자습서: Verified Access 시작하기 - AWS 확인된 액세스

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

자습서: Verified Access 시작하기

이 자습서를 사용하여 를 시작합니다 AWS Verified Access. Verified·Access 리소스를 생성하고 구성하는 방법을 알아봅니다.

이 자습서의 일부로 Verified Access에 애플리케이션을 추가합니다. 자습서가 끝나면 특정 사용자가 를 사용하지 않고 인터넷을 통해 해당 애플리케이션에 액세스할 수 있습니다VPN. 대신 를 자격 증명 신뢰 공급자 AWS IAM Identity Center 로 사용합니다. 이 자습서에서는 디바이스 신뢰 공급자도 사용하지 않습니다.

Verified Access 자습서 사전 조건

다음은 이 자습서를 완료하기 위한 사전 조건입니다.

  • AWS IAM Identity Center 작업 AWS 리전 중인 에서 활성화됩니다. 그런 다음 IAM Identity Center를 Verified Access의 신뢰 공급자로 사용할 수 있습니다. 자세한 내용은 AWS IAM Identity Center 사용 설명서 IAM Identity Center 활성화를 참조하세요.

  • 애플리케이션에 대한 액세스를 제어하는 보안 그룹입니다. 의 모든 인바운드 트래픽VPCCIDR과 모든 아웃바운드 트래픽을 허용합니다.

  • Elastic Load Balancing 에서 내부 로드 밸런서 뒤에서 실행되는 애플리케이션입니다. 보안 그룹을 로드 밸런서에 연결합니다.

  • 의 자체 서명 또는 퍼블릭 TLS 인증서입니다 AWS Certificate Manager. 키 길이가 1,024 또는 2,048인 RSA 인증서를 사용합니다.

  • 퍼블릭 호스팅 도메인 및 도메인에 대한 DNS 레코드를 업데이트하는 데 필요한 권한.

  • AWS Verified Access 인스턴스를 생성하는 데 필요한 권한이 있는 IAM 정책입니다. 자세한 내용은 Verified·Access 인스턴스 생성 정책 단원을 참조하십시오.

1단계: Verified Access 신뢰 공급자 생성

다음 절차에 따라 를 신뢰 공급자 AWS IAM Identity Center 로 설정합니다.

IAM Identity Center 신뢰 공급자를 생성하려면
  1. 에서 Amazon VPC 콘솔을 엽니다https://console.aws.amazon.com/vpc/.

  2. 탐색 창에서 Verified·Access 신뢰 공급자를 선택합니다.

  3. Verified·Access 신뢰 공급자 생성을 선택합니다.

  4. (선택 사항) 이름 태그설명에 Verified·Access 신뢰 공급자의 이름과 설명을 입력합니다.

  5. 나중에 정책 참조 이름에 대한 정책 규칙 작업 시 사용할 사용자 지정 식별자를 입력합니다. 예를 들면 idc를 입력할 수 있습니다.

  6. 신뢰 공급자 유형 에서 사용자 신뢰 공급자 를 선택합니다.

  7. 사용자 신뢰 공급자 유형 에서 IAM Identity Center 를 선택합니다.

  8. Verified·Access 신뢰 공급자 생성을 선택합니다.

2단계: Verified Access 인스턴스 생성

다음 절차에 따라 Verified·Access 인스턴스를 생성하십시오.

Verified·Access 인스턴스를 생성하려면
  1. 탐색 창에서 Verified·Access 인스턴스를 선택합니다.

  2. Verified·Access 인스턴스 생성을 선택합니다.

  3. (선택 사항) 이름설명에 Verified·Access 인스턴스의 이름과 설명을 입력합니다.

  4. Verified·Access 신뢰 공급자에서 신뢰 공급자를 선택합니다.

  5. Verified·Access 인스턴스 생성을 선택합니다.

3단계: Verified Access 그룹 생성

Verified·Access 그룹을 생성하려면 다음 절차를 따르십시오.

