IAM Identity Center란 무엇인가요?
AWS IAM Identity Center은 인력 사용자를 Amazon Q Developer 및 Amazon QuickSight와 같은 AWS 관리형 애플리케이션과 기타 AWS 리소스에 연결하기 위한 AWS 솔루션입니다. 기존 ID 제공업체를 연결하고 디렉터리에서 사용자와 그룹을 동기화하거나 IAM Identity Center에서 직접 사용자를 생성하고 관리할 수 있습니다. 또 다음 중 하나 또는 둘 모두에 IAM Identity Center를 사용할 수 있습니다.
-
애플리케이션에 대한 사용자 액세스
-
AWS 계정에 대한 사용자 액세스
AWS 계정에 액세스하기 위해 이미 IAM을 사용하고 있습니까?
IAM Identity Center를 사용하여 AWS 관리형 애플리케이션에 액세스하려면 현재 AWS 계정 워크플로를 변경할 필요가 없습니다. IAM 사용자 또는 IAM과 페더레이션을 사용하여 AWS 계정 액세스하려는 경우 사용자는 항상 가지고 있는 것과 동일한 방식으로 AWS 계정에 계속 액세스할 수 있으며 기존 워크플로를 계속 사용하여 해당 액세스를 관리할 수 있습니다.
IAM Identity Center를 사용하는 이유는 무엇입니까?
IAM Identity Center는 다음과 같은 주요 기능을 통해 애플리케이션이나 AWS 계정, 또는 둘 모두에 대한 인력 사용자 액세스를 간소화하고 단순화합니다.
- AWS 관리형 애플리케이션과의 통합
-
Amazon Q Developer 및 Amazon Redshift과 같은AWS 관리형 애플리케이션은 IAM Identity Center와 통합됩니다. IAM Identity Center를 통해 여러 AWS 관리형 애플리케이션은 공동으로 사용자와 그룹을 볼 수 있습니다.
- 애플리케이션 간 신뢰할 수 있는 ID 전파
-
Amazon QuickSight와 같은 AWS 관리형 애플리케이션은 신뢰할 수 있는 ID 전파를 통해 사용자의 ID을 Amazon Redshift과 같은 타 AWS 관리형 애플리케이션과 안전하게 공유하고 사용자의 ID을 기준으로 AWS 리소스에 대한 액세스를 승인할 수 있습니다. 사용자 및 사용자가 개시한 활동을 기반으로 CloudTrail 이벤트 로그가 기록되므로 사용자 활동을 더 쉽게 감사할 수 있습니다. 이를 통해 누가 무엇을 액세스했는지 더 쉽게 파악할 수 있습니다. 엔드 투 엔드 구성 지침 등 지원되는 사용 사례에 대해서는 신뢰할 수 있는 ID 전파 사용 사례를 참조하세요.
- 하나의 플레이스에서 여러 AWS 계정에 권한 할당
-
IAM Identity Center의 다중 계정 권한을 통해 하나의 플레이스에서 여러 AWS 계정의 사용자 그룹에 권한을 할당할 수 있습니다. 일반적인 직무를 기반으로 권한을 생성하거나 보안 요구 사항에 맞는 사용자 지정 권한을 정의할 수 있습니다. 그런 다음 해당 권한을 인력 사용자에게 할당하여 특정 AWS 계정에 대한 액세스를 제어할 수 있습니다.
이러한 선택 기능은 IAM Identity Center의 조직 인스턴스에만 사용할 수 있습니다.
- 한 페더레이션 포인트를 통해 AWS에 대한 사용자 액세스 간소화
-
IAM Identity Center는 하나의 페더레이션 포인트를 제공함으로써 여러 AWS 관리형 애플리케이션과 AWS 계정을 사용하는 데 필요한 관리 노력을 줄여 드립니다. IAM Identity Center를 통해
SAML 2.0
ID 제공업체 사용 시 단 한 번의 페더레이션과 단 하나의 인증서로 관리할 수 있습니다. IAM Identity Center를 통해 여러 AWS 관리형 애플리케이션은 신뢰할 수 있는 ID 전파 사용 사례를 위해, 또는 사용자가 AWS 리소스에 대한 액세스를 다른 사람과 공유할 때 공동으로 사용자와 그룹을 볼 수 있습니다. IAM Identity Center에서 작동하는 일반적으로 사용되는 ID 제공업체 구성 방법에 대해서는 IAM Identity Center의 ID 소스 자습서를 참조하세요. 기존 ID 제공업체가 없는 경우 IAM Identity Center 에서 직접 사용자를 생성하고 관리할 수 있습니다.
- 두 배포 모드
-
IAM Identity Center는 조직 인스턴스와 계정 인스턴스라는 두 가지 유형의 인스턴스를 지원합니다. 조직 인스턴스가 모범 사례입니다. AWS 계정에 대한 액세스를 관리할 수 있는 유일한 인스턴스이면서 모든 프로덕션 애플리케이션 사용에 권장됩니다. 조직 인스턴스는 AWS Organizations 관리 계정에 배포되고 AWS 전반에 걸쳐 사용자 액세스를 관리할 수 있는 단일 지점을 제공합니다.
계정 인스턴스는 활성화된 AWS 계정에 바인딩됩니다. IAM Identity Center의 계정 인스턴스는 AWS 관리형 애플리케이션의 격리된 배포를 지원하는 용도로만 사용하세요. 자세한 내용은 IAM Identity Center의 조직 및 계정 인스턴스 단원을 참조하십시오.
- 사용자를 위한 사용자 친화적 웹 포털 액세스
-
AWS 액세스 포털은 사용자가 모든 할당된 애플리케이션이나 AWS 계정, 또는 둘 모두에 끊김없이 액세스할 수 있는 사용자 친화적 웹 포털입니다.
IAM Identity Center 이름 변경
2022년 7월 26일, AWS Single Sign-On의 이름이 AWS IAM Identity Center로 변경되었습니다.
기존 네임스페이스는 동일하게 유지
sso
및 identitystore
API 네임스페이스와 다음 관련 네임스페이스는 이전 버전과의 호환성을 위해 변경되지 않은 상태로 유지됩니다.
-
CLI 명령
-
AWSSSO
및AWSIdentitySync
접두사를 포함하는 관리형 정책 -
sso
및identitystore
를 포함하는 서비스 엔드포인트 -
AWS::SSO
접두사를 포함하는 AWS CloudFormation리소스 -
AWSServiceRoleForSSO
를 포함하는 서비스 연결 역할 -
sso
및singlesignon
를 포함하는 콘솔 URL -
singlesignon
를 포함하는 설명서 URL