인증서 기반 인증 - 아마존 WorkSpaces
필수 조건인증서 기반 인증 활성화인증서 기반 인증 관리계정 간 PCA 공유를 활성화합니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

인증서 기반 인증

에서 인증서 기반 인증을 사용하여 Active Directory 도메인 암호를 묻는 사용자 WorkSpaces 프롬프트를 제거할 수 있습니다. Active Directory 도메인에서 인증서 기반 인증을 사용하면 다음과 같은 작업을 수행할 수 있습니다.

  • SAML 2.0 ID 제공업체를 통해 사용자를 인증하고 Active Directory의 사용자와 매칭하도록 SAML 어설션을 제공할 수 있습니다.

  • 사용자 프롬프트 수를 줄여 Single Sign-On 로그온 경험을 구현할 수 있습니다.

  • SAML 2.0 ID 제공업체를 사용하여 암호 없는 인증 흐름을 활성화할 수 있습니다.

인증서 기반 인증은 계정의 리소스를 사용합니다. AWS Private CA AWS AWS Private CA 루트 및 하위 CA를 포함한 사설 CA (인증 기관) 계층 구조를 생성할 수 있습니다. 를 사용하면 고유한 CA 계층 구조를 만들고 이를 사용하여 내부 사용자를 인증하는 데 사용할 인증서를 발급할 수 있습니다. AWS Private CA자세한 내용은 AWS Private Certificate Authority 사용 설명서를 참조하십시오.

를 인증서 기반 AWS Private CA 인증에 사용하는 경우 세션 인증 WorkSpaces 중에 자동으로 사용자의 인증서를 요청합니다. 사용자는 인증서로 프로비저닝된 가상 스마트 카드를 사용하여 Active Directory에 인증됩니다.

인증서 기반 인증은 최신 WorkSpaces 웹 액세스, Windows 및 macOS 클라이언트 애플리케이션을 사용하는 Windows WorkSpaces 온 WorkSpaces 스트리밍 프로토콜 (WSP) 번들에서 지원됩니다. Amazon WorkSpaces Client 다운로드를 열어 최신 버전을 찾으십시오.

  • Windows 클라이언트 버전 5.5.0 이상

  • macOS 클라이언트 버전 5.6.0 이상

Amazon에서 인증서 기반 인증을 구성하는 방법에 대한 자세한 내용은 WorkSpaces Amazon의 인증서 기반 인증을 구성하는 방법 및 규제가 엄격한 2.0 및 인증 기반 인증에 대한 엄격한 규제 환경에서의 설계 고려 사항을 참조하십시오. WorkSpaces AppStream WorkSpaces

필수 조건

인증서 기반 인증을 활성화하기 전에 다음 단계를 완료하세요.

  1. 인증서 기반 인증을 사용하도록 SAML WorkSpaces 2.0 통합으로 디렉토리를 구성하십시오. 자세한 내용은 SAML WorkSpaces2.0과의 통합을 참조하십시오.

  2. SAML 어설션에서 userPrincipalName 속성을 구성합니다. 자세한 내용은 인증 응답을 위한 SAML 어설션 생성을 참조하세요.

  3. SAML 어설션에서 ObjectSid 속성을 구성합니다. 이는 Active Directory 사용자에 대한 강력한 매핑을 수행하기 위한 선택 사항입니다. 속성이 SAML_Subject NameID에 지정된 사용자의 Active Directory 보안 식별자(SID)와 매칭되지 않으면 인증서 기반 인증이 실패합니다. 자세한 내용은 인증 응답을 위한 SAML 어설션 생성을 참조하세요.

  4. SAML 2.0 구성에서 사용되는 IAM 역할 신뢰 정책이 아직 없는 경우 sts: TagSession 권한을 추가하십시오. 인증서 기반 인증을 사용하려면 이 권한이 필요합니다. 자세한 내용은 SAML 2.0 페더레이션 IAM 역할 생성을 참조하세요.

