자습서: 검증된 액세스 시작하기

이 튜토리얼을 사용하여 시작해 보세요. AWS Verified Access. 검증된 액세스 리소스를 만들고 구성하는 방법을 배울 수 있습니다.

이 자습서에서는 검증된 액세스에 애플리케이션을 추가해 보겠습니다. 자습서가 끝나면 특정 사용자는 사용하지 않고도 인터넷을 통해 해당 응용 프로그램에 액세스할 수 VPN 있습니다.

참고

이 자습서에서는 장치 기반 신뢰 공급자와의 통합을 설명하지 않습니다. 대신 당사는 ID 기반 신뢰 공급자와만 협력합니다.

Verified Access 튜토리얼 사전 요구 사항

이 자습서를 완료하기 위한 사전 요구 사항은 다음과 같습니다.

• 두 가지 사용 가능 여부 AWS 계정. 한 계정은 대상 애플리케이션을 호스팅하고 다른 계정에는 Verified Access 리소스가 생성됩니다.

• AWS IAM Identity Center 에서 활성화되었습니다. AWS 리전 당신이 일하고 있는 곳이죠. 그러면 IAM Identity Center를 검증된 액세스 권한이 있는 신뢰할 수 있는 공급자로 사용할 수 있습니다. 자세한 내용은 IAMIdentity Center 활성화를 참조하십시오. AWS IAM Identity Center 사용 설명서.

• 퍼블릭 호스팅 도메인 및 해당 도메인의 DNS 레코드를 업데이트하는 데 필요한 권한.

• 내부 로드 밸런서 뒤에서 실행되는 애플리케이션 AWS 계정. 사용할 예제 애플리케이션 도메인 이름은 다음과 같습니다www.myapp.example.com.

• 자체 서명된 인증서 또는 공개 TLS 인증서. 키 길이가 1,024 또는 2,048인 RSA 인증서를 사용하십시오.

• 인증서를 생성하는 데 필요한 모든 권한을 포함하는 IAM 정책 AWS Verified Access 인스턴스가 여기에 기록되어 Verified·Access 인스턴스 생성 정책 있습니다.

1단계: Verified·Access 인스턴스 생성

다음 절차에 따라 Verified·Access 인스턴스를 생성하십시오.

Verified·Access 인스턴스를 생성하려면

1. 에서 Amazon VPC 콘솔을 엽니다 https://console.aws.amazon.com/vpc/.

2. Amazon VPC 탐색 창에서 검증된 액세스 인스턴스를 선택한 다음 검증된 액세스 인스턴스 생성을 선택합니다.

3. (선택 사항) 이름 및 설명에 Verified·Access 인스턴스의 이름과 설명을 입력합니다.

4. 신뢰 공급자의 경우 기본 옵션을 유지하십시오.

5. (선택 사항) 태그를 추가하려면 새 태그 추가를 선택하고 태그 키와 태그 값을 입력합니다.

6. Verified·Access 인스턴스 생성을 선택합니다.

2단계: 검증된 액세스 신뢰 제공자 구성

설정할 수 있습니다. AWS IAM Identity Center 신뢰 제공자로 사용하세요.

IAMID 센터 신뢰 공급자를 만들려면

1. Amazon VPC 탐색 창에서 검증된 액세스 신뢰 공급자를 선택한 다음 검증된 액세스 신뢰 제공자 생성을 선택합니다.

2. (선택 사항) 이름 태그 및 설명에 Verified·Access 신뢰 공급자의 이름과 설명을 입력합니다.

3. 나중에 정책 참조 이름에 대한 정책 규칙 작업 시 사용할 사용자 지정 식별자를 입력합니다. 예를 들면 idc를 입력할 수 있습니다.

4. 신뢰 공급자 유형에서 사용자 신뢰 공급자를 선택합니다.

5. 사용자 신뢰 제공자 유형에서 IAM ID 센터를 선택합니다.

6. (선택 사항) 태그를 추가하려면 새 태그 추가를 선택하고 태그 키와 태그 값을 입력합니다.

7. Verified·Access 신뢰 공급자 생성을 선택합니다.

3단계: 신뢰할 수 있는 공급자를 검증된 액세스 인스턴스에 연결

이제 신뢰 공급자를 구성했으니 이전에 만든 Verified Access 인스턴스에 연결할 수 있습니다. 다음 절차에 따라 Verified·Access 인스턴스에 신뢰 공급자를 연결합니다.

인스턴스에 신뢰 공급자를 연결하려면

1. Amazon VPC 탐색 창에서 검증된 액세스 인스턴스를 선택합니다.

2. 인스턴스를 선택합니다.

3. 작업, Verified·Access 신뢰 공급자 연결을 선택합니다.

