기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
IAM Identity Center 인증 설정
IAM Identity Center 인증은 AWS DevOps 에이전트 스페이스 웹 애플리케이션에 대한 사용자 액세스를 관리하는 중앙 집중식 방법을 제공합니다. 이 가이드에서는 IAM Identity Center 인증을 구성하고 사용자를 관리하는 방법을 설명합니다.
사전 조건
IAM Identity Center 인증을 설정하기 전에 다음을 확인해야 합니다.
조직 또는 계정에서 활성화된 IAM Identity Center
in AWS DevOps 에이전트의 관리자 권한
구성되었거나 생성할 준비가 된 에이전트 공간
인증 옵션
AWS DevOps Agent는 에이전트 스페이스 웹 앱에 액세스하기 위한 두 가지 인증 방법을 제공합니다.
IAM Identity Center 인증 - 프로덕션 환경에 권장됩니다. 중앙 집중식 사용자 관리, 외부 ID 제공업체와의 통합 및 최대 12시간의 세션을 제공합니다.
관리자 액세스(IAM 인증) - 초기 설정 및 구성 중에 관리자에게 빠른 액세스를 제공합니다. 세션은 30분으로 제한됩니다.
에이전트 스페이스 생성 중 IAM Identity Center 구성
에이전트 스페이스를 생성할 때 액세스 탭에서 IAM Identity Center 인증을 구성할 수 있습니다.
1단계: 웹 앱 구성으로 이동
에이전트 스페이스 세부 정보 및 AWS 계정 액세스를 구성한 후 액세스 탭으로 이동합니다.
'IAM Identity Center 연결'과 '관리자 액세스'의 두 섹션이 표시됩니다.
2단계: IAM Identity Center 통합 구성
[에이전트 스페이스]를 IAM Identity Center에 연결 섹션에서:
IAM Identity Center 인스턴스 확인 - 콘솔에 웹 앱 사용자 액세스를 관리할 Identity Center 인스턴스가 표시됩니다(예:
ssoins-7223a9580931edbe). 가장 가까운 IAM Identity Center 인스턴스가 자동으로 미리 채워집니다.IAM Identity Center 애플리케이션 역할 이름 옵션 선택 - 다음 세 가지 옵션 중 하나를 선택합니다.
새 DevOps 에이전트 역할 자동 생성(권장):
시스템은 적절한 권한을 가진 새 서비스 역할을 자동으로 생성합니다.
가장 간단한 옵션이며 대부분의 사용 사례에서 작동합니다.
기존 역할 할당:
이미 생성한 기존 IAM 역할 사용
시스템은 역할에 필요한 권한이 있는지 확인합니다.
조직에 AWS DevOps Agent에 대한 역할이 미리 생성된 경우이 옵션을 선택합니다.
정책 템플릿을 사용하여 새 DevOps 에이전트 역할을 생성합니다.
제공된 정책 세부 정보를 사용하여 IAM 콘솔에서 사용자 지정 역할을 생성합니다.
역할 권한을 사용자 지정해야 하는 경우이 옵션을 선택합니다.
연결을 클릭하면 시스템이 자동으로 다음을 수행합니다.
지정된 IAM 역할을 생성하거나 구성합니다.
에이전트 스페이스에 대한 IAM Identity Center 애플리케이션 설정
IAM Identity Center와 에이전트 스페이스 웹 앱 간의 신뢰 관계를 설정합니다.
보안 사용자 액세스를 위한 OAuth 2.0 인증 흐름 구성
대안: 관리자 액세스 사용
IAM Identity Center를 설정하지 않고 에이전트 스페이스 웹 앱에 즉시 액세스하려는 경우:
관리자 액세스 섹션에서 관리자 액세스를 제공하는 IAM 역할 ARN을 기록해 둡니다(예:
arn:aws:iam::440491339484:role/service-role/DevOpsAgentRole-WebappAdmin-15ppoc42).파란색 관리자 액세스 버튼을 클릭하여 IAM 인증으로 Agent Space 웹 앱을 시작합니다.
이 방법을 사용하는 세션은 30분으로 제한됩니다.
참고
관리자 액세스는 초기 설정 및 구성을 위한 것입니다. 프로덕션 사용 및 지속적 작업을 위해 IAM Identity Center 인증을 구성합니다.
사용자 및 그룹 추가
IAM Identity Center 인증을 구성한 후 특정 사용자 및 그룹에 Agent Space 웹 앱에 대한 액세스 권한을 부여해야 합니다.
1단계: 사용자 관리 액세스
AWS DevOps 에이전트 콘솔에서 에이전트 스페이스를 선택합니다.
액세스 탭으로 이동
사용자 액세스에서 사용자 및 그룹 관리를 클릭합니다.
2단계: 사용자 또는 그룹 추가
사용자 또는 그룹 추가를 선택합니다.
IAM Identity Center 디렉터리에서 사용자 또는 그룹 검색
추가할 사용자 또는 그룹 옆의 확인란을 선택합니다.
추가를 클릭하여 액세스 권한을 부여합니다.
이제 선택한 사용자가 IAM Identity Center 자격 증명을 사용하여 Agent Space 웹 앱에 액세스할 수 있습니다.
외부 자격 증명 공급자 작업
IAM Identity Center에서 외부 ID 제공업체(예: Okta, Microsoft Entra ID 또는 Ping Identity)를 사용하는 경우:
사용자 및 그룹은 외부 ID 제공업체에서 IAM Identity Center로 동기화됩니다.
Agent Space 웹 앱에 사용자 및 그룹을 추가할 때 동기화된 디렉터리에서를 선택합니다.
사용자 속성 및 그룹 멤버십은 외부 자격 증명 공급자가 유지 관리합니다.
ID 제공업체의 변경 사항은 동기화 후 IAM Identity Center에 자동으로 반영됩니다.
사용자가 Agent Space 웹 앱에 액세스하는 방법
에이전트 스페이스에 사용자를 추가한 후:
에이전트 스페이스 웹 앱 URL을 승인된 사용자와 공유
사용자가 URL로 이동하면 IAM Identity Center 로그인 페이지로 리디렉션됩니다.
자격 증명을 입력한 후(구성된 경우 MFA 완료) 에이전트 스페이스 웹 앱으로 다시 리디렉션됩니다.
세션은 기본적으로 8시간 동안 유효합니다(Identity Center 관리자가 구성 가능).
사용자 액세스 관리
언제든지 사용자 액세스를 업데이트할 수 있습니다.
사용자 또는 그룹 추가:
위에서 설명한 것과 동일한 단계에 따라 사용자 또는 그룹을 추가합니다.
액세스 제거:
사용자 액세스 섹션에서 제거할 사용자 또는 그룹을 찾습니다.
이름 옆에 있는 제거 버튼을 클릭합니다.
제거 확인
제거된 사용자는 즉시 액세스 권한을 잃게 되지만 활성 세션은 만료될 때까지 계속될 수 있습니다.
세션 관리
에이전트 스페이스 웹 앱에 대한 IAM Identity Center 세션의 특성은 다음과 같습니다.
기본 세션 기간 - 8시간
세션 보안 - 향상된 보호를 위한 HTTP 전용 쿠키
다중 인증 - IAM Identity Center에 구성된 경우 지원됩니다.
API 자격 증명 - API 호출에 대해 단기(15분) SigV4 자격 증명이 발급되고 자동으로 갱신됩니다.
세션 기간을 구성하려면:
IAM Identity Center 콘솔로 이동합니다.
설정 > 인증으로 이동합니다.
세션 기간에서 원하는 기간(1시간에서 12시간)을 구성합니다.
변경 사항 저장을 선택합니다
Identity Center 연결 해제
에이전트 스페이스의 콘솔에서 오른쪽 상단의 작업을 클릭하고 IAM Identity Center에서 연결 해제를 선택합니다.
확인 대화 상자에서 확인