  5. Active Directory에 사설 인증 기관 (CA) 을 구성하지 않은 AWS Private CA 경우 이를 사용하여 사설 인증 기관 (CA) 을 생성하십시오. AWS Private CA 인증서 기반 인증을 사용하려면 필요합니다. 자세한 내용은 AWS Private CA 배포 계획을 참조하고 지침에 따라 인증서 기반 인증을 위한 CA를 구성하십시오. 인증서 기반 인증 사용 사례에 가장 일반적으로 사용되는 AWS Private CA 설정은 다음과 같습니다.

    1. CA 유형 옵션:

      1. 수명이 짧은 인증서 CA 사용 모드(인증서 기반 인증을 위한 최종 사용자 인증서를 발급하는 데만 CA를 사용하는 경우 권장)

      2. 루트 CA를 사용한 단일 수준 계층 구조(또는 기존 CA 계층 구조와 통합하려는 경우 하위 CA 선택)

    2. 키 알고리즘 옵션: RSA 2048

    3. 주체 고유 이름 옵션: Active Directory Trusted Root Certification Authorities 저장소에서 CA를 식별하려면 원하는 옵션을 조합하여 사용하세요.

    4. 인증서 취소 옵션: CRL 배포

      참고

      인증서 기반 인증을 사용하려면 데스크톱과 도메인 컨트롤러에서 액세스할 수 있는 온라인 CRL 배포 지점이 필요합니다. 이를 위해서는 사설 CA CRL 항목용으로 구성된 Amazon S3 버킷에 대한 인증되지 않은 액세스 또는 퍼블릭 액세스를 차단하는 경우 S3 버킷에 액세스할 수 있는 CloudFront 배포가 필요합니다. 옵션에 대한 자세한 내용은 Planning a certificate revocation list (CRL)를 참조하세요.

  6. EUC 인증서 기반 인증에 사용할 CA를 지정할 euc-private-ca 키로 프라이빗 CA에 태그를 지정하세요. 이 키에는 값이 필요하지 않습니다. 자세한 내용은 Managing tags for your private CA를 참조하세요.

  7. 인증서 기반 인증은 로그온에 가상 스마트 카드를 사용합니다. Active Directory에서 Guidelines for enabling smart card logon with third-party certification authorities를 따라 다음 단계를 수행하세요.

    • 도메인 컨트롤러 인증서를 사용하여 도메인 컨트롤러를 구성하여 스마트 카드 사용자를 인증합니다. Active Directory에 Active Directory Certificate Services 엔터프라이즈 CA가 구성되어 있는 경우 스마트 카드 로그온을 활성화하기 위해 인증서가 도메인 컨트롤러에 자동으로 등록됩니다. Active Directory Certificate Services가 없는 경우 Requirements for domain controller certificates from a third-party CA를 참조하세요. AWS Private CA를 사용하여 도메인 컨트롤러 인증서를 만들 수 있습니다. 이렇게 하는 경우 수명이 짧은 인증서용으로 구성된 프라이빗 CA를 사용하지 마세요.

      참고

      를 사용하는 AWS Managed Microsoft AD경우 도메인 컨트롤러 인증서 요구 사항을 충족하도록 EC2 인스턴스에서 인증서 서비스를 구성할 수 있습니다. AWS Launch Wizard예를 들어 Active Directory 인증서 서비스를 사용하여 AWS Managed Microsoft AD 구성된 배포의 예를 참조하십시오. AWS 사설 CA는 Active Directory 인증서 서비스 CA의 하위 CA로 구성하거나 사용 시 자체 루트로 구성할 수 있습니다. AWS Managed Microsoft AD

      Active Directory 인증서 서비스를 통한 AWS Managed Microsoft AD 추가 구성 작업은 컨트롤러 VPC 보안 그룹에서 인증서 서비스를 실행하는 EC2 인스턴스로 아웃바운드 규칙을 생성하여 TCP 포트 135 및 49152-65535가 인증서 자동 등록을 활성화할 수 있도록 하는 것입니다. 또한 실행 중인 EC2 인스턴스는 도메인 컨트롤러를 포함한 도메인 인스턴스로부터 동일한 포트에 대한 인바운드 액세스를 허용해야 합니다. 보안 그룹을 찾는 방법에 대한 자세한 내용은 VPC 서브넷 및 보안 그룹 구성을 AWS Managed Microsoft AD 참조하십시오.