Verified·Access 그룹을 생성하려면
  1. 탐색 창에서 Verified·Access 그룹을 선택합니다.

  2. Verified·Access 그룹 생성을 선택합니다.

  3. (선택 사항) 이름 태그설명에 그룹의 이름과 설명을 입력합니다.

  4. Verified·Access 인스턴스에서 Verified·Access 인스턴스를 선택합니다.

  5. 정책 정의를 비워 둡니다. 이후 단계에서 그룹 수준 정책을 추가합니다.

  6. Verified·Access 그룹 생성을 선택합니다.

4단계: Verified Access 엔드포인트 생성

다음 절차에 따라 Verified Access 엔드포인트를 생성합니다. 이 단계에서는 애플리케이션이 Elastic Load Balancing의 내부 로드 밸런서와 의 퍼블릭 도메인 인증서 뒤에 실행 중이라고 가정합니다 AWS Certificate Manager.

Verified·Access 엔드포인트를 생성하려면
  1. 탐색 창에서 Verified·Access 엔드포인트를 선택합니다.

  2. Verified·Access 엔드포인트 생성을 선택합니다.

  3. (선택 사항) 이름 태그설명에 엔드포인트의 이름과 설명을 입력합니다.

  4. Verified·Access 그룹에서 Verified·Access 그룹을 선택합니다.

  5. 엔드포인트 세부 정보에서 다음을 수행합니다.

    1. 프로토콜 에서 로드 밸런서의 구성에 HTTP따라 HTTPS 또는 를 선택합니다.

    2. 첨부 파일 유형 에서 을 선택합니다VPC.

    3. 엔드포인트 유형에서 로드 밸런서를 선택합니다.

    4. 포트 에 로드 밸런서 리스너에서 사용하는 포트 번호를 입력합니다. 예를 들어 의 경우 443 HTTPS 또는 의 경우 80입니다HTTP.

    5. 로드 밸런서 ARN에서 로드 밸런서를 선택합니다.

    6. 서브넷에서 로드 밸런서와 연결된 서브넷을 선택합니다.

    7. 보안 그룹 에서 보안 그룹을 선택합니다. 로드 밸런서와 엔드포인트에 동일한 보안 그룹을 사용하면 이들 간의 트래픽이 허용됩니다. 동일한 보안 그룹을 사용하지 않으려면 로드 밸런서에서 엔드포인트 보안 그룹을 참조하여 엔드포인트에서 트래픽을 수락하도록 해야 합니다.

    8. 엔드포인트 도메인 접두사에 사용자 지정 식별자를 입력합니다. 예: my-ava-app. 이 접두사는 Verified Access가 생성하는 DNS 이름 앞에 붙습니다.

  6. 애플리케이션 세부 정보를 보려면 다음을 수행하십시오.

    1. 애플리케이션 도메인 에 애플리케이션의 DNS 이름을 입력합니다. 이 도메인은 도메인 인증서의 도메인과 일치해야 합니다.

    2. 도메인 인증서 ARN에서 도메인 인증서의 Amazon 리소스 이름(ARN)을 선택합니다 AWS Certificate Manager.

  7. 정책 세부 정보를 비워 둡니다. 이후 단계에서 그룹 수준 액세스 정책을 추가합니다.

  8. Verified·Access 엔드포인트 생성을 선택합니다.

5단계: Verified Access 엔드포인트에 DNS 대한 구성

이 단계에서는 애플리케이션의 도메인 이름(예: www.myapp.example.com)을 Verified·Access 엔드포인트의 도메인 이름에 매핑합니다. DNS 매핑을 완료하려면 DNS 공급자와 함께 표준 이름 레코드(CNAME)를 생성합니다. CNAME 레코드를 생성하면 사용자의 모든 요청이 Verified Access로 전송됩니다.