4. Verified·Access 신뢰 공급자에서 신뢰 공급자를 선택합니다.

5. Verified·Access 신뢰 공급자 연결을 선택합니다.

4단계: 검증된 액세스 그룹 생성

이 단계에서는 5단계에서 엔드포인트로 사용할 그룹을 생성합니다.

Verified·Access 그룹을 생성하려면

1. Amazon VPC 탐색 창에서 검증된 액세스 그룹을 선택한 다음 검증된 액세스 그룹 생성을 선택합니다.

2. (선택 사항) 이름 태그 및 설명에 그룹의 이름과 설명을 입력합니다.

3. Verified·Access 인스턴스에서 Verified·Access 인스턴스를 선택합니다.

4. 정책 정의의 경우 이 필드를 비워 둡니다. 이 자습서의 후반에서 정책을 생성합니다.

5. (선택 사항) 태그를 추가하려면 새 태그 추가를 선택하고 태그 키와 태그 값을 입력합니다.

6. Verified·Access 그룹 생성을 선택합니다.

5단계: 다음을 통해 검증된 액세스 그룹을 공유하십시오. AWS Resource Access Manager

이 단계에서는 방금 만든 그룹을 다른 사용자와 공유합니다. AWS 계정 대상 애플리케이션이 실행되고 있는 위치. Verified·Access 그룹을 공유하려면 리소스 공유에 추가해야 합니다. 리소스 공유가 없는 경우 먼저 리소스 공유를 생성해야 합니다.

다음과 같은 조직의 일원인 경우 AWS Organizations조직 내 공유가 활성화되면 조직의 소비자에게 공유된 Verified Access 그룹에 대한 액세스 권한이 자동으로 부여됩니다. 그렇지 않으면 소비자는 리소스 공유에 가입하라는 초대장을 받고 초대를 수락한 후 공유된 Verified·Access 그룹에 대한 액세스 권한이 부여됩니다.

의 리소스 공유 생성의 단계를 따르세요. AWS RAM 사용 설명서. 리소스 유형 선택에서 Verified·Access 그룹을 선택한 다음 Verified·Access 그룹의 확인란을 선택합니다.

자세한 내용은 에서 시작하기를 참조하십시오. AWS RAM 사용 설명서.

6단계: 검증된 액세스 엔드포인트를 생성하여 애플리케이션을 추가합니다.

다음 절차를 사용하여 검증된 액세스 엔드포인트를 생성합니다. 이 단계에서는 Elastic Load Balancing의 내부 로드 밸런서 뒤에서 실행되는 애플리케이션이 있다고 가정합니다.

Verified·Access 엔드포인트를 생성하려면

1. Amazon VPC 탐색 창에서 검증된 액세스 엔드포인트를 선택한 다음 검증된 액세스 엔드포인트 생성을 선택합니다.

2. (선택 사항) 이름 태그 및 설명에 엔드포인트의 이름과 설명을 입력합니다.

3. Verified·Access 그룹에서 Verified·Access 그룹을 선택합니다.

4. 애플리케이션 세부 정보를 보려면 다음을 수행합니다.

   1. 애플리케이션 도메인의 경우 애플리케이션 DNS 이름을 입력합니다.

   2. 도메인 인증서에서 ARN 공개 TLS 인증서의 Amazon 리소스 이름 (ARN) 을 선택합니다.

5. 엔드포인트 세부 정보에서 다음을 수행합니다.

   1. 첨부 유형에서 선택합니다 VPC.

   2. 보안 그룹에서 엔드포인트와 연결할 보안 그룹을 선택합니다.

   3. 엔드포인트 도메인 접두사에 사용자 지정 식별자를 입력합니다. 이 이름은 Verified Access에서 DNS 생성한 이름 앞에 추가됩니다. 이 예에서는 my-ava-app을 사용할 수 있습니다.

   4. 엔드포인트 유형에서 로드 밸런서를 선택합니다.

   5. 프로토콜의 경우 또는 를 선택합니다 HTTPS. HTTP 이는 로드 밸런서의 구성에 따라 달라집니다.

   6. 포트에 포트 번호를 입력합니다. 이는 로드 밸런서의 구성에 따라 달라집니다.

   7. 로드 밸런서에서 로드 ARN 밸런서를 선택합니다.

   8. 서브넷에서 로드 밸런서와 연결된 서브넷을 선택합니다.

6. 정책 정의에는 지금은 정책을 입력하지 마십시오. 나중에 이 자습서에서 이를 다룰 것입니다.

7. (선택 사항) 태그를 추가하려면 새 태그 추가를 선택하고 태그 키와 태그 값을 입력합니다.