    • AWS Private CA 콘솔에서 또는 SDK 또는 CLI를 사용하여 CA를 선택하고 CA 인증서 아래에서 CA 사설 인증서를 내보냅니다. 자세한 내용은 프라이빗 인증서 내보내기를 참조하세요.

    • CA를 Active Directory에 게시합니다. 도메인 컨트롤러 또는 도메인에 조인된 시스템에 로그온합니다. CA 프라이빗 인증서를 원하는 <path>\<file>에 복사하고 도메인 관리자로 다음 명령을 실행합니다. 또는 그룹 정책 및 Microsoft PKI Health Tool(PKiView) 도구를 사용하여 CA를 게시할 수도 있습니다. 자세한 내용은 Configuration instructions를 참조하세요.

      certutil -dspublish -f <path>\<file> RootCA
certutil -dspublish -f  <path>\<file> NTAuthCA

      명령이 성공적으로 완료되었는지 확인한 다음 프라이빗 인증서 파일을 제거합니다. Active Directory 복제 설정에 따라 CA를 도메인 컨트롤러와 데스크톱 인스턴스에 게시하는 데 몇 분 정도 걸릴 수 있습니다.

      참고

      • WorkSpaces 데스크톱이 도메인에 가입되면 Active Directory에서 신뢰할 수 있는 루트 인증 기관 및 엔터프라이즈 NTAuth 저장소에 CA를 자동으로 배포해야 합니다.

      • 인증서 기반 인증을 지원하려면 Active Directory 도메인 컨트롤러가 강력한 인증서 적용에 대한 호환 모드에 있어야 합니다. 자세한 내용은 Microsoft 지원 설명서에서 KB5014754 - Windows 도메인 컨트롤러의 인증서 기반 인증 변경을 참조하십시오. AWS 관리형 Microsoft AD를 사용하는 경우 자세한 내용은 디렉터리 보안 설정 구성을 참조하십시오.

인증서 기반 인증 활성화

인증서 기반 인증을 활성화하려면 다음 단계를 완료하세요.

  1. 에서 WorkSpaces 콘솔을 엽니다https://console.aws.amazon.com/workspaces.

  2. 탐색 창에서 디렉터리를 선택합니다.

  3. 내 디렉터리 ID를 선택합니다 WorkSpaces.

  4. 인증에서 편집을 클릭합니다.

  5. 인증서 기반 인증 편집을 클릭합니다.

  6. 인증서 기반 인증 활성화를 선택합니다.

  7. 프라이빗 CA ARN이 목록에 연결되어 있는지 확인합니다. 사설 CA는 동일한 AWS 계정에 있어야 AWS 리전하며 목록에 표시될 권한이 있는 키로 태그를 euc-private-ca 지정해야 합니다.

  8. 변경 사항 저장을 클릭합니다. 인증서 기반 인증이 이제 활성화됩니다.

  9. 변경 사항을 적용하려면 Windows WorkSpaces 온 WorkSpaces 스트리밍 프로토콜 (WSP) 번들을 재부팅하십시오. 자세한 내용은 재부팅 a를 참조하십시오. WorkSpace

  10. 재부팅 후 지원되는 클라이언트를 사용하여 SAML 2.0을 통해 인증하면 도메인 암호를 입력하라는 메시지가 더 이상 표시되지 않습니다.

참고

인증서 기반 인증으로 로그인할 수 있는 경우 디렉터리에 MFA (멀티 팩터 인증) 를 WorkSpaces 사용하도록 설정했더라도 사용자에게 MFA (멀티 팩터 인증) 를 입력하라는 메시지가 표시되지 않습니다. 인증서 기반 인증을 사용하는 경우 SAML 2.0 ID 제공업체를 통해 MFA를 활성화할 수 있습니다. AWS Directory Service MFA에 대한 자세한 내용은 다단계 인증 (AD Connector) 또는 다단계 인증 활성화를 참조하십시오. AWS Managed Microsoft AD

인증서 기반 인증 관리

CA 인증서

일반적인 구성에서 프라이빗 CA 인증서의 유효 기간은 10년입니다. 만료된 인증서가 포함된 CA를 교체하거나 CA를 새 유효 기간으로 재발급하는 방법에 대한 자세한 내용은 Managing the private CA lifecycle 참조하세요.

