IAMID 센터 구성 가능 AD 동기화 - AWS IAM Identity Center
필수 조건 및 고려 사항

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

IAMID 센터 구성 가능 AD 동기화

IAMID 센터 구성 가능 Active Directory (AD) 동기화를 사용하면 ID 센터에 자동으로 동기화되는 Microsoft Active Directory의 ID를 명시적으로 구성하고 동기화 프로세스를 IAM 제어할 수 있습니다.

필수 조건 및 고려 사항

구성 가능한 AD 동기화를 사용하기 전에 다음의 사전 조건 및 고려 사항에 주의하세요.

  • Active Directory에서 동기화할 사용자 및 그룹 지정

    먼저 IAM Identity Center를 사용하여 새 사용자와 그룹에 다음 액세스 권한을 할당할 수 있습니다. AWS 계정 그리고 AWS 관리되는 애플리케이션 또는 고객 관리형 애플리케이션의 경우 Active Directory에서 동기화할 사용자 및 그룹을 지정한 다음 IAM Identity Center에 동기화해야 합니다.

    • AD 동기화 - IAM Identity Center 콘솔 또는 관련 할당 API 작업을 사용하여 새 사용자 및 그룹을 할당하면 IAM Identity Center는 도메인 컨트롤러에서 지정된 사용자 또는 그룹을 직접 검색하여 할당을 완료한 다음 사용자 또는 그룹 메타데이터를 Identity Center에 IAM 정기적으로 동기화합니다.

    • 구성 가능한 AD 동기화 - IAM Identity Center는 도메인 컨트롤러에서 사용자와 그룹을 직접 검색하지 않습니다. 대신 먼저 동기화할 사용자 및 그룹 목록을 지정해야 합니다. 이미 IAM Identity Center에 동기화된 사용자 및 그룹이 있는지 또는 구성 가능한 AD 동기화를 사용하여 처음으로 동기화하는 새 사용자 및 그룹이 있는지에 따라 다음 방법 중 하나로 동기화 범위라고도 하는 이 목록을 구성할 수 있습니다.

      • 기존 사용자 및 그룹: IAM Identity Center에 이미 동기화된 사용자 및 그룹이 있는 경우 구성 가능한 AD Sync의 동기화 범위는 해당 사용자 및 그룹 목록으로 미리 채워집니다. 새 사용자 또는 그룹을 할당하려면 동기화 범위에 구체적으로 추가해야 합니다. 자세한 내용은 동기화 범위에 사용자 및 그룹 추가 단원을 참조하십시오.

      • 새 사용자 및 그룹: 새 사용자 및 그룹에 대한 액세스 권한을 할당하려는 경우 AWS 계정 또한 IAM Identity Center를 사용하여 할당하려면 먼저 구성 가능한 AD 동기화의 동기화 범위에 추가할 사용자 및 그룹을 지정해야 합니다. 자세한 내용은 동기화 범위에 사용자 및 그룹 추가 단원을 참조하십시오.

  • Active Directory의 중첩된 그룹에 할당하기

    다른 그룹의 구성원인 그룹을 중첩 그룹 (또는 하위 그룹) 이라고 합니다. Active Directory에서 중첩된 그룹이 포함된 그룹에 할당하는 경우 할당이 적용되는 방식은 AD 동기화를 사용하는지 구성 가능한 AD 동기화를 사용하는지에 따라 달라집니다.

    • AD 동기화 - Active Directory에서 중첩된 그룹이 포함된 그룹에 할당하는 경우 그룹의 직속 구성원만 계정에 액세스할 수 있습니다. 예를 들어 그룹 A에 액세스 권한을 할당하고 그룹 B가 그룹 A의 멤버인 경우 그룹 A의 직속 멤버만 계정에 액세스할 수 있습니다. 그룹 B의 구성원은 액세스 권한을 상속받지 않습니다.

    • 구성 가능한 AD 동기화 - 구성 가능한 AD 동기화를 사용하여 Active Directory에서 중첩된 그룹이 포함된 그룹에 할당하면 다음 그룹에 액세스할 수 있는 사용자 범위가 늘어날 수 있습니다. AWS 계정 또는 애플리케이션에 적용할 수도 있습니다. 이 경우 할당은 중첩된 그룹에 있는 사용자를 포함한 모든 사용자에게 적용됩니다. 예를 들어 그룹 A에 액세스 권한을 할당하고 그룹 B가 그룹 A의 멤버인 경우 그룹 B의 멤버도 이 액세스 권한을 상속합니다.

  • 자동화된 워크플로 업데이트

    IAMIdentity Center ID 저장소 API 작업 및 IAM Identity Center 할당 API 작업을 사용하여 새 사용자 및 그룹에 계정 및 애플리케이션에 대한 액세스 권한을 할당하고 IAM Identity Center와 동기화하는 자동화된 워크플로가 있는 경우 구성 가능한 AD 동기화로 예상대로 작동하도록 2022년 4월 15일까지 해당 워크플로를 조정해야 합니다. 구성 가능한 AD Sync는 사용자 및 그룹 할당 및 프로비저닝이 발생하는 순서와 쿼리 수행 방식을 변경합니다.

    • AD 동기화 – 할당 프로세스가 먼저 발생합니다. 사용자 및 그룹에 대한 액세스 권한을 할당합니다. AWS 계정 및 애플리케이션에. 사용자 및 그룹에 액세스 권한이 할당되면 자동으로 프로비저닝 (IAMIdentity Center에 동기화) 됩니다. 자동화된 워크플로를 사용하는 경우 Active Directory에 새 사용자를 추가하면 자동화된 워크플로에서 ID 저장소 ListUser API 작업을 사용하여 Active Directory에서 사용자를 쿼리한 다음 IAM ID 센터 할당 작업을 사용하여 사용자 액세스 권한을 할당할 수 있습니다. API 사용자에게 할당이 있으므로 해당 사용자는 자동으로 IAM Identity Center에 프로비저닝됩니다.

    • 구성 가능한 AD 동기화 – 프로비저닝이 먼저 수행되며 자동으로 수행되지는 않습니다. 대신 먼저 사용자 및 그룹을 동기화 범위에 추가하여 ID 스토어에 명시적으로 추가해야 합니다. 구성 가능한 AD 동기화의 동기화 구성을 자동화하기 위한 권장 단계에 대한 자세한 내용은 구성 가능한 AD 동기화를 위한 동기화 구성을 자동화합니다. 단원을 참조하세요.

주제