자습서: 확인된 액세스 시작하기 - AWS 검증된 액세스

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

자습서: 확인된 액세스 시작하기

이 자습서를 사용하여 AWS 확인된 액세스를 시작하세요. 확인된 액세스 리소스를 생성하고 구성하는 방법을 알아봅니다.

이 애플리케이션을 확인된 액세스에 추가하기 전에는 프라이빗 네트워크를 통해서만 애플리케이션에 액세스할 수 있었습니다. 이 자습서를 마치면 특정 사용자가 VPN을 사용하지 않고도 인터넷을 통해 동일한 애플리케이션에 액세스할 수 있습니다.

참고

이 예에서는 디바이스 기반 신뢰 공급자와의 통합을 보여주지 않습니다. 이 예에서는 자격 증명 기반 신뢰 공급자만을 대상으로 합니다.

사전 조건

이 자습서의 사전 요구 사항은 다음과 같습니다.

  • 확인된 액세스를 사용하는 이 예를 설명하기 위해 AWS 계정 두 가지를 사용하겠습니다. 한 계정에서는 대상 애플리케이션을 호스팅하고 다른 계정에는 확인된 액세스 리소스가 생성됩니다.

  • 작업 중인 AWS 리전에서 AWS IAM Identity Center을(를) 활성화하세요. 그러면 확인된 액세스를 통한 신뢰 공급자로 IAM Identity Center를 사용할 수 있습니다. 자세한 내용은 AWS IAM Identity Center 사용 설명서IAM Identity Center 활성화를 참조하세요.

  • 퍼블릭 호스팅 도메인 및 도메인의 DNS 레코드를 업데이트하는 데 필요한 권한

  • AWS 계정의 내부 로드 밸런서 뒤에서 실행되는 애플리케이션입니다. 사용할 예제 애플리케이션 도메인 이름은 www.myapp.example.com입니다.

  • 여기 확인된 액세스 인스턴스 생성 정책에 명시된 AWS 확인된 액세스 인스턴스를 생성하는 데 필요한 모든 권한이 IAM 정책에 있는지 확인하세요.

1단계: 확인된 액세스 인스턴스 생성

다음 절차에 따라 확인된 액세스 인스턴스를 생성합니다.

확인된 액세스 인스턴스를 생성하려면
  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 여세요.

  2. Amazon VPC 탐색 창에서 확인된 액세스 인스턴스를 선택한 다음 확인된 액세스 인스턴스 생성을 선택합니다.

  3. (선택 사항) 이름설명에 확인된 액세스 인스턴스의 이름과 설명을 입력합니다.

  4. 신뢰 공급자의 경우 기본 옵션을 유지하세요.

  5. (선택 사항) 태그를 추가하려면 새 태그 추가를 선택하고 태그 키와 태그 값을 입력합니다.

  6. 확인된 액세스 인스턴스 생성을 선택합니다.

2단계: 신뢰 공급자 구성

AWS IAM Identity Center을(를) 신뢰 공급자로 설정할 수 있습니다.

IAM Identity Center 신뢰 공급자를 생성하려면
  1. Amazon VPC 탐색 창에서 확인된 액세스 신뢰 공급자를 선택한 다음 확인된 액세스 신뢰 공급자 생성을 선택합니다.

  2. (선택 사항) 이름 태그설명에 확인된 액세스 신뢰 공급자의 이름과 설명을 입력합니다.

  3. 나중에 정책 참조 이름에 대한 정책 규칙 작업 시 사용할 사용자 지정 식별자를 입력합니다. 예를 들면 idc을(를) 입력할 수 있습니다.

  4. 신뢰 공급자 유형에서 사용자 신뢰 공급자를 선택합니다.

  5. 사용자 신뢰 공급자 유형에서 IAM Identity Center를 선택합니다.

  6. (선택 사항) 태그를 추가하려면 새 태그 추가를 선택하고 태그 키와 태그 값을 입력합니다.

  7. 확인된 액세스 신뢰 공급자 생성을 선택합니다.

3단계: 인스턴스에 신뢰 공급자 연결

다음 절차에 따라 확인된 액세스 인스턴스에 신뢰 공급자를 연결합니다.

인스턴스에 신뢰 공급자를 연결하려면
  1. Amazon VPC 탐색 창에서 확인된 액세스 인스턴스를 선택합니다.

  2. 인스턴스를 선택합니다.

  3. 작업, 확인된 액세스 신뢰 공급자 연결을 선택합니다.

  4. 확인된 액세스 신뢰 공급자에서 신뢰 공급자를 선택합니다.

