기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
SEC02-BP04 중앙 집중식 자격 증명 공급자 신뢰
직원 ID(직원 및 계약업체)의 경우 중앙 위치에서 ID를 관리할 수 있는 ID 제공업체를 이용하세요. 이렇게 하면 단일 위치에서 액세스를 생성, 관리 및 취소하므로 여러 애플리케이션과 서비스에 대한 액세스를 더 쉽게 관리할 수 있습니다.
원하는 결과: 인력 사용자, 인증 정책(예: 다중 인증 필요(MFA)), 시스템 및 애플리케이션에 대한 권한 부여(예: 사용자의 그룹 멤버십 또는 속성을 기반으로 액세스 할당)를 중앙에서 관리하는 중앙 집중식 자격 증명 공급자가 있습니다. 직원은 중앙 ID 제공업체에 로그인하고 내부 및 외부 애플리케이션에 페더레이션(sSingle Sign On)하므로 사용자가 여러 자격 증명을 기억할 필요가 없습니다. ID 제공업체는 인사(HR) 시스템과 통합되므로 직원 변경 사항이 ID 제공업체와 자동으로 동기화됩니다. 예를 들어 누군가 조직을 떠나면 페더레이션 애플리케이션 및 시스템( 포함)에 대한 액세스를 자동으로 취소할 수 있습니다 AWS. ID 제공업체에서 세부 감사 로깅을 활성화했으며 이러한 로그를 모니터링하여 비정상적인 사용자 동작이 있는지 확인하고 있습니다.
일반적인 안티 패턴:
-
페더레이션 및 Single Sign-On은 사용하지 않습니다. 직원이 여러 애플리케이션과 시스템에서 별도의 사용자 계정과 자격 증명을 생성합니다.
-
ID 제공업체를 HR 시스템에 통합하는 등 직원의 ID 수명 주기를 자동화하지 않습니다. 사용자가 조직을 떠나거나 역할을 변경하면 수동 프로세스에 따라 여러 애플리케이션 및 시스템에서 기록을 삭제하거나 업데이트합니다.
이 모범 사례 확립의 이점: 중앙 집중식 ID 제공업체를 사용하면 직원 ID 및 정책을 한 곳에서 관리하고, 사용자와 그룹에 애플리케이션 액세스 권한을 할당하며, 사용자 로그인 활동을 모니터링할 수 있습니다. 인사(HR) 시스템과 통합하면 사용자가 역할을 변경하면 이러한 변경 내용이 ID 제공업체와 동기화되고 할당된 애플리케이션 및 권한이 자동으로 업데이트됩니다. 사용자가 조직을 떠나면 ID 제공업체에서 해당 ID가 자동으로 비활성화되어 페더레이션된 애플리케이션 및 시스템에 대한 액세스 권한이 취소됩니다.
이 모범 사례가 확립되지 않을 경우 노출되는 위험 수준: 높음
구현 가이드
AWS에 액세스하는 직원을 위한 지침
조직의 직원 및 계약자와 같은 인력 사용자는 AWS Management Console 또는 AWS Command Line Interface (AWS CLI)를 AWS 사용하여 직무를 수행해야 할 수 있습니다. 중앙 집중식 자격 증명 공급자에서 로 페더레이션하여 인력 사용자에게 AWS 액세스 권한을 부여할 수 있습니다 AWS . 바로 페더레이션을 각 로 직접 연결 AWS 계정 하거나 AWS 조직의 여러 계정으로 페더레이션합니다.
