것이 가장 좋습니다. 또한 IAM Identity Center 관리자가 그룹 멤버십을 수정하여 IdP 관리자에게 그룹 멤버십 제어를 남기지 않고 그룹에 할당된 권한 세트 또는 애플리케이션에 대한 액세스 권한을 부여하는 것도 방지합니다. 또한 멤버 계정 관리자가 SCIM 클라이언트를 통해 그룹 및 사용자를 수정할 수 있으므로 위임된 관리 계정에서 SCIM 보유자 토큰을 생성할 수 있는 사용자를 보호해야 합니다.

위임된 관리자 계정에서 쓰기 또는 삭제 작업이 적절한 경우가 있을 수 있습니다. 예를 들어 구성원을 추가하지 않고 그룹을 생성한 다음 IdP 관리자가 그룹을 생성할 때까지 기다릴 필요 없이 권한 세트에 할당할 수 있습니다. IdP 관리자가 그룹을 프로비저닝하고 IdP 동기화 프로세스가 그룹 멤버를 설정할 때까지는 아무도 해당 할당에 액세스할 수 없습니다. 사용자 또는 그룹의 액세스를 제거하기 위해 IdP 동기화 프로세스를 기다릴 수 없는 시간 동안 로그인 또는 권한 부여를 방지하기 위해 사용자 또는 그룹을 삭제하는 것이 적절할 수도 있습니다. 그러나이 권한을 오용하면 사용자에게 방해가 될 수 있습니다. ID 스토어 권한을 할당할 때는 최소 권한 원칙을 사용해야 합니다. 서비스 제어 정책(SCP)을 사용하여 위임된 관리 계정 관리자가 허용할 ID 스토어 작업을 제어할 수 있습니다.

아래 예제 SCP는 Identity Store API 및를 통해 그룹에 사용자를 할당하는 것을 방지하며 AWS Management Console, 이는 ID 소스가 외부일 때 권장됩니다. 이는 외부 IdP(SCIM을 통해)와의 사용자 동기화 AWS Directory Service 에는 영향을 주지 않습니다.

참고

외부 ID 소스를 사용하더라도 조직은 사용자 및 그룹을 프로비저닝하기 위해 Identity Store APIs에 완전히 또는 부분적으로 의존할 수 있습니다. 따라서이 SCP를 활성화하기 전에 사용자 프로비저닝 프로세스가이 Identity Store API 작업을 사용하지 않는지 확인해야 합니다. 또한 그룹 멤버십 관리를 특정 그룹으로 제한하는 방법에 대한 자세한 내용은 다음 섹션을 참조하세요.


{
  "Version": "2012-10-17",
  "Statement": [
    { "Effect": "Deny",
      "Action": ["identitystore:CreateGroupMembership"],
      "Resource": [ "*" ] }
  ]
}

관리 계정에 대한 액세스 권한을 부여하는 그룹에만 사용자를 추가하지 않으려면 그룹 ARN을 사용하여 다음 형식으로 해당 특정 그룹을 참조할 수 있습니다arn:${Partition}:identitystore:::group/${GroupId}. Identity Store에서 사용할 수 있는이 리소스 유형과 기타 리소스 유형은 서비스 승인 참조의 AWS Identity Store에서 정의한 리소스 유형에 설명되어 있습니다. SCP에 추가 Identity Store APIs를 포함하는 것도 고려할 수 있습니다. 자세한 내용은 Identity Store API 참조의 작업을 참조하세요.

SCP에 다음 정책 설명을 추가하면 위임된 관리자가 SCIM 보유자 토큰을 생성하지 못하도록 할 수 있습니다. 두 외부 자격 증명 소스 모두에 적용할 수 있습니다.

참고

위임된 관리자가 SCIM으로 사용자 프로비저닝을 설정하거나 주기적으로 SCIM 보유자 토큰 교체를 수행해야 하는 경우 위임된 관리자가 해당 작업을 완료할 수 있도록이 API에 대한 액세스를 일시적으로 허용해야 합니다.



