반응형
AWS IAM Identity Center(구 명칭: AWS Single Sign-On, SSO)는 AWS에서 사용자 인증 및 권한 관리를 중앙 집중식으로 처리할 수 있는 서비스입니다.
대기업, 중견기업 또는 복수 계정을 사용하는 조직에서 매우 유용하며, 조직 내 사용자들이 다양한 AWS 리소스 및 애플리케이션에 안전하게 접근할 수 있도록 해줍니다.
1. IAM Identity Center란?
🧩 정의
AWS IAM Identity Center는 AWS 계정과 애플리케이션에 대한 중앙 집중식 사용자 인증 및 접근 제어 기능을 제공하는 서비스입니다. Active Directory, Okta, Azure AD, Google Workspace 같은 외부 IdP(Identity Provider)와 연동하여 SSO(싱글 사인온) 기반으로 인증을 처리할 수 있습니다.
2. 주요 기능
2.1 사용자 및 그룹 관리
- IAM Identity Center 내에서 사용자 및 그룹을 직접 생성 가능
- 또는 외부 IdP와 연동하여 사용자 동기화 가능 (SAML, SCIM 등 지원)
- SCIM을 통해 외부 IdP의 사용자/그룹 자동 동기화 가능
2.2 SSO(싱글 사인온)
- 사용자 한 번 로그인으로 여러 AWS 계정 및 애플리케이션에 접근 가능
- AWS Management Console, AWS CLI, SDK 모두 지원
2.3 AWS 계정에 대한 역할 기반 액세스
- 조직 내 여러 AWS 계정(Organizations 연동)에 대해 역할 기반 접근 제어
- 각 사용자 또는 그룹에 계정별 역할(Role) 할당 가능
2.4 애플리케이션 통합
- Salesforce, Box, Slack, Microsoft 365 등 다양한 SaaS 앱과 연동 가능
- SAML 2.0 기반으로 커스텀 앱도 통합 가능
3. 구성 예시
plaintext
[사용자 or 외부 IdP]
│
▼
IAM Identity Center (SSO + 권한 부여)
│
├─ AWS 계정 A (Admin Role)
├─ AWS 계정 B (ReadOnly Role)
└─ SaaS 애플리케이션 (SAML)
4. IAM Identity Center vs IAM
| 항목 | IAM Identity Center | IAM |
| 사용자 관리 | 중앙 사용자 디렉터리 또는 외부 IdP 연동 | 각 계정 별 사용자 직접 생성 |
| 접근 제어 | 역할(Role)을 기반으로 AWS 계정/앱에 접근 | 정책 기반 권한 제어 |
| SSO 지원 | ✅ | ❌ |
| MFA 지원 | ✅ | ✅ |
| CLI 연동 | ✅ (aws configure sso) | ✅ (기본적 IAM 자격 증명 필요) |
✅ Tip: 여러 AWS 계정이나 서비스, 외부 SaaS를 통합 관리하려면 IAM Identity Center가 필수입니다.
5. AWS CLI 및 콘솔 연동
CLI에서 SSO 사용 예시:
bash
복사편집
aws configure sso
- SSO 포털 URL 입력
- AWS 계정 및 역할 선택
- 프로파일 저장
- 이후 해당 프로파일로 CLI 명령 실행 가능:
bash
복사편집
aws s3 ls --profile my-sso-profile
6. 외부 IdP와 통합 (예: Azure AD)
- IAM Identity Center 설정 → "IdP 설정"에서 SAML 선택
- Azure AD에서 엔터프라이즈 앱 생성 → 메타데이터 업로드
- SCIM으로 사용자 동기화 설정 가능
- 그룹 매핑을 통해 역할 자동 할당 가능
7. 보안 기능
- MFA(다단계 인증) 기본 지원
- 세션 제한 시간 설정
- 접근 감사 로그(CloudTrail 통합)
- 자동화된 사용자/권한 관리 (SCIM)
8. 요금
- IAM Identity Center는 자체적으로는 무료입니다.
- 사용자는 IAM Identity Center를 통해 AWS 리소스에 접근하며, 해당 리소스 사용량에 따라 과금됩니다.
9. 활용 예시
✅ 기업 환경
- Active Directory 또는 Okta와 연동해 전체 직원 계정 관리
- 직원의 퇴사 시 외부 IdP에서 비활성화 → 모든 AWS 접근 즉시 차단
✅ 다계정 운영 조직
- 조직 내 개발팀은 dev 계정에 관리자 권한, 운영팀은 prod 계정에 read-only 권한 제공
✅ SaaS 연동
- 마케팅팀은 Google Workspace 또는 Salesforce에 SSO 로그인 제공
10. 요약
| 장점 | 설명 |
| 중앙집중 사용자 관리 | 여러 AWS 계정을 하나의 계정 관리자로 통합 |
| 외부 IdP 연동 | Azure AD, Okta, Google Workspace 등 연동 |
| 보안 강화 | MFA, 세션 제한, CloudTrail 통합 등 |
| 사용자 경험 향상 | CLI, 콘솔, SaaS 앱 모두에 SSO 적용 가능 |
| 관리 자동화 | SCIM 프로비저닝으로 사용자 자동 관리 |
반응형
'[AWS]' 카테고리의 다른 글
| AWS SES 메일 발송 (0) | 2021.07.14 |
|---|---|
| AWS 교차 계정 접근(Cross-Account Access) (0) | 2021.06.24 |
| Amazon EBS 볼륨 유형 - IOPS 확인 (0) | 2021.06.24 |
| IOPS 란? IOPS 계산 방법 (1) | 2021.06.24 |
| AWS CLI 설치 On CentOS7 (0) | 2020.09.28 |
댓글