기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# IAM Identity Center 인증 설정
IAM Identity Center 인증은 AWS DevOps 에이전트 스페이스 웹 애플리케이션에 대한 사용자 액세스를 관리하는 중앙 집중식 방법을 제공합니다. 이 가이드에서는 IAM Identity Center 인증을 구성하고 사용자를 관리하는 방법을 설명합니다.
## 사전 조건
IAM Identity Center 인증을 설정하기 전에 다음을 확인해야 합니다.
+ 조직 또는 계정에서 활성화된 IAM Identity Center
+ in AWS DevOps 에이전트의 관리자 권한
+ 구성되었거나 생성할 준비가 된 에이전트 공간
## 인증 옵션
AWS DevOps Agent는 에이전트 스페이스 웹 앱에 액세스하기 위한 두 가지 인증 방법을 제공합니다.
**IAM Identity Center 인증** - 프로덕션 환경에 권장됩니다. 중앙 집중식 사용자 관리, 외부 ID 제공업체와의 통합 및 최대 12시간의 세션을 제공합니다.
**관리자 액세스(IAM 인증)** - 초기 설정 및 구성 중에 관리자에게 빠른 액세스를 제공합니다. 세션은 30분으로 제한됩니다.
## 에이전트 스페이스 생성 중 IAM Identity Center 구성
에이전트 스페이스를 생성할 때 **액세스** 탭에서 IAM Identity Center 인증을 구성할 수 있습니다.
### 1단계: 웹 앱 구성으로 이동
1. 에이전트 스페이스 세부 정보 및 AWS 계정 액세스를 구성한 후 **액세스** 탭으로 이동합니다.
1. 'IAM Identity Center 연결'과 '관리자 액세스'의 두 섹션이 표시됩니다.
### 2단계: IAM Identity Center 통합 구성
**[에이전트 스페이스]를 IAM Identity Center에 연결** 섹션에서:
1. **IAM Identity Center 인스턴스 확인** - 콘솔에 웹 앱 사용자 액세스를 관리할 Identity Center 인스턴스가 표시됩니다(예: `ssoins-7223a9580931edbe`). 가장 가까운 IAM Identity Center 인스턴스가 자동으로 미리 채워집니다.
1. **IAM Identity Center 애플리케이션 역할 이름 옵션 선택** - 다음 세 가지 옵션 중 하나를 선택합니다.
**새 DevOps 에이전트 역할 자동 생성**(권장):
+ 시스템은 적절한 권한을 가진 새 서비스 역할을 자동으로 생성합니다.
+ 가장 간단한 옵션이며 대부분의 사용 사례에서 작동합니다.
**기존 역할 할당**:
+ 이미 생성한 기존 IAM 역할 사용
+ 시스템은 역할에 필요한 권한이 있는지 확인합니다.
+ 조직에 AWS DevOps Agent에 대한 역할이 미리 생성된 경우이 옵션을 선택합니다.
**정책 템플릿을 사용하여 새 DevOps 에이전트 역할을 생성합니다**.
+ 제공된 정책 세부 정보를 사용하여 IAM 콘솔에서 사용자 지정 역할을 생성합니다.
+ 역할 권한을 사용자 지정해야 하는 경우이 옵션을 선택합니다.
연결을 클릭하면 시스템이 자동으로 다음을 수행합니다.
+ 지정된 IAM 역할을 생성하거나 구성합니다.
+ 에이전트 스페이스에 대한 IAM Identity Center 애플리케이션 설정
+ IAM Identity Center와 에이전트 스페이스 웹 앱 간의 신뢰 관계를 설정합니다.
+ 보안 사용자 액세스를 위한 OAuth 2.0 인증 흐름 구성
### 대안: 관리자 액세스 사용
IAM Identity Center를 설정하지 않고 에이전트 스페이스 웹 앱에 즉시 액세스하려는 경우:
1. **관리자 액세스** 섹션에서 관리자 액세스를 제공하는 IAM 역할 ARN을 기록해 둡니다(예: `arn:aws:iam::440491339484:role/service-role/DevOpsAgentRole-WebappAdmin-15ppoc42`).
1. 파란색 **관리자 액세스** 버튼을 클릭하여 IAM 인증으로 Agent Space 웹 앱을 시작합니다.
