사용자 자격 증명 신뢰 공급자

AWS IAM Identity Center 또는 OpenID Connect와 호환되는 사용자 자격 증명 신뢰 공급자 중 하나를 사용하도록 선택할 수 있습니다.

신뢰 공급자로 IAM Identity Center 사용

AWS Verified Access를 통해 사용자 자격 증명 신뢰 공급자로 AWS IAM Identity Center을(를) 사용할 수 있습니다.

필수 조건 및 고려 사항

• IAM Identity Center 인스턴스는 AWS Organizations 인스턴스여야 합니다. 독립형 AWS 계정 IAM Identity Center 인스턴스는 작동하지 않습니다.

• Verified Access 신뢰 공급자를 생성하려는 AWS 리전과 동일한 지역에서 IAM Identity Center 인스턴스를 활성화해야 합니다.

다양한 인스턴스 유형에 대한 자세한 내용은 AWS IAM Identity Center 사용 설명서에서 IAM Identity Center의 조직 및 계정 인스턴스 관리를 참조하세요.

IAM Identity Center 신뢰 공급자 생성

AWS 계정에서 IAM Identity Center를 활성화한 후 다음 절차에 따라 IAM Identity Center를 Verified Access에 대한 신뢰 공급자로 설정할 수 있습니다.

IAM Identity Center 신뢰 공급자를 생성하려면(AWS 콘솔)

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

2. 탐색 창에서 Verified Access 신뢰 공급자를 선택한 다음 Verified Access 신뢰 공급자 생성을 선택합니다.

3. (선택 사항) 이름 태그 및 설명에 신뢰 공급자의 이름과 설명을 입력합니다.

4. 정책 참조 이름에 나중에 정책 규칙 작업 시 사용할 식별자를 입력합니다.

5. 신뢰 공급자 유형에서 사용자 신뢰 공급자를 선택합니다.

6. 사용자 신뢰 공급자 유형에서 IAM Identity Center를 선택합니다.

7. (선택 사항) 태그를 추가하려면 새 태그 추가를 선택하고 태그 키와 태그 값을 입력합니다.

8. Verified Access 신뢰 공급자 생성을 선택합니다.

IAM Identity Center 신뢰 공급자를 생성하려면(AWS CLI)

• create-verified-access-trust-provider (AWS CLI)

IAM Identity Center 신뢰 공급자 삭제

신뢰 공급자를 삭제하기 전에 먼저 신뢰 공급자가 연결된 인스턴스에서 모든 엔드포인트 및 그룹 구성을 제거해야 합니다.

IAM Identity Center 신뢰 공급자를 삭제하려면(AWS 콘솔)

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

2. 탐색 창에서 Verified Access 신뢰 공급자를 선택한 다음 Verified Access 신뢰 공급자에서 삭제하려는 신뢰 공급자를 선택합니다.

3. 작업을 선택한 다음 Verified Access 신뢰 공급자 삭제를 선택합니다.

4. 텍스트 상자에 delete을(를) 입력하여 삭제를 확인합니다.

5. Delete을 선택합니다.

IAM Identity Center 신뢰 공급자를 삭제하려면(AWS CLI)

• delete-verified-access-trust-provider (AWS CLI)

OpenID Connect 신뢰 공급자 사용

AWS Verified Access는 표준 OpenID Connect(OIDC) 방법을 사용하는 자격 증명 공급자를 지원합니다. OIDC 호환 공급자를 Verified Access를 통한 사용자 자격 증명 신뢰 공급자로 사용할 수 있습니다. 그러나 잠재적 OIDC 공급자가 다양하기 때문에 AWS이(가) Verified Access와의 각 OIDC 통합을 테스트할 수는 없습니다.

Verified Access는 OIDC 공급자의 UserInfo Endpoint(가) 평가하는 신뢰 데이터를 얻습니다. Scope 파라미터는 검색할 신뢰 데이터 집합을 결정하는 데 사용됩니다. 신뢰 데이터를 수신한 후에는 이를 기준으로 Verified Access 정책이 평가됩니다.

참고

Verified Access는 Verified Access 정책을 평가할 때 OIDC 공급자가 보낸 ID token의 신뢰 데이터를 사용하지 않습니다. UserInfo Endpoint의 신뢰 데이터만 정책에 따라 평가됩니다.

