기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Active Directory를 AMS AWS Identity and Access Management 역할과 연동
<a name="federate-dir-with-sent-iam-roles"></a>

디렉터리를 AMS IAM 역할과 페더레이션하는 목적은 기업 사용자가 회사 자격 증명을 사용하여 및 AWS APIs, 따라서 AMS 콘솔 및 API와 AWS Management Console 상호 작용할 수 있도록 하는 것입니다. APIs

# 페더레이션 프로세스 예제
<a name="fed-process-ex"></a>

이 예제에서는 Active Directory Federation Services(AD FS)를 사용하지만 AWS Identity and Access Management 페더레이션을 지원하는 모든 기술이 지원됩니다. AWS 지원되는 IAM 페더레이션에 대한 자세한 내용은 [IAM 파트너](https://aws.amazon.com/iam/partners/) 및 [자격 증명 공급자 및 페더레이션을 참조하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html). CSDM은 AD 팀 및 AMS와의 공동 노력이 필요한이 프로세스를 안내합니다.

API 액세스를 위한 SAML 통합에 대한 자세한 내용은이 AWS 블로그인 [ SAML 2.0 및 AD FS를 사용하여 페더레이션 API 및 CLI 액세스를 구현하는 방법을](https://blogs.aws.amazon.com/security/post/Tx1LDN0UBGJJ26Q/How-to-Implement-Federated-API-and-CLI-Access-Using-SAML-2-0-and-AD-FS) 참조하세요.

**참고**  
AMS CLI 및 SAML을 설치하는 예제는 섹션을 참조하세요[부록: ActiveDirectory Federation Services(ADFS) 클레임 규칙 및 SAML 설정](apx-adfs-claim-rule-saml.md).

# AMS 콘솔에 대한 페더레이션 구성(SALZ)
<a name="fed-with-console"></a>

다음 표에 자세히 설명된 IAM 역할 및 SAML 자격 증명 공급자(신뢰할 수 있는 엔터티)가 계정 온보딩의 일부로 프로비저닝되었습니다. 이러한 역할을 사용하면 RFCs, 서비스 요청 및 인시던트 보고서를 제출 및 모니터링하고 VPCs 및 스택에 대한 정보를 얻을 수 있습니다.


****  

| 역할 | ID 제공업체 | 권한 | 
| --- | --- | --- | 
| Customer\$1ReadOnly\$1역할 | SAML | 표준 AMS 계정의 경우. RFCs 제출하여 AMS 관리형 인프라를 변경하고 서비스 요청 및 인시던트를 생성할 수 있습니다.  | 
| customer\$1managed\$1ad\$1user\$1역할 | SAML | AMS Managed Active Directory 계정의 경우. AMS 콘솔에 로그인하여 서비스 요청 및 인시던트(RFCs. | 

다른 계정에서 사용할 수 있는 역할의 전체 목록은 섹션을 참조하세요[AMS의 IAM 사용자 역할](defaults-user-role.md).

온보딩 팀원은 연동 솔루션의 메타데이터 파일을 미리 구성된 자격 증명 공급자에 업로드합니다. 조직의 사용자가 AWS 리소스에 액세스할 수 있도록 Shibboleth 또는 Active Directory Federation Services와 같은 SAML 호환 IdP(자격 증명 공급자) 간에 신뢰를 구축하려는 경우 SAML 자격 증명 공급자를 사용합니다. IAM의 SAML 자격 증명 공급자는 위의 역할을 가진 IAM 신뢰 정책에서 보안 주체로 사용됩니다.

다른 페더레이션 솔루션은 AWS에 대한 통합 지침을 제공하지만 AMS에는 별도의 지침이 있습니다. 아래 제공된 수정 사항과 함께 [ Windows Active Directory, AD FS 및 SAML 2.0을 사용하여 AWS에 페더레이션 활성화](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/) 블로그 게시물을 사용하면 기업 사용자가 단일 브라우저에서 여러 AWS 계정에 액세스할 수 있습니다.

블로그 게시물에 따라 신뢰 당사자 신뢰를 생성한 후 다음과 같이 클레임 규칙을 구성합니다.
+ **NameId**: 블로그 게시물을 따릅니다.
+ **RoleSessionName**: 다음 값을 사용합니다.
  + **클레임 규칙 이름**: RoleSessionName
  + **속성 저장소**: Active Directory
  + **LDAP 속성**: SAM-Account-Name
  + **발신 클레임 유형**: https://aws.amazon.com/SAML/Attributes/RoleSessionName
+ AD 그룹 가져오기: 블로그 게시물을 따릅니다.
+ 역할 클레임: 블로그 게시물을 따르지만 사용자 지정 규칙의 경우 다음을 사용합니다.

  ```
  c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([^d]{12})-"]
   => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([^d]{12})-", 
   "arn:aws:iam::$1:saml-provider/customer-readonly-saml,arn:aws:iam::$1:role/"));
  ```

AD FS를 사용하는 경우 다음 표에 표시된 형식으로 각 역할에 대한 Active Directory 보안 그룹을 생성해야 합니다(customer\$1managed\$1ad\$1user\$1role은 AMS Managed AD 계정 전용).