1. 이 방법을 사용하는 세션은 30분으로 제한됩니다.
**참고**
** 관리자 액세스는 초기 설정 및 구성을 위한 것입니다. 프로덕션 사용 및 지속적 작업을 위해 IAM Identity Center 인증을 구성합니다.
## 사용자 및 그룹 추가
IAM Identity Center 인증을 구성한 후 특정 사용자 및 그룹에 Agent Space 웹 앱에 대한 액세스 권한을 부여해야 합니다.
### 1단계: 사용자 관리 액세스
1. AWS DevOps 에이전트 콘솔에서 에이전트 스페이스를 선택합니다.
1. **액세스** 탭으로 이동
1. **사용자 액세스**에서 **사용자 및 그룹 관리를 클릭합니다.**
### 2단계: 사용자 또는 그룹 추가
1. **사용자 또는 그룹 추가를 선택합니다.**
1. IAM Identity Center 디렉터리에서 사용자 또는 그룹 검색
1. 추가할 사용자 또는 그룹 옆의 확인란을 선택합니다.
1. **추가**를 클릭하여 액세스 권한을 부여합니다.
이제 선택한 사용자가 IAM Identity Center 자격 증명을 사용하여 Agent Space 웹 앱에 액세스할 수 있습니다.
### 외부 자격 증명 공급자 작업
IAM Identity Center에서 외부 ID 제공업체(예: Okta, Microsoft Entra ID 또는 Ping Identity)를 사용하는 경우:
+ 사용자 및 그룹은 외부 ID 제공업체에서 IAM Identity Center로 동기화됩니다.
+ Agent Space 웹 앱에 사용자 및 그룹을 추가할 때 동기화된 디렉터리에서를 선택합니다.
+ 사용자 속성 및 그룹 멤버십은 외부 자격 증명 공급자가 유지 관리합니다.
+ ID 제공업체의 변경 사항은 동기화 후 IAM Identity Center에 자동으로 반영됩니다.
## 사용자가 Agent Space 웹 앱에 액세스하는 방법
에이전트 스페이스에 사용자를 추가한 후:
1. 에이전트 스페이스 웹 앱 URL을 승인된 사용자와 공유
1. 사용자가 URL로 이동하면 IAM Identity Center 로그인 페이지로 리디렉션됩니다.
1. 자격 증명을 입력한 후(구성된 경우 MFA 완료) 에이전트 스페이스 웹 앱으로 다시 리디렉션됩니다.
1. 세션은 기본적으로 8시간 동안 유효합니다(Identity Center 관리자가 구성 가능).
## 사용자 액세스 관리
언제든지 사용자 액세스를 업데이트할 수 있습니다.
**사용자 또는 그룹 추가:**
+ 위에서 설명한 것과 동일한 단계에 따라 사용자 또는 그룹을 추가합니다.
**액세스 제거:**
1. **사용자 액세스** 섹션에서 제거할 사용자 또는 그룹을 찾습니다.
1. 이름 옆에 있는 **제거** 버튼을 클릭합니다.
1. 제거 확인
제거된 사용자는 즉시 액세스 권한을 잃게 되지만 활성 세션은 만료될 때까지 계속될 수 있습니다.
## 세션 관리
에이전트 스페이스 웹 앱에 대한 IAM Identity Center 세션의 특성은 다음과 같습니다.
+ **기본 세션 기간** - 8시간
+ **세션 보안** - 향상된 보호를 위한 HTTP 전용 쿠키
+ **다중 인증 -** IAM Identity Center에 구성된 경우 지원됩니다.
+ **API 자격 증명** - API 호출에 대해 단기(15분) SigV4 자격 증명이 발급되고 자동으로 갱신됩니다.
세션 기간을 구성하려면:
1. IAM Identity Center 콘솔로 이동합니다.
1. **설정** > **인증**으로 이동합니다.
1. **세션 기간**에서 원하는 기간(1시간에서 12시간)을 구성합니다.
1. **변경 사항 저장**을 선택합니다
## Identity Center 연결 해제
1. 에이전트 스페이스의 콘솔에서 오른쪽 상단의 **작업을** 클릭하고 **IAM Identity Center에서 연결 해제**를 선택합니다.
1. 확인 대화 상자에서 확인