  5. 확인된 액세스 신뢰 공급자 연결을 선택합니다.

4단계: 확인된 액세스 그룹 생성

다음 단계에서 생성할 엔드포인트에 사용할 수 있는 그룹을 만들어 보겠습니다.

확인된 액세스 그룹을 생성하려면
  1. Amazon VPC 탐색 창에서 확인된 액세스 그룹을 선택한 다음 확인된 액세스 그룹 생성을 선택합니다.

  2. (선택 사항) 이름 태그설명에 그룹의 이름과 설명을 입력합니다.

  3. 확인된 액세스 인스턴스에서 확인된 액세스 인스턴스를 선택합니다.

  4. 정책 정의의 경우 이 필드를 비워 둡니다. 이 자습서의 후반에서 정책을 생성합니다.

  5. (선택 사항) 태그를 추가하려면 새 태그 추가를 선택하고 태그 키와 태그 값을 입력합니다.

  6. 확인된 액세스 그룹 생성을 선택합니다.

5단계: AWS Resource Access Manager을(를) 통해 확인된 액세스 그룹 공유

이 단계에서는 방금 생성한 그룹을 대상 애플리케이션이 실행 중인 AWS 계정과(와) 공유합니다. 확인된 액세스 그룹을 공유하려면 리소스 공유에 추가해야 합니다. 리소스 공유가 없는 경우 먼저 리소스 공유를 생성해야 합니다.

AWS Organizations의 조직에 속해 있고 조직 내의 공유가 활성화되어 있으면 조직의 소비자는 공유된 확인된 액세스 그룹에 대한 액세스 권한이 자동으로 부여됩니다. 그렇지 않으면 소비자는 리소스 공유에 가입하라는 초대장을 받고 초대를 수락한 후 공유된 확인된 액세스 그룹에 대한 액세스 권한이 부여됩니다.

AWS RAM 사용 설명서리소스 공유 생성 단계를 따릅니다. 리소스 유형 선택에서 확인된 액세스 그룹을 선택한 다음 확인된 액세스 그룹의 확인란을 선택합니다.

자세한 내용은 AWS RAM 사용 설명서에서 시작하기를 참조하세요.

6단계: 엔드포인트를 생성하여 애플리케이션 추가

다음 절차에 따라 엔드포인트를 생성합니다. 이 단계에서는 Elastic Load Balancing의 내부 로드 밸런서 뒤에서 실행되는 애플리케이션이 있다고 가정합니다.

확인된 액세스 엔드포인트를 생성하려면
  1. Amazon VPC 탐색 창에서 확인된 액세스 엔드포인트를 선택한 다음 확인된 액세스 엔드포인트 생성을 선택합니다.

  2. (선택 사항) 이름 태그설명에 엔드포인트의 이름과 설명을 입력합니다.

  3. 확인된 액세스 그룹에서 확인된 액세스 그룹을 선택합니다.

  4. 애플리케이션 세부 정보를 보려면 다음을 수행합니다.

    1. 애플리케이션 도메인에 애플리케이션의 DNS 이름을 입력합니다.

    2. 도메인 인증서 ARN에서 공용 TLS 인증서의 Amazon 리소스 이름(ARN)을 선택합니다.

  5. 엔드포인트 세부 정보에서 다음을 수행합니다.

    1. 연결 유형(Attachment type)에서 VPC를 선택합니다.

    2. 보안 그룹에서 엔드포인트와 연결할 보안 그룹을 선택합니다.

    3. 엔드포인트 도메인 접두사에 사용자 지정 식별자를 입력합니다. 이는 확인된 액세스가 생성하는 DNS 이름 앞에 추가됩니다. 이 예에서는 my-ava-app을 사용할 수 있습니다.

    4. 엔드포인트 유형에서 로드 밸런서를 선택합니다.

    5. 프로토콜에서 HTTPS 또는 HTTP를 선택합니다. 이는 로드 밸런서의 구성에 따라 달라집니다.

    6. 포트에 포트 번호를 입력합니다. 이는 로드 밸런서의 구성에 따라 달라집니다.

    7. 로드 밸런서 ARN에서 로드 밸런서를 선택합니다.

    8. 서브넷에서 로드 밸런서와 연결된 서브넷을 선택합니다.

  6. 정책 정의에는 지금은 정책을 입력하지 마세요. 나중에 이 자습서에서 이를 다룰 것입니다.

  7. (선택 사항) 태그를 추가하려면 새 태그 추가를 선택하고 태그 키와 태그 값을 입력합니다.

  8. 확인된 액세스 엔드포인트 생성을 선택합니다.