****  

| 그룹 | 역할 | 
| --- | --- | 
| AWS-[AccountNo]-Customer\$1ReadOnly\$1Role | Customer\$1ReadOnly\$1역할 | 
| AWS-[AccountNo]-customer\$1managed\$1ad\$1user\$1role | customer\$1managed\$1ad\$1user\$1역할 | 

자세한 내용은 [ 인증 응답에 대한 SAML 어설션 구성을 참조하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html).

**작은 정보**  
문제 해결에 도움이 되도록 브라우저용 SAML 추적기 플러그인을 다운로드합니다.

# AMS에 페더레이션 요청 제출
<a name="fed-with-console-submit"></a>

첫 번째 계정인 경우 CSDM(들) 및/또는 클라우드 아키텍트(들)와 협력하여 자격 증명 공급자에 대한 메타데이터 XML 파일을 제공합니다.

추가 계정 또는 자격 증명 공급자를 온보딩하고 관리 계정 또는 원하는 애플리케이션 계정에 액세스할 수 있는 경우 다음 단계를 따릅니다.

1. AMS 콘솔에서 서비스 요청을 생성하고 자격 증명 공급자를 추가하는 데 필요한 세부 정보를 제공합니다.
   + 새 자격 증명 공급자가 생성될 계정의 AccountId입니다.
   + 원하는 자격 증명 공급자 이름이 제공되지 않은 경우 기본값은 **customer-saml**입니다. 일반적으로 이는 페더레이션 공급자에 구성된 설정과 일치해야 합니다.
   + 기존 계정의 경우 새 자격 증명 공급자를 모든 기존 콘솔 역할에 전파해야 하는지 여부를 포함하거나 새 자격 증명 공급자를 신뢰해야 하는 역할 목록을 제공합니다.
   + 페더레이션 에이전트에서 내보낸 메타데이터 XML 파일을 서비스 요청에 첨부 파일로 연결합니다.

1. 서비스 요청을 생성한 계정과 동일한 계정에서 다음 정보와 함께 CT-ID ct-1e1xtak34nx76(관리 \$1 기타 \$1 기타 \$1 생성)을 사용하여 새 RFC를 생성합니다.
   + 제목: "계정 <AccountId>의 온보딩 SAML IDP <Name>".
   + 자격 증명 공급자가 생성될 계정의 AccountId입니다.
   + 자격 증명 공급자 이름입니다.
   + 기존 계정의 경우: 자격 증명 공급자를 모든 기존 콘솔 역할에 전파해야 하는지 아니면 새 자격 증명 공급자를 신뢰해야 하는 역할 목록.
   + 메타데이터 XML 파일이 연결된 1단계에서 생성된 서비스 요청의 사례 ID입니다.

# 콘솔 액세스 확인
<a name="verify-console-access"></a>

ADFS로 설정하고 인증에 사용할 AMS URL이 있으면 다음 단계를 따릅니다.

Active Directory Federated Service(ADFS) 구성을 사용하면 다음 단계를 수행할 수 있습니다.

1. 브라우저 창을 열고 계정에 제공된 로그인 페이지로 이동합니다. 계정의 ADFS **IdpInitiatedSignOn** 페이지가 열립니다.

1. **다음 사이트 중 하나에 로그인 옆의** 라디오 버튼을 선택합니다. **로그인** 사이트 선택 목록이 활성화됩니다.

1. **signin.aws.amazon.com** 사이트를 선택하고 **로그인**을 클릭합니다. 자격 증명을 입력하는 옵션이 열립니다.

1. CORP 자격 증명을 입력하고 **로그인**을 클릭합니다. 가 AWS Management Console 열립니다.

1. AMS 콘솔의 URL을 위치 표시줄에 붙여넣고 **Enter** 키를 누릅니다. AMS 콘솔이 열립니다.

# API 액세스 확인
<a name="verify-api-access"></a>

AMS는 AMS API [참조에서 읽을 수 있는 일부 AMS 관련 작업과 함께 AWS API](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/index.html)를 사용합니다.

AWS는 [Amazon Web Services용 도구](https://aws.amazon.com/tools/)에서 액세스할 수 있는 여러 SDKs 제공합니다. SDK를 사용하지 않으려면 직접 API를 호출할 수 있습니다. 인증에 대한 자세한 내용은 [AWS API 요청 서명을 참조하세요](https://docs.aws.amazon.com/general/latest/gr/signing_aws_api_requests.html). SDK를 사용하지 않거나 직접 HTTP API 요청을 하는 경우 변경 관리(CM) 및 SKMS용 AMS CLIs를 사용할 수 있습니다.

# AMS CLIs 설치
<a name="install-cli"></a>

SAML과 함께 사용할 AWS Managed Services(AMS) CLI를 설치하는 예제는 섹션을 참조하세요[부록: ActiveDirectory Federation Services(ADFS) 클레임 규칙 및 SAML 설정](apx-adfs-claim-rule-saml.md).