8. Verified·Access 엔드포인트 생성을 선택합니다.

7단계: 검증된 액세스 DNS 엔드포인트에 대한 설정 구성

이 단계에서는 애플리케이션의 도메인 이름(예: www.myapp.example.com)을 Verified·Access 엔드포인트의 도메인 이름에 매핑합니다. DNS매핑을 완료하려면 공급자와 함께 표준 이름 레코드 (CNAME) 를 생성하십시오. DNS CNAME레코드를 생성하면 사용자가 애플리케이션에 보내는 모든 요청이 Verified Access로 전송됩니다.

엔드포인트의 도메인 이름을 얻으려면

1. Amazon VPC 탐색 창에서 검증된 액세스 엔드포인트를 선택합니다.

2. 이전에 생성한 엔드포인트를 선택합니다.

3. 엔드포인트의 세부 정보 탭을 선택합니다.

4. 엔드포인트 도메인에서 엔드포인트 도메인을 복사합니다.

이 자습서의 엔드포인트 도메인 이름은 my-ava-app.edge-1a2b3c4d5e6f7g.vai-1a2b3c4d5e6f7g.prod.verified-access.us-west-2.amazonaws.com입니다.

DNS공급자와 함께 CNAME 레코드 생성:

레코드 이름	유형	값
www.myapp.example.com	CNAME	my-ava-app.edge-1a2b3c4d5e6f7g.vai-1a2b3c4d5e6f7g.prod. verified-access.us-west-2.amazonaws.com

8단계: 검증된 액세스에 추가한 애플리케이션에 대한 연결 테스트

이제 애플리케이션 연결을 테스트할 수 있습니다. 웹 브라우저에 애플리케이션의 도메인 이름을 입력합니다. Verified·Access 정책의 기본 동작은 모든 요청을 거부하는 것입니다. 누구나 액세스할 수 있는 정책을 아직 마련하지 않았으므로 모든 요청을 거부해야 합니다.

9단계: 검증된 액세스 그룹 수준 액세스 정책 구성

다음 절차에 따라 Verified·Access 그룹을 수정하고 애플리케이션에 대한 연결을 허용하는 액세스 정책을 구성합니다. 정책의 세부 사항은 IAM Identity Center에 구성된 사용자 및 그룹에 따라 달라집니다. 정책 생성에 대한 자세한 내용은 Verified·Access 정책 섹션을 참조하십시오.

Verified·Access 그룹을 수정하려면

1. Amazon VPC 탐색 창에서 검증된 액세스 그룹을 선택합니다.

2. 그룹을 선택합니다.

3. 작업, Verified·Access 그룹 정책 수정을 선택합니다.

4. 정책을 입력합니다.

5. Verified·Access 그룹 정책 수정을 선택합니다.

10단계: 검증된 액세스에 추가한 애플리케이션에 대한 연결을 다시 테스트합니다.

이제 그룹 정책이 적용되었으므로 애플리케이션에 액세스할 수 있습니다. 웹 브라우저에 애플리케이션의 도메인 이름을 입력합니다. 요청이 허용되어야 하며 애플리케이션으로 리디렉션되어야 합니다.

생성한 Verified Access 리소스를 정리하세요.

테스트를 마친 후 아래 단계에 따라 생성된 리소스를 삭제합니다.

이 자습서에서 생성한 Verified·Access 리소스를 삭제하려면

1. Amazon VPC 탐색 창에서 검증된 액세스 엔드포인트를 선택합니다. 제거할 엔드포인트를 선택합니다. 작업, Verified·Access 엔드포인트 삭제를 선택합니다.

2. 탐색 창에서 Verified·Access 그룹을 선택합니다. 제거할 그룹을 선택합니다. 작업, Verified·Access 그룹 삭제를 선택합니다. 참고 – 엔드포인트 삭제 프로세스가 완료될 때까지 몇 분 정도 기다려야 할 수 있습니다.

3. Amazon VPC 탐색 창에서 검증된 액세스 인스턴스를 선택합니다. 이 자습서용으로 생성한 인스턴스를 선택합니다. 작업, Verified·Access 신뢰 공급자 분리를 선택합니다. 드롭다운 목록에서 신뢰 공급자를 선택하고 Verified·Access 신뢰 공급자 분리를 선택합니다.

4. Amazon VPC 탐색 창에서 검증된 액세스 신뢰 공급자를 선택합니다. 이 자습서용으로 생성한 신뢰 공급자를 선택합니다. 작업, Verified·Access 신뢰 공급자 삭제를 선택합니다.

5. Amazon VPC 탐색 창에서 검증된 액세스 인스턴스를 선택합니다. 이 자습서용으로 생성한 인스턴스를 선택합니다. 작업, Verified·Access 인스턴스 삭제를 선택합니다.