2022년 12월 어느날,
AWS 콘솔에서 얼마전 만든 계정에 사용자 ID를 만들기 위해서 IAM 서비스에 접속을 하니 IAM 자격 증명 센터(IAM Identity Center)에 대한 팝업 안내가 떴습니다.
AWS Single Sign-On의 후속 서비스라고 하는데, AWS SSO를 써보긴 했어도, 설정을 해 본 경험은 없긴하지만, 이전에 AWS에서 SSO 서비스를 이번처럼 홍보를 한 적이 있었나 생각해 보면.. 잘 모르겠습니다. 이번에 이름을 바꾸고 홍보를 열심히 하는 것을 보면 이전 버젼에 비해서 많은 개선이 있었나 봅니다.
AWS Single Sign-On에 대한 자료는 없기 때문에 이전 버젼과의 비교 보다는 현재(2022년 12월) 버전에 대해서 상세하게 살펴보도록 하겠습니다.
IAM Identity Center, 자격 증명 센터는 회사에서 통합 로그인 서비스와 같은 것입니다. 한번 로그인 하면 여러 어플리케이션을 추가 로그인 절차 없이 인증해 주는 서비스 입니다.
회사에 AWS 계정이 하나만 있다면 그 계정에서 IAM을 이용해서 사용자를 만들고, 각각 로그인 하도록 하는 것이 그렇게 어려운 일이 아니라고 말 할 수 있겠지만, 100개 정도의 계정이 있다고 가정하면 각각의 계정에 별도의 계정을 만들어 주고 매번 다른 ID와 비밀번호로 로그인 하는 것은 결코 쉬운 일이 아닙니다.
회사에 AD, LDAP과 같은 사용자 Directory가 있다면, 그 계정으로 AWS에 로그인 하면 그 사용자가 접속할 수 있는 AWS의 계정과 그 계정에서 접속할 수 있는 역할을 보여주고 클릭하면 바로 로그인 해서 그 역할에 맞는 권한을 가지고 서비스를 사용할 수 있도록 인증과 권한 관리를 편리하게 할 수 있는 기능있다면 좋겠지요. MFA (multi factor authentication)을 적용해서 보안성도 강화해 줄 수 있다면 비밀번호 유출로 인한 불안도 없애 준다면 더 좋겠지요.. 이러한 통합 인증 시스템을 별도록 구축한다면 솔루션을 도입하고, 서버를 구축하고, 스토리지를 갖추고, Database를 만들어서 새롭게 구축한다면 그 비용이 만만치 않아 보입니다.
AWS에서 적어도 AWS 계정에 대한 통합 로그인 그리고, SAML2.0으로 연결 가능한 많은 Application에 대해서 통합 관리할 수 있도록 제공해 주는 서비스가 자격증명센터, Identity Center 입니다.
아래 유투브 소개 동영상에서도 얘기하지만, 무료입니다.
IAM Identity Center를 활성화하면 회사의 AD에 연결하거나 내장된 자격 증명 디렉토리를 사용하여 AWS 전체 계정 또는 연결 가능한 어플리케이션에 대해서 통합 관리가 가능합니다.
장점
어떠한 장점이 있을까요? AWS에서 설명하는 장점을 옮겨 봅니다.
- 기존 관리하던 AD 또는 내장된 자격 증명 센터 디렉터리를 사용할 수 있다.
- 사용자 및 어플리케이션에 대한 엑세스 관리를 세분화 관리 가능하다.
- 쉽게 확장 가능하다 (이부분은 직접 써 보기 전에 잘 모르겠습니다. )
- 별도로 제공되는 웹포털로 손쉽게 자원에 액세스할 수 있다.
제가 생각하기에 최대의 장점은 IAM 사용자 계정을 만들지 않아도 되고 권한 관리를 중앙에서 통제할 수 있다는 것이고, 그리고 이렇게 구성하는 시스템을 무료로 쓸 수 있다는 것 입니다.
주의 사항
1. 회사의 AD 또는 external IdP가 있다면 그 Directory에 Identity center를 먼저 연결하는 것이 좋습니다.
Identity Center를 활성화하면 Identity Center 자체 Directory가 제공이 되지만, 나중에 연결을 변경하면 모든 설정을 다시 해야 합니다. 다른 설정을 하기전 회사의 Directory 서비스에 미리 연결하는 것 부터 시작해야 합니다.
회사에 AD와 같은 별도의 Directory 서비스가 없다면, Identity Center에서 제공해 주는 Directory 서비스를 사용하는 것도 그리 나쁘지 않은 선택일 것 같습니다. (AWS에서 제공하는 AWS Managed Microsoft AD가 있기도 합니다. )
2. AWS Organizations
Identity Center 서비스를 사용하기 위해서는 AWS Organizations 서비스를 통해서 계정을 통합 관리하는 것이 필수 입니다. 이전 포스트에서 조직을 만들고, 계정을 초대하고, 빌링을 통합하는 것에 대해서 정리한 적이 있습니다. 아래 링크를 참고해 주세요. Identity Center는 반드시 Master Account에서 관리해야 합니다.
그 외에도 IAM Role의 갯수 제한, 방화벽 설정에 대해서 주의해야 하는데, 이러한 것은 AWS 문서를 보시는 것이 더 좋을 것 같습니다.
https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-prereqs-considerations.html
Prerequisites and considerations - AWS IAM Identity Center (successor to AWS Single Sign-On)
Thanks for letting us know this page needs work. We're sorry we let you down. If you've got a moment, please tell us how we can make the documentation better.
docs.aws.amazon.com
다음 포스트에서는 실제로 AWS IAM Identity Center를 구성하는 것을 화면과 함께 설명해 보도록 하겠습니다.
'AWS' 카테고리의 다른 글
| AWS IAM Identity Center (자격 증명 센터) 뽀개기 (2/3) - 설정 (0) | 2022.12.19 |
|---|---|
| AWS Organization 루트 계정에서 신규 계정 만들기 (0) | 2022.12.12 |
| AWS 조직 구성 및 세금계산서로 청구서 받기(2/2) (0) | 2022.12.11 |
| AWS 조직 구성 및 세금계산서로 청구서 받기(1/2) (0) | 2022.12.11 |