임시 액세스가 필요한 경우 AWS Managed Services(AMS) SDKs. [https://docs.aws.amazon.com/managedservices/latest/userguide/access-console-temp.html](https://docs.aws.amazon.com/managedservices/latest/userguide/access-console-temp.html) 
**참고**  
이 절차를 수행하려면 관리자 자격 증명이 있어야 합니다.

AWS CLI는 AWS Managed Services(AMS) CLIs(변경 관리 및 SKMS)를 사용하기 위한 사전 조건입니다.

1. AWS CLI를 설치하려면 [AWS 명령줄 인터페이스 설치를](https://docs.aws.amazon.com/cli/latest/userguide/installing.html) 참조하고 적절한 지침을 따릅니다. 해당 페이지 하단에는 [Linux](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-linux.html), [MS Windows](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-windows.html), [macOS](https://docs.aws.amazon.com/cli/latest/userguide/cli-install-macos.html), [가상 환경](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-virtualenv.html), [번들 설치 관리자(Linux, macOS 또는 Unix)](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-bundle.html) 등 다양한 설치 프로그램을 사용하기 위한 지침이 있습니다.

   설치 후를 실행`aws help`하여 설치를 확인합니다.

1. AWS CLI가 설치되면 AMS CLI를 설치하거나 업그레이드하려면 AMS **AMS CLI** 또는 **AMS SDK** 배포 가능 zip 파일을 다운로드하고 압축을 풉니다. AMS 콘솔 왼쪽 탐색 창의 [https://console.aws.amazon.com/managedservices/developerResources](https://console.aws.amazon.com/managedservices/developerResources) 링크를 통해 AMS CLI 배포 파일에 액세스할 수 있습니다.

1. README 파일은 모든 설치에 대한 지침을 제공합니다.

   다음 중 하나를 엽니다.
   + CLI zip: AMS CLI만 제공합니다.
   + SDK zip: 모든 AMS APIs와 AMS CLI를 제공합니다.

   **Windows**의 경우 적절한 설치 관리자(32 또는 64비트 시스템만 해당)를 실행합니다.
   + 32비트: **ManagedCloudAPI\$1x86.msi**
   + 64비트: **ManagedCloudAPI\$1x64.msi**

   **Mac/Linux**의 경우 명령을 실행하여 **AWSManagedServices\$1InstallCLI.sh**라는 파일을 실행합니다`sh AWSManagedServices_InstallCLI.sh`. **amscm** 및 **amsskms** 디렉터리와 해당 콘텐츠는 **AWSManagedServices\$1InstallCLI.sh** 파일과 동일한 디렉터리에 있어야 합니다.

1. 기업 자격 증명을 AWS와의 페더레이션(AMS 기본 구성)을 통해 사용하는 경우 페더레이션 서비스에 액세스할 수 있는 자격 증명 관리 도구를 설치해야 합니다. 예를 들어이 AWS 보안 블로그 [ SAML 2.0 및 AD FS를 사용하여 연합 API 및 CLI 액세스를 구현하는 방법을](https://blogs.aws.amazon.com/security/post/Tx1LDN0UBGJJ26Q/How-to-Implement-Federated-API-and-CLI-Access-Using-SAML-2-0-and-AD-FS) 사용하여 자격 증명 관리 도구를 구성할 수 있습니다.

1. 설치 후 `aws amscm help` 및를 실행`aws amsskms help`하여 명령과 옵션을 확인합니다.
**참고**  
이러한 명령이 작동하려면 AMS CLI가 설치되어 있어야 합니다. AMS API 또는 CLI를 설치하려면 AMS 콘솔 **개발자 리소스** 페이지로 이동합니다. AMS CM API 또는 AMS SKMS API에 대한 참조 자료는 사용 설명서의 AMS 정보 리소스 섹션을 참조하세요. 인증 `--profile` 옵션을 추가해야 할 수 있습니다. 예: `aws amsskms ams-cli-command --profile SAML`. 와 같이 모든 AMS 명령이 us-east-1에서 실행되므로 `--region` 옵션을 추가해야 할 수도 있습니다`aws amscm ams-cli-command --region=us-east-1`.

# VPC 수준에서 AMS 백업 예약
<a name="schedule-backups"></a>

대상 인스턴스가 할당된 VPC의 AWS Managed Services(AMS) 백업 예약은 VPC 생성 스키마의 기본 태그를 사용하여 계정 온보딩 중에 생성됩니다. 백업 시스템은 해당 VPC 태그에 따라 스냅샷 실행을 예약합니다. 서비스 요청을 생성하여 일정을 수정할 수 있습니다. 자세한 내용은 [VPC 태그 및 기본값을 참조하세요](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/vpc-tag-and-defaults.html).

백업 기본값은 [AMS 기본값 이해를 참조하세요](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/backup-defaults.html).