7단계: DNS 설정 구성

이 단계에서는 애플리케이션의 도메인 이름(예: www.myapp.example.com)을 확인된 액세스 엔드포인트의 도메인 이름에 매핑합니다. DNS 매핑을 완료하려면 DNS 공급자를 통해 Canonical Name Record(CNAME)를 생성합니다. CNAME 레코드를 생성하면 사용자가 애플리케이션에 보내는 모든 요청이 확인된 액세스로 전송됩니다.

엔드포인트의 도메인 이름을 얻으려면
  1. Amazon VPC 탐색 창에서 확인된 액세스 엔드포인트를 선택합니다.

  2. 이전에 생성한 엔드포인트를 선택합니다.

  3. 엔드포인트의 세부 정보 탭을 선택합니다.

  4. 엔드포인트 도메인에서 엔드포인트 도메인을 복사합니다.

이 자습서의 엔드포인트 도메인 이름은 my-ava-app.edge-1a2b3c4d5e6f7g.vai-1a2b3c4d5e6f7g.prod.verified-access.us-west-2.amazonaws.com입니다.

DNS 공급자를 통한 CNAME 레코드 생성:

레코드 이름 유형

www.myapp.example.com

CNAME

my-ava-app.edge-1a2b3c4d5e6f7g.vai-1a2b3c4d5e6f7g.prod. verified-access.us-west-2.amazonaws.com

8단계: 애플리케이션에 대한 연결 테스트

이제 애플리케이션 연결을 테스트할 수 있습니다. 웹 브라우저에 애플리케이션의 도메인 이름을 입력합니다. 확인된 액세스 정책의 기본 동작은 모든 요청을 거부하는 것입니다. 누구나 액세스할 수 있는 정책을 아직 마련하지 않았으므로 모든 요청을 거부해야 합니다.

9단계: 그룹 수준 액세스 정책 구성

다음 절차에 따라 확인된 액세스 그룹을 수정하고 애플리케이션에 대한 연결을 허용하는 액세스 정책을 구성합니다. 정책의 세부 사항은 IAM Identity Center에 구성된 사용자 및 그룹에 따라 달라집니다. 정책 생성에 대한 자세한 내용은 Verified Access 정책 섹션을 참조하세요.

확인된 액세스 그룹을 수정하려면
  1. Amazon VPC 탐색 창에서 확인된 액세스 그룹을 선택합니다.

  2. 그룹을 선택합니다.

  3. 작업, 확인된 액세스 그룹 정책 수정을 선택합니다.

  4. 정책을 입력합니다.

  5. 확인된 액세스 그룹 정책 수정을 선택합니다.

10단계: 연결 재테스트

이제 그룹 정책이 적용되었으므로 애플리케이션에 액세스할 수 있습니다. 웹 브라우저에 애플리케이션의 도메인 이름을 입력합니다. 요청이 허용되어야 하며 애플리케이션으로 리디렉션되어야 합니다.

정리

테스트를 마친 후 아래 단계에 따라 생성된 리소스를 삭제합니다.

이 자습서에서 생성한 확인된 액세스 리소스를 삭제하려면
  1. Amazon VPC 탐색 창에서 확인된 액세스 엔드포인트를 선택합니다. 제거할 엔드포인트를 선택합니다. 작업, 확인된 액세스 엔드포인트 삭제를 선택합니다.

  2. 탐색 창에서 확인된 액세스 그룹을 선택합니다. 제거할 그룹을 선택합니다. 작업, 확인된 액세스 그룹 삭제를 선택합니다. 참고 – 엔드포인트 삭제 프로세스가 완료될 때까지 몇 분 정도 기다려야 할 수 있습니다.

  3. Amazon VPC 탐색 창에서 확인된 액세스 인스턴스를 선택합니다. 이 자습서용으로 생성한 인스턴스를 선택합니다. 작업, 확인된 액세스 신뢰 공급자 분리를 선택합니다. 드롭다운 목록에서 신뢰 공급자를 선택하고 확인된 액세스 신뢰 공급자 분리를 선택합니다.

  4. Amazon VPC 탐색 창에서 확인된 액세스 신뢰 공급자를 선택합니다. 이 자습서용으로 생성한 신뢰 공급자를 선택합니다. 작업, 확인된 액세스 신뢰 공급자 삭제를 선택합니다.

  5. Amazon VPC 탐색 창에서 확인된 액세스 인스턴스를 선택합니다. 이 자습서용으로 생성한 인스턴스를 선택합니다. 작업, 확인된 액세스 인스턴스 삭제를 선택합니다.