최종 사용자 인증서

에서 WorkSpaces 인증서 기반 인증을 AWS Private CA 위해 발급한 최종 사용자 인증서는 갱신이나 해지가 필요하지 않습니다. 이러한 인증서는 수명이 짧습니다. WorkSpaces24시간마다 새 인증서를 자동으로 발급합니다. 이러한 최종 사용자 인증서는 일반적인 AWS Private CA CRL 배포보다 유효 기간이 짧습니다. 따라서 최종 사용자 인증서를 취소할 필요가 없으며 CRL에 표시되지 않습니다.

감사 보고서

프라이빗 CA가 발급 또는 취소한 모든 인증서를 나열하는 감사 보고서를 만들 수 있습니다. 자세한 내용은 프라이빗 CA에서 감사 보고서 사용을 참조하세요.

로깅 및 모니터링

를 사용하여 AWS CloudTrail AWS Private CA WorkSpacesby에 대한 API 호출을 기록할 수 있습니다. 자세한 내용은 사용을 참조하십시오 CloudTrail. CloudTrail이벤트 기록에서 WorkSpaces EcmAssumeRoleSession 사용자 이름으로 만든 IssueCertificate 이벤트 소스의 acm-pca.amazonaws.com 이벤트 이름을 볼 GetCertificate 수 있습니다. 이러한 이벤트는 모든 EUC 인증서 기반 인증 요청에 대해 기록됩니다.

계정 간 PCA 공유를 활성화합니다.

사설 CA 계정 간 공유를 사용하는 경우 다른 계정에 중앙 집중식 CA를 사용할 수 있는 권한을 부여할 수 있으므로 모든 계정에 사설 CA가 필요하지 않습니다. CA는 AWS Resource Access Manager를 사용하여 권한을 관리함으로써 인증서를 생성하고 발급할 수 있습니다. 사설 CA 계정 간 공유는 동일한 지역 내에서 WorkSpaces 인증서 기반 인증 (CBA) 과 함께 사용할 수 있습니다. AWS

공유 사설 CA 리소스를 CBA와 함께 사용하려면 WorkSpaces

  1. 중앙 AWS 계정에서 CBA용 사설 CA를 구성하십시오. 자세한 정보는 인증서 기반 인증을 참조하세요.

  2. AWS RAM을 사용하여 ACM 사설 CA 교차 AWS 계정을 공유하는 방법의 단계에 따라 WorkSpaces 리소스가 CBA를 활용하는 자원 계정과 사설 CA를 공유하십시오. 인증서를 생성하기 위해 3단계를 완료할 필요는 없습니다. 사설 CA를 개별 AWS 계정과 공유하거나 Organizations를 통해 AWS 공유할 수 있습니다. 개별 계정과 공유하려면 Resource Access Manager (RAM) 콘솔 또는 API를 사용하여 자원 계정의 공유 사설 CA를 수락해야 합니다. 공유를 구성할 때 리소스 계정의 사설 CA에 대한 RAM 리소스 공유가 AWS RAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority 관리 권한 템플릿을 사용하고 있는지 확인하십시오. 이 템플릿은 CBA 인증서를 발급할 때 WorkSpaces 서비스 역할이 사용하는 PCA 템플릿과 일치합니다.

  3. 공유에 성공하면 자원 계정의 사설 CA 콘솔을 사용하여 공유 사설 CA를 볼 수 있어야 합니다.

  4. API 또는 CLI를 사용하여 디렉터리 속성에서 사설 CA ARN을 CBA와 연결합니다. WorkSpaces 현재 WorkSpaces 콘솔에서는 공유 사설 CA ARN 선택을 지원하지 않습니다. CLI 명령의 예:

    aws workspaces modify-certificate-based-auth-properties —resource-id <value> —certificate-based-auth-properties Status=<value>,CertificateAuthorityArn=<value>