-
인력 사용자를 각 와 직접 페더레이션하려면 중앙 집중식 자격 증명 공급자를 사용하여 해당 계정AWS Identity and Access Management
의 에 페더레이션할 AWS 계정수 있습니다. 의 유연성을 IAM 통해 각 에 대해 별도의 SAML 2.0 또는 Open ID Connect(OIDC) Identity Provider를 활성화 AWS 계정 하고 액세스 제어를 위해 페더레이션 사용자 속성을 사용할 수 있습니다. 인력 사용자는 웹 브라우저를 사용하여 자격 증명(예: 암호 및 MFA 토큰 코드)을 제공하여 자격 증명 공급자에 로그인합니다. 자격 증명 공급자는 로그인에 제출된 브라우저에 어SAML설션을 발행 AWS Management Console URL하여 사용자가 AWS Management Console IAM 역할 을 수임하여 에 단일 로그인하도록 허용합니다. 사용자는 자격 증명 공급자의 어SAML설션을 사용하여 IAM 역할을 수임AWS STS하여 AWS CLI 또는 AWS SDKs 에서 사용할 임시 AWS API 자격 증명을 얻을 수도 있습니다. -
AWS 조직의 여러 계정을 가진 인력 사용자를 페더레이션하려면 AWS IAM Identity Center
를 사용하여 AWS 계정 및 애플리케이션에 대한 인력 사용자의 액세스를 중앙에서 관리할 수 있습니다. 조직의 Identity Center를 활성화하고 자격 증명 소스를 구성합니다. IAM Identity Center는 사용자 및 그룹을 관리하는 데 사용할 수 있는 기본 자격 증명 소스 디렉터리를 제공합니다. 또는 2.0을 사용하여 외부 자격 증명 공급자에 연결하고 를 사용하여 사용자 및 그룹을 자동으로 프로비저닝하거나 를 사용하여 Microsoft AD 디렉터리에 연결하여 외부 자격 증명 소스를 선택할 수 있습니다AWS Directory Service . SAML https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-automatically.html SCIM https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html 자격 증명 소스가 구성되면 권한 세트에 최소 권한 정책을 정의 AWS 계정 하여 사용자 및 그룹에 대한 액세스를 에 할당할 수 있습니다. 직원은 중앙 ID 제공업체를 통해 인증하여 AWS 액세스 포털에 로그인하고 할당된 클라우드 애플리케이션 및 AWS 계정 에 Single Sign On으로 로그인할 수 있습니다. 사용자는 Identity Center로 인증하도록 AWS CLI v2를 구성하고 AWS CLI 명령을 실행할 자격 증명을 가져올 수 있습니다. Identity Center는 Amazon SageMaker Studio 및 AWS IoT Sitewise Monitor 포털과 같은 AWS 애플리케이션에 대한 단일 로그인 액세스도 허용합니다.
앞의 지침을 따른 후에는 에서 워크로드를 관리할 때 작업 인력 사용자가 더 이상 일반 작업에 IAM 사용자와 그룹을 사용할 필요가 없습니다 AWS. 대신 사용자와 그룹은 외부에서 관리되며 AWS 사용자는 리소스에 페더레이션 자격 증명 AWS 으로 액세스할 수 있습니다. 페더레이션 ID는 중앙 ID 제공업체가 정의한 그룹을 사용합니다. 에서 더 이상 필요하지 않은 IAM 그룹, IAM 사용자 및 장기 사용자 자격 증명(암호 및 액세스 키)을 식별하고 제거해야 합니다 AWS 계정. 자격 증명 보고서 를 사용하여 미사용 자격 증명을 찾고, 해당 IAM 사용자를 삭제하고, IAM 그룹을 삭제할 수 있습니다. IAM 새 IAM 사용자 및 그룹의 생성을 방지하는 데 도움이 되는 서비스 제어 정책(SCP)을 조직에 적용하여 에 대한 액세스 AWS 가 페더레이션 ID를 통해 이루어지도록 할 수 있습니다.
애플리케이션 사용자를 위한 지침
Amazon Cognito
구현 단계
직원이 AWS에 액세스하는 단계
-
다음 접근 방식 중 하나를 AWS 사용하여 인력 사용자를 중앙 집중식 자격 증명 공급자로 통합합니다.
-
IAM Identity Center를 사용하여 자격 증명 공급자와 페더레이션하여 AWS 조직에서 Single Sign-On을 여러 개 활성화 AWS 계정 할 수 있습니다.
-
IAM 를 사용하여 자격 증명 공급자를 각 에 직접 연결하여 페더레이션된 세분화된 액세스를 AWS 계정활성화합니다.
-
-
페더레이션 ID로 대체되는 IAM 사용자 및 그룹을 식별하고 제거합니다.
애플리케이션 사용자를 위한 단계
-
Amazon Cognito를 애플리케이션에 대한 중앙 집중식 ID 제공업체로 사용합니다.
-
OpenID Connect 및 를 사용하여 사용자 지정 애플리케이션을 Amazon Cognito와 통합합니다OAuth. 인증용 Amazon Cognito와 같은 다양한 AWS 서비스와 통합하기 위한 간단한 인터페이스를 제공하는 Amplify 라이브러리를 사용하여 사용자 지정 애플리케이션을 개발할 수 있습니다.
리소스
관련 Well-Architected 모범 사례:
관련 문서:
관련 비디오:
관련 예제:
관련 도구:
