AWS IAM Identity Center 기능

IAM Identity Center는 AWS Organization의 모든 AWS 계정에서 액세스를 중앙에서 관리할 수 있도록 AWS Identity and Access Management(IAM) 역할 및 정책을 구축합니다. IAM Identity Center는 하나 이상의 IAM 정책 모음인 권한 세트를 사용합니다. 권한 세트를 할당하여 사용자 및 그룹에 대한 액세스 권한을 정의할 수 있습니다. 이 서비스는 이러한 할당에 따라 IAM Identity Center로 제어되는 IAM 역할을 만든 다음 권한 세트에 지정된 정책을 할당된 각 계정 내의 역할에 연결합니다. 개별 계정에서는 추가 구성이 필요 없습니다.  

IAM Identity Center는 다양한 파트너 통합 옵션을 통해 일시적으로 승격된 액세스 권한을 제공합니다. AWS는 CyberArk Secure Cloud 액세스, Tenable Cloud Security, Okta 액세스 요청을 사용하여 전체적인 감사가 필요한 민감한 작업, 복잡한 권한 및 감사 요구 사항이 있는 멀티 클라우드 환경, 여러 ID 소스 및 애플리케이션 통합을 사용하는 조직 등 다양한 임시 권한 승격 시나리오를 해결할 수 있음을 검증했습니다. 프로덕션 환경에서 높은 가치의 리소스에 대한 구성 변경과 같은 민감한 작업을 수행할 수 있는 고정 권한이 없는 인력 사용자는 액세스를 요청하고 승인을 받고 지정된 시간 동안 작업을 수행할 수 있습니다. 또한 감사자는 파트너 솔루션에서 조치 및 승인 로그를 볼 수 있습니다.

IAM Identity Center 콘솔 안에서 애플리케이션 할당을 사용하여 Salesforce, Box 및 Microsoft 365와 같은 많은 SAML 2.0 비즈니스 애플리케이션에 대한 Single Sign-On(SSO) 액세스를 제공할 수 있습니다. IAM Identity Center 안에서 단계별 지침에 따라 이러한 애플리케이션에 대한 Single Sign-On(SSO) 액세스를 쉽게 구성할 수 있습니다. 필요한 URL, 인증서, 메타데이터 입력을 알려줍니다. IAM Identity Center와 사전 통합된 비즈니스 애플리케이션의 전체 목록은 IAM Identity Center 클라우드 애플리케이션을 참조하세요.

신뢰할 수 있는 ID 전파는 OAuth 2.0 인증 프레임워크를 기반으로 합니다. 이 프레임워크를 사용하면 애플리케이션이 특정 사용자의 보안 인증 정보를 공유하지 않고도 특정 사용자를 대신하여 데이터 및 기타 리소스에 액세스할 수 있습니다. 이 IAM Identity Center 기능은 여러 AWS 분석 애플리케이션에서 사용자의 데이터 액세스 관리, 감사를 간소화하고 분석 사용자의 로그인 경험을 개선합니다. 시작하려면 애플리케이션 소유자, ID 소스 및 데이터 관리자가 앱을 서비스에 연결하고 사용자 및 그룹을 기반으로 액세스 관리를 시작합니다. 그런 다음 리소스 관리자는 ID 소스의 기존 ID 및 그룹 멤버십을 사용하여 애플리케이션 내에서 데이터 리소스 액세스를 구성하고 관리할 수 있습니다. 감사 및 보안 팀은 각 사용자에 대한 데이터 리소스에 대한 액세스를 추적할 수 있습니다. 데이터 분석가는 익숙한 Single Sign-On 환경을 사용하여 AWS 분석 서비스(Amazon Redshift, Amazon Quicksight, Amazon S3, Amazon EMR, AWS LakeFormation) 전반에서 할당된 데이터에 원활하게 액세스할 수 있습니다. 신뢰할 수 있는 ID 전파에 대해 자세히 알아보세요. 