엔드포인트의 도메인 이름을 얻으려면
  1. 탐색 창에서 Verified·Access 엔드포인트를 선택합니다.

  2. 엔드포인트를 선택합니다.

  3. 세부 정보 탭을 선택하십시오.

  4. 엔드포인트 도메인 에서 도메인을 복사합니다. 다음은 엔드포인트 도메인 이름의 예입니다my-ava-app.edge-1a2b3c4d5e6f7g.vai-1a2b3c4d5e6f7g.prod.verified-access.us-west-2.amazonaws.com.

DNS 공급자가 제공한 지침에 따라 CNAME 레코드를 생성합니다. 애플리케이션의 도메인 이름을 레코드 이름으로 사용하고 Verified Access 엔드포인트의 도메인 이름을 레코드 값으로 사용합니다.

6단계: 애플리케이션에 대한 연결 테스트

이제 애플리케이션 연결을 테스트할 수 있습니다. 웹 브라우저에 애플리케이션의 도메인 이름을 입력합니다. Verified Access의 기본 동작은 모든 요청을 거부하는 것입니다. 그룹 또는 엔드포인트에 Verified Access 정책을 추가하지 않았으므로 모든 요청이 거부됩니다.

7단계: Verified Access 그룹 수준 액세스 정책 추가

다음 절차에 따라 Verified·Access 그룹을 수정하고 애플리케이션에 대한 연결을 허용하는 액세스 정책을 구성합니다. 정책의 세부 정보는 IAM Identity Center에 구성된 사용자 및 그룹에 따라 달라집니다. 자세한 내용은 Verified·Access 정책을 참조하세요.

Verified·Access 그룹을 수정하려면
  1. 탐색 창에서 Verified·Access 그룹을 선택합니다.

  2. 그룹을 선택합니다.

  3. 작업, Verified·Access 그룹 정책 수정을 선택합니다.

  4. 정책 활성화를 켭니다.

  5. IAM Identity Center의 사용자가 애플리케이션에 액세스할 수 있도록 허용하는 정책을 입력합니다. 예시는 Verified Access 예제 정책 섹션을 참조하세요.

  6. Verified·Access 그룹 정책 수정을 선택합니다.

  7. 이제 그룹 정책이 적용되었으므로 이전 단계의 테스트를 반복하여 요청이 허용되는지 확인합니다. 요청이 허용되는 경우 IAM Identity Center 로그인 페이지를 통해 로그인하라는 메시지가 표시됩니다. 사용자 이름과 암호를 입력한 후 애플리케이션에 액세스할 수 있습니다.

Verified Access 리소스 정리

이 자습서를 완료한 후 다음 절차에 따라 Verified Access 리소스를 삭제합니다.

Verified Access 리소스를 삭제하려면
  1. 탐색 창에서 Verified·Access 엔드포인트를 선택합니다. 엔드포인트를 선택하고 작업 , Verified Access 엔드포인트 삭제 를 선택합니다.

  2. 탐색 창에서 Verified·Access 그룹을 선택합니다. 그룹을 선택하고 작업 , Verified Access 그룹 삭제 를 선택합니다. 엔드포인트 삭제 프로세스가 완료될 때까지 기다려야 할 수 있습니다.

  3. 탐색 창에서 Verified·Access 인스턴스를 선택합니다. 인스턴스를 선택하고 작업 , Verified Access 신뢰 공급자 분리 를 선택합니다. 신뢰 공급자를 선택하고 Verified Access 신뢰 공급자 분리를 선택합니다.

  4. 탐색 창에서 Verified·Access 신뢰 공급자를 선택합니다. 신뢰 공급자를 선택하고 작업 , Verified Access 신뢰 공급자 삭제 를 선택합니다.

  5. 탐색 창에서 Verified·Access 인스턴스를 선택합니다. 인스턴스를 선택하고 작업 , Verified Access 인스턴스 삭제 를 선택합니다.