1. AWS IAM Identity Center (자격 증명 센터) 뽀개기 (1/3) - 개요
2. AWS IAM Identity Center (자격 증명 센터) 뽀개기 (2/3) - 설정
Identity Center 뽀개기 세번째 포스트 입니다. 이 전 포스트에서 설정까지 해 보았고, 이제 사용자를 만들어서 권한을 부여해 보도록 하겠습니다.
사용자 (사원)이 많으면 한명, 한명 모두 다른 권한을 부여하는 것은 비효율 적이겠지요.. 그래서 그룹을 만들어서 그룹에 권한을 부여하고, 사용자를 그룹에 속하게 하면 그 그룹에 속한 사용자는 같은 권한을 가질 수 있게 됩니다. 이런 건 다 아시는 내용일테고.. 권한 부여하는 것도 AWS IAM의 정책과 역할과 유사한 것 같습니다.
참고로 이전 포스트에서도 말했던 내용인데, 여기서 사용자를 만드는 것은 Identity 센터에서 제공하는 디렉터리에 생성하는 것 입니다. AD를 연결한다거나 다른 IdP를 연결한다면 필요 없는 과정입니다.
1. 사용자 생성
- 사용자 이름: user name, 아이디라고 보면 됩니다. 유니크해야 하고, 나중에 변경이 되지 않습니다. 회사 e-mail주소와 같은 ID를 사용하는 것이 좋은 것 같습니다.
- 암호: 암호는 지정해서 보낼 수 있고, 처음 설정하도록 메일을 보낼 수 있습니다. 사용자 인증을 메일로 하도록 되어 있으니 메일을 보내도록 설정하는 것이 좋습니다.
- e-mail 주소: 필수 정보이고, 잘못 입력하면 안되기 때문에 입력 확인을 합니다.
- 이름, 성
그 외 추가 정보로 아래와 같은 정보를 관리할 수도 있습니다. 공짜 AD가 생긴 것 같은 뿌듯함이 드네요..
작업관련정보: 직함, 사번, 부서, 사업부 등
주소
기본 설정: 별명, 언어, 로케일 등
추가 설정 : Microsoft 365 ID
사용자 생성하는 과정에서 그룹을 지정하거나, 그룹을 생성하는 과정을 가질 수도 있는데, 그냥 넘어 가겠습니다.
여기까지 하면 해당 사용자는 초대 메일을 받았을 겁니다.
메일에 있는 링크로 들어가면 비밀번호 설정하고 로그인 할 수 있습니다. 아무 권한이 없다는 화면이 보입니다.
2. 그룹 생성
그룹은 동일한 역할을 가지는 사용자 묶음입니다. Administrators, 영업관리, users 등이 되겠지요..
그룹은 이름과 설명만으로 저장하면 됩니다. 특별히 설정할 것은 없어요..
그룹에 권한을 부여하는 것은 각 계정의 권한을 사용자 또는 그룹에 부여할 때 할 수 있습니다. 나중에 보시죠..
요건 IAM의 그룹과 조금 다르다고 할 수 있겠네요.
3. 권한 세트 생성
권한 세트 생성하는 방법은 아주 쉬운 방법 부터 아주 어려운 방법이 있으니 성격에 맞게 설정하면 될 것 같습니다.
성격이 까다로운 회사에서는 그 회사에서 나올 수 있는 권한 그룹을 미리 세세하게 설정해서 별도의 이름으로 만들어서 관리하면 되고, 서로 좋은게 좋은 거다라고 생각하는 편한 회사에서는 AWS에서 설정해 놓은 권한 세트를 선택해서 사용하는 것도 그리 나쁘지 않은 방법인 것 같습니다.
참고로 제가 있었던 전 회사에서는 아주 까다로운 회사여서.. 별도의 이름이 있는 세부 권한이 각기 다른 (예를 들어 컴퓨팅만 관리할 수 있는 Admin, 네트워크만 관리할 수 있는 Admin, 로그 관리, 보안 관리 등등 ) 권한을 다 정리해 놓고 각 그룹 및 사용자에게 부여하는 회사였는데.. 좀 (많이) 불편하긴 했어도, 있어 보이기도 하고, 보안적으로도 깔끔해 보이긴 했습니다.
3-1. 사전 정의된 권한 세트: AWS가 정의한 템플릿을 선택하여 사용 가능한 권한 세트, 우선 급한대로 쓸만 하지만 세세한 권한 설정을 할 수는 없습니다.
3-2. 사용자 지정 권한 세트: 아래와 같이 네가지 방법으로 권한을 지정할 수 있습니다. 그 중 AWS 관리형 정책을 선택하는 방법과 인라인 정책 (Json 코드로 설정)하는 방법은 이 단계에서 이름을 지정하기만 하면 되지만, 고객 관리형이나 권한 경계 방법은 사전에 정의된 이름을 정확히 입력해야해서 사전 단계가 필요한 방법입니다. 전 수월한 방법을 선택했습니다.
위와 같이 3개의 권한 세트를 만들었습니다. AdministratorAccess와 Billing은 사전 정의된 권한 세트이고,
allsol-aws-readonly 는 사용자 정의 - AWS 관리형 정책에서 readonlyaccess를 선택한 권한 세트 입니다.
4. 권한 할당
Identity Center 메뉴에서 AWS 계정을 선택합니다.
권한을 지정할 AWS 계정을 선택한 후 사용자 또는 그룹 할당을 클릭합니다. 저는 두개의 계정을 선택했습니다. (allsol-dev, allsol-prod)
사용자 또는 그룹을 선택합니다. 저는 미리 만들어 놓은 Cloud-Administrators 그룹을 선택합니다. 권한을 지정하기 전까지 이 그룹은 이름만 Administrator일 뿐입니다.
미리 만들어 놓은 권한 세트를 선택합니다. 저는 AdministratorAccess 권한 세트를 선택했습니다.
마지막으로 검토 후 제출 버튼을 클릭하면 권한 부여가 완료 됩니다.
그러면 로그인을 해 보도록 하겠습니다.
5. AWS Access 포털로 이동 : https://[your-idcenter-id].awsapps.com/start
부여된 권한으로 로그인 할 수 있는 링크가 보입니다. (다른 권한도 부여했기 때문에 더 많이 보입니다. )
콘솔 링크를 클릭해서 로그인하면 위와 같이 권한/아이디가 보입니다. (계정 정보는 마우스를 올려 놓으면 확인 가능)
이상입니다.
궁금한 점 있으시면 댓글로 남겨 주십시오.
읽어 주셔서 감사합니다.