[AWS] IAM Identity Center

1. 개념

 
AWS SSO(Single Sign-On)의 후속 서비스로 한 번의 로그인으로 통합 서비스를 이용할 수 있다. 

 
 
2. 특징 
 

IAM Identity Center

 

1) AWS 조직 내 모든 계정에서 단일 로그인할 수 있다. (멀티 계정 보유 시 서비스 이용 권장)
2) Salesforce, Box, Microsoft 365 등 비즈니스 클라우드 어플리케이션에 연동할 수 있다. 
3) SAML 2.0 통합 인증이 가능한 모든 어플리케이션에 연동할 수 있다. 
4) 윈도우 기반의 EC2 인스턴스들 간에 단일 로그인할 수 있다.  
5) 로그인을 위한 사용자를 저장하기 위해 IAM Identity Center가 자체적으로 IDP(Built-in Identity Store)를 운용하거나 또는 AD, OneLogin, Okta 등 3rd-party IDP에 연결할 수 있다.  
 
 

3. 연동 과정 
 

① 브라우저를 통해 IAM Identity Center 로그인 페이지에 접속한다. 
② 온프레미스 또는 클라우드 상의 사용자와 그룹을 관리하고 있는 여러 AD와 Built-in Identity Store를 통합한다. 
③ Organization, 윈도우 EC2 인스턴스, 비즈니스 클라우드 어플리케이션, SAML 2.0 인증 기반의 어플리케이션을 사용하기 위해 SSO와 IAM Identity Center를 통합한다. 
④ 어떤 사용자가 어떤 서비스에 접근 가능한지 IAM Identity Center 내에 Permission Set 을 정의한다.  
 
 

4. Permission Sets 
 

사용자와 그룹에 하나 이상의 IAM 정책을 할당하여 AWS 서비스에 대한 접근을 정의한 것
 

Permission Sets

 
1) DEV 그룹에 FullAccess Permission Set 를 할당하여 계정 A와 B는 DEV OU에 대해 모든 권한을 가진다. 
2) DEV 그룹에 ReadOnlyAccess Permission Set를 할당하여 계정 A와 B는 OPS OU에 대해 읽기전용 권한을 가진다. 
 
 

5. Permissions and Assignment

 
1) Multi-Account Permissions
- 조직(Organization) 내 여러 계정 간에 접근을 제어한다. 
 
2) Application Assignments
- SSO는 SAML 2.0 기반의 어플리케이션에 접근한다. 
- URL 주소, 인증서 , 메타데이터을 제공한다. 
 
3) Attribute-Based Access Control(ABAC)
- Built-in Identity Store에 저장된 사용자 속성값에 기반한 접근제어 정책
- 태그를 추가할 수 있다. 
- Permission Set 를 한 번 정의하면 속성값 변경에 의해서만 AWS 접근을 변경할 수 있다. 
(단, IAM Identity Center를 사용하여 활성화되는 고급 사용 사례이다.)
 
 
 

---

 [출처]
1) Udemy 강의, "Ultimate AWS Certified Solutions Architect Professional 2023", https://www.udemy.com/course/aws-solutions-architect-professional

2) https://aws.amazon.com/ko/iam/identity-center/

Single-Sign On SAML - SSO 제공업체 - AWS IAM Identity Center - AWS