내용

• OIDC 신뢰 공급자를 생성하기 위한 사전 조건
• OIDC 신뢰 공급자 생성
• OIDC 신뢰 공급자 수정
• OIDC 신뢰 공급자 삭제

OIDC 신뢰 공급자를 생성하기 위한 사전 조건

신뢰 공급자 서비스에서 직접 다음 정보를 수집해야 합니다.

• Issuer

• 권한 부여 엔드포인트

• Token 엔드포인트

• UserInfo 엔드포인트

• 클라이언트 ID

• 클라이언트 암호

• 범위

OIDC 신뢰 공급자 생성

다음 절차에 따라 OIDC를 신뢰 공급자로 생성하세요.

OIDC 신뢰 공급자를 생성하려면(AWS 콘솔)

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

2. 탐색 창에서 Verified Access 신뢰 공급자를 선택한 다음 Verified Access 신뢰 공급자 생성을 선택합니다.

3. (선택 사항) 이름 태그 및 설명에 신뢰 공급자의 이름과 설명을 입력합니다.

4. 정책 참조 이름에 나중에 정책 규칙 작업 시 사용할 식별자를 입력합니다.

5. 신뢰 공급자 유형에서 사용자 신뢰 공급자를 선택합니다.

6. 사용자 신뢰 공급자 유형에서 OIDC(OpenID Connect)를 선택합니다.

7. 발급자에 OIDC 발급자의 식별자를 입력합니다.

8. 권한 부여 엔드포인트에 권한 부여 엔드포인트의 전체 URL을 입력합니다.

9. 토큰 엔드포인트에 토큰 엔드포인트의 전체 URL을 입력합니다.

10. 사용자 엔드포인트에 사용자 엔드포인트의 전체 URL을 입력합니다.

11. 클라이언트 ID에 OAuth 2.0 클라이언트 식별자를 입력합니다.

12. 클라이언트 암호에 OAuth 2.0 클라이언트 암호를 입력합니다.

13. 자격 증명 공급자가 정의한 공백으로 구분된 범위 목록을 입력합니다. 범위에는 최소한 “openid” 범위가 필요합니다.

14. (선택 사항) 태그를 추가하려면 새 태그 추가를 선택하고 태그 키와 태그 값을 입력합니다.

15. Verified Access 신뢰 공급자 생성을 선택합니다.

참고

OIDC 공급자의 허용 목록에 리디렉션 URI를 추가해야 합니다. 이 용도로는 Verified Access 엔드포인트의 ApplicationDomain을(를) 사용하는 것이 좋습니다. 이 정보는 Verified Access 엔드포인트의 세부 정보 탭 아래 AWS Management Console에서 찾거나 AWS CLI을(를) 사용하여 엔드포인트를 설명하여 찾을 수 있습니다. OIDC 공급자의 허용 목록에 다음을 추가하세요. https://ApplicationDomain/oauth2/idpresponse

OIDC 신뢰 공급자를 생성하려면(AWS CLI)

• create-verified-access-trust-provider (AWS CLI)

OIDC 신뢰 공급자 수정

신뢰 공급자 생성 후 해당 구성을 업데이트할 수 있습니다.

OIDC 신뢰 공급자를 수정하려면(AWS 콘솔)

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

2. 탐색 창에서 Verified Access 신뢰 공급자를 선택한 다음 Verified Access 신뢰 공급자에서 수정하려는 신뢰 공급자를 선택합니다.

3. 작업을 선택한 다음 Verified Access 신뢰 공급자 수정을 선택합니다.

4. 변경할 옵션을 수정합니다.

5. Verified Access 신뢰 공급자 수정을 선택합니다.

OIDC 신뢰 공급자를 수정하려면(AWS CLI)

• modify-verified-access-trust-provider (AWS CLI)

OIDC 신뢰 공급자 삭제

사용자 신뢰 공급자를 삭제하기 전에 먼저 신뢰 공급자가 연결된 인스턴스에서 모든 엔드포인트 및 그룹 구성을 제거해야 합니다.

AWS OIDC 신뢰 공급자를 삭제하려면( 콘솔)

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

2. 탐색 창에서 Verified Access 신뢰 공급자를 선택한 다음 Verified Access 신뢰 공급자에서 삭제하려는 신뢰 공급자를 선택합니다.

3. 작업을 선택한 다음 Verified Access 신뢰 공급자 삭제를 선택합니다.

4. 텍스트 상자에 delete을(를) 입력하여 삭제를 확인합니다.

5. Delete을 선택합니다.

OIDC 신뢰 공급자를 삭제하려면(AWS CLI)

• delete-verified-access-trust-provider (AWS CLI)