IAM Identity Center 광고 동기화

IAM ID 센터 AD 동기화를 사용하면 IAM ID 센터를 사용하여 Active Directory의 사용자 및 그룹에 AWS 관리형 애플리케이션 또는 고객 관리 애플리케이션에 대한 액세스 권한을 할당할 수 있습니다. AWS 계정 할당된 모든 ID는 IAM Identity Center에 자동으로 동기화됩니다.

IAM Identity Center AD 동기화 작동 방식

IAM Identity Center는 다음 프로세스를 사용하여 ID 스토어의 AD 기반 ID 데이터를 새로 고칩니다.

생성

AWS 콘솔 또는 할당 API 호출을 사용하여 사용자 AWS 계정 또는 그룹을 애플리케이션에 할당하면 사용자, 그룹 및 멤버십에 대한 정보가 IAM Identity Center ID 저장소에 정기적으로 동기화됩니다. IAM Identity Center 할당에 추가된 사용자 또는 그룹은 일반적으로 2시간 이내에 AWS ID 저장소에 표시됩니다. 동기화되는 데이터의 양에 따라 이 프로세스는 더 오래 걸릴 수 있습니다. 액세스 권한이 직접 할당되거나 액세스 권한이 할당된 그룹의 구성원인 사용자 및 그룹만 동기화됩니다.

다른 그룹의 구성원인 그룹(중첩 그룹이라고 함)도 ID 스토어에 기록됩니다. 중첩된 그룹이 포함된 Active Directory의 그룹에 할당하는 경우 할당이 적용되는 방식은 AD 동기화를 사용하는지 구성 가능한 AD 동기화를 사용하는지에 따라 달라집니다.

• AD 동기화 - Active Directory에서 중첩된 그룹이 포함된 그룹에 할당하는 경우 그룹의 직속 구성원만 계정에 액세스할 수 있습니다. 예를 들어 그룹 A에 액세스 권한을 할당하고 그룹 B가 그룹 A의 멤버인 경우 그룹 A의 직속 멤버만 계정에 액세스할 수 있습니다. 그룹 B의 구성원은 액세스 권한을 상속받지 않습니다.

• 구성 가능한 AD 동기화 - 구성 가능한 AD 동기화를 사용하여 Active Directory에서 중첩된 그룹이 포함된 그룹에 할당하면 응용 프로그램에 액세스하거나 응용 프로그램에 액세스할 수 있는 사용자의 범위가 늘어날 수 있습니다. AWS 계정 이 경우 할당은 중첩된 그룹에 있는 사용자를 포함한 모든 사용자에게 적용됩니다. 예를 들어 그룹 A에 액세스 권한을 할당하고 그룹 B가 그룹 A의 멤버인 경우 그룹 B의 멤버도 이 액세스 권한을 상속합니다.

사용자 객체가 처음으로 동기화되기 전에 사용자가 IAM Identity Center에 액세스하는 경우 해당 사용자의 ID 저장소 객체는 JIT just-in-time () 프로비저닝을 사용하여 온디맨드 방식으로 생성됩니다. JIT 프로비저닝으로 생성된 사용자는 직접 할당되거나 그룹 기반 IAM Identity Center 사용 권한이 없는 한 동기화되지 않습니다. JIT로 프로비전한 사용자의 그룹 멤버십은 동기화가 완료될 때까지 사용할 수 없습니다.

사용자에게 액세스 권한을 할당하는 방법에 대한 지침은 을 참조하십시오. AWS 계정싱글 사인온 액세스: AWS 계정

업데이트

IAM Identity Center ID 스토어의 ID 데이터는 Active Directory의 소스 디렉터리에서 데이터를 정기적으로 읽어 최신 상태로 유지됩니다. Active Directory에서 변경된 ID 데이터는 일반적으로 4시간 이내에 AWS ID 저장소에 표시됩니다. 동기화되는 데이터의 양에 따라 이 프로세스는 더 오래 걸릴 수 있습니다.

사용자 및 그룹 객체와 해당 구성원은 IAM Identity Center에서 생성되거나 업데이트되어 Active Directory의 소스 디렉터리에 있는 해당 객체에 매핑됩니다. 사용자 속성의 경우 IAM Identity Center 콘솔의 액세스 제어 속성 관리 섹션에 나열된 속성의 하위 집합만 IAM Identity Center 콘솔에서 업데이트됩니다. 또한 사용자 속성은 각 사용자 인증 이벤트와 함께 업데이트됩니다.

삭제

Active Directory의 소스 디렉터리에서 해당 사용자 또는 그룹 객체가 삭제되면 IAM Identity Center ID 스토어에서 사용자와 그룹이 삭제됩니다.