    { "Effect": "Deny",
      "Action": ["sso-directory:CreateBearerToken"],
      "Resource": [ "*" ]
    }

로컬 관리형 사용자의 위임된 관리 계정에서 IAM Identity Center ID 스토어 작업 제한

외부 IdP를 사용하는 대신 IAM Identity Center에서 직접 사용자 및 그룹을 생성하는 경우 사용자를 생성하고 AWS Directory Service, 암호를 재설정하고, 그룹 멤버십을 제어할 수 있는 사용자에 대한 예방 조치를 취해야 합니다. 이러한 작업은 관리자가 로그인할 수 있는 사용자와 그룹 멤버십을 통해 액세스할 수 있는 사용자에게 큰 권한을 부여합니다. 이러한 정책은 SCPs가 아닌 IAM Identity Center 관리자에게 사용하는 권한 세트 내에서 인라인 정책으로 구현하는 것이 가장 좋습니다. 다음 예제 인라인 정책에는 두 가지 목표가 있습니다. 첫째, 특정 그룹에 사용자를 추가하는 것을 방지합니다. 이를 사용하여 위임된 관리자가 관리 계정에 대한 액세스 권한을 부여하는 그룹에 사용자를 추가하지 못하도록 할 수 있습니다. 둘째, SCIM 보유자 토큰의 발급을 방지합니다.



{ 
  "Version": "2012-10-17", 
  "Statement": [ 
  { "Effect": "Deny", 
    "Action": ["identitystore:CreateGroupMembership"],
    "Resource": [ arn:${Partition}:identitystore:::group/${GroupId1}, 
                  arn:${Partition}:identitystore:::group/${GroupId2} 
                 ] 
   }
  ],
  { "Effect": "Deny", 
    "Action": ["sso-directory:CreateBearerToken"],
    "Resource": [ "*" ] }
  ]
}

PermissionSet 관리에서 IAM Identity Center 구성 관리 분리

관리 계정에서 고유한 관리자 권한 세트를 생성하여 권한 세트를 생성, 수정 및 할당할 작업과 외부 ID 소스 수정, SCIM 토큰 관리, 세션 제한 시간 구성을 포함한 관리 작업을 분리합니다.

SCIM 보유자 토큰 발급 제한

SCIM 보유자 토큰을 사용하면 IAM Identity Center의 ID 소스가 Okta 또는 Entra ID와 같은 외부 IdP인 경우 외부 ID 소스가 SCIM 프로토콜을 통해 사용자, 그룹 및 그룹 멤버십을 프로비저닝할 수 있습니다. 위임된 관리자가 SCIM 보유자 토큰을 생성하지 않도록 다음 SCP를 설정할 수 있습니다. 위임된 관리자가 SCIM을 사용하여 사용자 프로비저닝을 설정하거나 정기적인 SCIM 보유자 토큰 교체를 수행해야 하는 경우 위임된 관리자가 해당 작업을 완료할 수 있도록이 API에 대한 액세스를 일시적으로 허용해야 합니다.



    { "Effect": "Deny",
      "Action": ["sso-directory:CreateBearerToken"],
      "Resource": [ "*" ] 
}

권한 세트 태그 및 계정 목록을 사용하여 특정 계정의 관리를 위임합니다.

IAM Identity Center 관리자에게 할당하는 권한 세트를 생성하여 권한 세트를 생성할 수 있는 사용자와 계정에 할당할 수 있는 사용자를 위임할 수 있습니다. 이는 권한 세트에 태그를 지정하고 관리자에게 할당하는 권한 세트의 정책 조건을 사용하여 수행됩니다. 예를 들어 특정 방식으로 태그가 지정된 경우 사용자가 권한 세트를 생성할 수 있는 권한 세트를 생성할 수 있습니다. 관리자가 지정된 계정에 특정 태그가 있는 권한 세트를 할당할 수 있도록 하는 정책을 생성할 수도 있습니다. 이렇게 하면 관리자에게 위임된 관리 계정에 대한 액세스 및 권한을 수정할 권한을 부여하지 않고도 계정에 대한 관리를 위임할 수 있습니다. 예를 들어 위임된 관리 계정에서만 사용하는 권한 세트에 태그를 지정하면 특정 사용자만 위임된 관리 계정에 영향을 미치는 권한 세트 및 할당을 수정할 수 있는 권한을 부여하는 정책을 지정할 수 있습니다. 다른 사람에게 위임된 관리 계정 외부의 계정 목록을 관리할 수 있는 권한을 부여할 수도 있습니다. 자세한 내용은 AWS 보안 블로그의 에서 권한 세트 관리 및 계정 할당 위임 AWS IAM Identity Center을 참조하세요.

사전 조건

계정을 위임된 관리자로 등록하려면 먼저 다음 환경을 배포해야 합니다.

AWS Organizations 는 기본 관리 계정 외에도 하나 이상의 멤버 계정으로 활성화 및 구성되어야 합니다.
ID 소스가 Active Directory로 설정된 경우 IAM Identity Center 구성 가능 AD 동기화 기능을 활성화해야 합니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

AWS 계정 액세스

멤버 계정 등록