AWS IAM Identity Center (자격 증명 센터) 뽀개기 (2/3) - 설정

 

지금 부터 올솔루트 AWS 계정에 AWS IAM Identity Center를 활성화하고 설정하는 과정을 공유해 보도록 하겠습니다. 

먼저 결과 부터 보여드릴까요? 

http://[your-id].awsapps.com/start 주소의 AWS Access portal이 생기고 로그인하면 권한이 있는 어플리케이션이 보입니다. 지금은 AWS 콘솔만 연결되어 있으니 아이콘은 한개만 보입니다. Office365, BOX, Salesforce 등 다양한 클라우드 App들을 연결할 수 있다고 합니다. 올솔루트에는 연결할 수 있는 것이 없어서 하나로 만족합니다. 

저 아이콘에 있는 3이라는 숫자는 AWS Account에 로그인한 사용자가 3가지 다른 역할이 있다는 것을 말합니다. 

클릭해서 열어보면 세가지 다른 역할로 콘솔에 로그인 할 수 있고, CLI를 사용할 수 있는 정보도 볼 수 있습니다. 단 한번의 로그인 만으로요.. 

이렇게 Identity center를 활용하면 다수의 AWS 계정을 사용하는 회사의 경우 관리자 업무도 편리해 질 뿐더러 일반 사용자에게 권한을 배부하고 적절한 권한만 부여야여 사용하게 할 때 아주 편리하게 설정할 수 있습니다. 

회사에 AD와 같은 자격 증명 디렉토리가 있다면 회사에서 사용하는 한가지 패스워드로 모든 서비스를 사용할 수 있게 되고, MFA 적용이 기본이기 때문에 다른 사람이 누출된 비밀번호를 이용해서 접속할 걱정도 하지 않아도 됩니다. 

 

이제 시작합니다. 

1. 먼저 조직이 구성되어 있어야 하고, 조직의 Master 계정으로 로그입니다. 

2. 콘솔에서 AWS IAM Identity Center로 이동합니다. 

3. 활성화(Enable) 버튼을 클릭합니다. 

4. 활성화 버튼을 클릭하면 1분도 되지 않아서 알아서 만들고, 기본 설정을 갖춘 설정 창을 열어 줍니다. 

5. AWS 액세스 포털 URL을 변경합니다. 

URL을 먼저 변경해서 화면 캡쳐를 하지 못했는데, 주소를 변경하기 전에는 오른쪽 상단에 보이는 자격 증명 소슨 변경 버튼이 버튼이 아니고 드랍다운 메뉴로 보였고, 그 아래에 액세스 포털 URL 변경과 자격 증명 소스 변경을 선택할 수 있었습니다. 

변경하기전 URL은 자격증명스토어 ID와 같이 기억하기 어려운 주소로 되어 있습니다. URL 변경으로 들어가서 기억하기 쉬운 주소로 변경하면 됩니다. 

 

6. 자격 증명 소스 변경

Identity Center를 만들고 제일 먼저 해야할 두가지가 URL 바꾸고 자격 증명 소스를 변경하는 일입니다. 회사에서 사용하고 있는 인증 방법이 있다면 다른 설정을 하기 전에 미리 연결을 진행하여야 합니다. 

연결할 방법이 없다면 기본 제공하는 "자격 증명 센터 디렉터리"를 사용할 수 있습니다. 회사를 처음 만들어서 계정 관리할 별다른 방법이 없는 회사에게는 이 디렉터리를 사용하는 것도 나쁘지 않은 것 같습니다. 

아래에 이 디렉터리를 사용하는 방법을 설명하겠습니다.  (AD 연결하는 방법은 현재로서는 해 볼 수가 없네요.. ) 

 

7. 권한 설정 - 인증

7-1) 표준 인증: 사용자 생성시 e-mail을 보내서 인증하는 방법을 설정합니다. 처음에 비활성화 되어 있는데 이것을 활성화하면 사용자 생성하면 e-mail을 보내어 주고, 메일에 있는 accept 버튼을 클릭해야한 사용할 수 있습니다. 사용자 인증 절차를 설정하는 것이죠.. 

7-2) 멀티 팩터 인증 (MFA): MFA에 대한 다양한 설정을 할 수 있습니다. 선택지 밑에 설명이 있어서 잘 읽어 보면 이해가 가는 내용입니다. 처음에 활성화 되어 있고, 아래와 같이 기본 설정이 되어 있는데, 저는 일간 비활성화 했습니다. 테스트하는 과정을 좀 단순하게 하고, 나중에 설정하려 했습니다. 

8. 권한 설정 - 시간

사용자가 로그인해서 유지할 수 있는 시간을 설정할 수 있습니다. 최초 8시간을 설정되어 있고, 15분에서 7일까지 설정할 수 있습니다. 이전 회사에서 이 시간이 15분 정도로 설정되어 있었던 것 같아요.. 일 좀 하다 튕겨나가고.. 또 로그인하고 또 튕겨나가고.. 미쳐버리는 줄 알았습니다. 

 

9. 권한 설정 - 위임된 관리자

다른 계정에게 권한을 주는 기능입니다. 마스터 계정은 보통은 빌링 용도로만 사용하게 하고, 보안 계정을 별도로 두어서 그 계정에서 이런 권한이나, 보안 설정을 관리하는 것이 좀 더 체계적일 수 있겠지요.. 

조직과 관련된 모범 아키텍쳐에 대한 문서도 있는데, 나중에 공부해서 정리해 볼 계획입니다. 

 

여기까지가 활성화한 후 기본 설정을 하는 과정이었다고 보면 되고, 이러한 설정은 나중에 변경이 가능합니다. 

 

이번 포스터는 여기까지 입니다. 

다음 포스트에서 사용자와 그룹을 만들고 권한 세트를 만들고 사용자에게 특정 AWS 계정에 대해서 권한을 지정하는 과정을 정리하도록 하겠습니다.