IAM Identity Center를 사용하면 IAM Identity Center ID 소스에 정의된 사용자 속성에 기반하여 인력의 세분화된 권한을 생성하고 사용할 수 있습니다. IAM Identity Center에서는 비용 센터, 직책 또는 로캘과 같은 여러 속성을 선택하고 속성 기반 액세스 제어(ABAC)에 대해 사용하여 액세스 관리를 간소화 및 중앙화할 수 있습니다. 전체 AWS Organization에 대해 한 번 권한을 정의한 후 ID 소스에서 속성을 변경하기만 하면 AWS 액세스 권한을 부여, 취소 또는 수정할 수 있습니다.

ABAC에 대해 자세히 알아보기 »

IAM Identity Center는 조직의 모든 멤버 계정에 대해 AWS Organizations 위임 관리자 계정에서 중앙 집중식 관리 및 API 액세스를 지원합니다. 이제 조직에서 모든 구성원 계정을 중앙에서 관리하는 데 사용할 수 있는 계정을 지정할 수 있는 것입니다. 위임된 관리를 통해 관리 계정을 사용할 필요성을 줄임으로써 권장 사례를 준수할 수 있습니다.

IAM Identity Center는 지불 카드 산업 - 데이터 보안 표준(PCI DSS), 국제 표준화 기구(ISO), 시스템 및 조직 통제 기구(SOC) 1, 2 및 3, Esquema Nacional de Seguridad(ENS) High, 금융 시장 감독 기관(FINMA) 보증 계약에 대한 국제 표준(ISAE) 3000 타입 2 보고 요건, 다단계 클라우드 보안(MTCS)을 포함한 보안 표준 및 규정 준수 요구 사항을 지원합니다. 이 서비스는 PROTECTED 수준에서 Information Security Registered Assessors Program(IRAP) 평가를 받았습니다.

IAM Identity Center를 조직 인스턴스 또는 계정 인스턴스로 배포할 수 있습니다. IAM Identity Center 조직 인스턴스는 AWS Organizations의 관리 계정에 배포됩니다. 인력을 인증하고 권한을 부여하는 것은 모범 사례이자 권장되는 접근 방식입니다. 다중 계정 프로덕션 환경의 AWS 계정 및 애플리케이션을 위한 단일의 중앙 액세스 제어 지점입니다. IAM Identity Center 계정 인스턴스는 지원되는 AWS 애플리케이션(예: Amazon Redshift)을 빠르게 평가하여 소수의 애플리케이션 사용자에게 제공할 목적으로 비즈니스 사용자가 수행하는 제한된 범위의 배포입니다. 조직 인스턴스 관리자는 AWS Organizations의 기능인 서비스 제어 정책(SCP)을 통해 비즈니스 사용자의 계정 인스턴스 생성 기능을 제어할 수 있습니다.

IAM Identity Center 애플리케이션 할당 구성 마법사를 사용하여 SAML 2.0 지원 애플리케이션에 대한 Single Sign-On(SSO) 통합을 만들 수 있습니다. 애플리케이션 할당 구성 마법사는 Single Sign-On(SSO) 액세스 활성화를 위해 애플리케이션을 보내기 위한 정보를 선택하고 형식을 지정하는 데 도움을 줍니다. 예를 들어 사용자 이름을 위한 SAML 특성을 만들고 사용자 AD 프로필의 사용자 이메일 주소를 기반으로 특성의 형식을 지정할 수 있습니다.

모든 관리 활동과 다중 계정 활동이 AWS CloudTrail에 기록되므로 중앙에서 IAM Identity Center 활동을 감사하는 데 필요한 가시성이 확보됩니다. CloudTrail을 통해 로그인 시도, 애플리케이션 할당, 디렉터리 통합 변경과 같은 활동을 파악할 수 있습니다. 예를 들어 일정 기간 동안 사용자가 액세스한 애플리케이션이 무엇인지 또는 특정 애플리케이션에 대한 액세스 권한이 언제 사용자에게 부여되었는지 알 수 있습니다.