[AWS SCS] AWS IAM Identity Center

AWS IAM Identity Center: 통합 로그인 관리 서비스

AWS IAM Identity Center(이전 AWS Single Sign-On 서비스)는 AWS 계정, 비즈니스 클라우드 애플리케이션, 그리고 EC2 Windows 인스턴스까지 단일 로그인(SSO)을 제공하는 통합 로그인 관리 서비스입니다. 이 서비스는 AWS Organizations와 통합되어 조직 내 여러 계정에 대한 사용자 액세스를 단순화하고, Salesforce, Box, Microsoft 365 같은 비즈니스 애플리케이션과의 연동을 지원합니다.

주요 기능

1. AWS 계정 단일 로그인: IAM Identity Center를 사용하면 여러 AWS 계정에 대한 단일 로그인 액세스를 설정할 수 있습니다.
2. 비즈니스 애플리케이션과의 통합: SAML 2.0을 지원하는 모든 애플리케이션과 연동 가능하며, Salesforce, Box, Microsoft 365 등이 포함됩니다.
3. EC2 Windows 인스턴스 로그인: 단일 로그인으로 Windows 인스턴스에 접근할 수 있습니다.

로그인 흐름

IAM Identity Center의 로그인 흐름은 다음과 같습니다:

1. 사용자가 IAM Identity Center 로그인 페이지에 접속합니다.
2. 사용자 이름과 비밀번호를 입력하여 인증을 진행합니다.
3. 인증이 완료되면 사용자는 IAM Identity Center 포털로 이동하며, 여기에서 AWS 계정 및 애플리케이션에 대한 액세스를 관리할 수 있습니다.

사용자 저장소

IAM Identity Center는 사용자 저장소를 다음 두 가지 방식으로 지원합니다:

1. IAM Identity Center 내장 저장소: 사용자를 IAM Identity Center에 직접 생성하고 관리합니다.
2. 외부 ID 공급자와의 통합: Active Directory(AD), Okta, OneLogin과 같은 타사 ID 공급자와 연동할 수 있습니다.

권한 관리

IAM Identity Center에서의 권한 관리는 다음과 같이 이루어집니다:

1. Permission Set 생성: AWS 리소스에 대한 액세스 권한을 정의하는 IAM 정책의 모음입니다.
2. Permission Set 할당: 생성된 Permission Set을 특정 사용자 또는 그룹에 할당하여 AWS 계정에 대한 접근 권한을 제공합니다.

예시

• 개발자 그룹(Bob, Alice):
  • 개발 OU에 대해 관리자(Admin) 권한을 가진 Permission Set 할당
  • Production OU에 대해 읽기 전용(ReadOnly) 권한을 가진 Permission Set 할당

세분화된 권한 및 속성 기반 액세스 제어 (ABAC)

IAM Identity Center는 속성 기반 액세스 제어(ABAC)를 지원하여 사용자 속성을 기반으로 액세스를 세분화할 수 있습니다. 예를 들어, 사용자에게 비용 센터, 직책, 지역 등의 태그를 할당하여 특정 리소스에 대한 액세스를 제어할 수 있습니다.

활용 사례

• 조직 내 여러 AWS 계정 관리: 조직의 AWS 계정 수가 많을수록 IAM Identity Center를 활용한 중앙 집중식 관리의 이점이 커집니다.
• 비즈니스 애플리케이션과의 연동: Salesforce나 Microsoft 365와 같은 주요 애플리케이션을 SSO로 연결하여 관리 효율성을 높입니다.
• 속성 기반 액세스 제어: 사용자 속성을 기반으로 리소스 접근 권한을 동적으로 관리합니다.

결론

AWS IAM Identity Center는 조직 내 사용자 액세스를 간소화하고 중앙에서 관리할 수 있는 강력한 도구입니다. 단일 로그인 및 세분화된 권한 관리를 통해 운영 효율성을 높이고 보안성을 강화할 수 있습니다.