기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # Amazon Cognito 사용자 설정 Research and Engineering Studio(RES)를 사용하면 Amazon Cognito를 기본 사용자 디렉터리로 설정할 수 있습니다. 이를 통해 사용자는 Amazon Cognito 사용자 자격 증명을 사용하여 웹 포털 및 Linux 기반 VDIs에 로그인할 수 있습니다. 관리자는 AWS 콘솔에서 csv 파일을 사용하여 여러 사용자를 사용자 풀로 가져올 수 있습니다. 대량 사용자 가져오기에 대한 자세한 내용은 *Amazon Cognito 개발자 안내서*의 [CSV 파일에서 사용자 풀로 사용자 가져오기](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-using-import-tool.html)를 참조하세요. RES는 Amazon Cognito 기반 기본 사용자 디렉터리와 SSO를 함께 사용할 수 있도록 지원합니다. ## 관리 설정 RES 관리자는 Amazon Cognito를 사용자 디렉터리로 사용하도록 RES 환경을 구성하려면 **환경** 관리 페이지에서 액세스할 수 있는 **자격 증명 관리** 페이지의 **사용자 디렉터리로 Amazon Cognito 사용** 버튼을 전환합니다. 사용자가 자체 등록하도록 허용하려면 동일한 페이지에서 **사용자 자체 등록** 버튼을 전환합니다. ![cognito 디렉터리 설정을 보여주는 자격 증명 관리 페이지](http://docs.aws.amazon.com/ko_kr/res/latest/ug/images/id-management-cognito-directory.png) ## 사용자 가입/로그인 흐름 **사용자 자체 등록**이 활성화된 경우 사용자에게 웹 애플리케이션의 URL을 제공할 수 있습니다. 여기에서 사용자는 **아직 사용자가 아니십니까?라는 옵션을 찾을 수 있습니다. 여기에서 가입**합니다. ![자체 등록 옵션이 있는 사용자 로그인 페이지](http://docs.aws.amazon.com/ko_kr/res/latest/ug/images/user-sign-up.png) ## 가입 흐름 **아직 사용자가 아님을 선택한 사용자 여기에 가입**하면 계정을 생성할 이메일과 암호를 입력하라는 메시지가 표시됩니다. ![사용자 자체 등록을 위한 계정 생성 페이지](http://docs.aws.amazon.com/ko_kr/res/latest/ug/images/create-account.png) 가입 흐름의 일부로 사용자에게 이메일에 수신된 확인 코드를 입력하여 가입 프로세스를 완료하라는 메시지가 표시됩니다. ![확인 코드 항목 페이지](http://docs.aws.amazon.com/ko_kr/res/latest/ug/images/verify-email.png) 자체 가입이 비활성화된 경우 사용자는 가입 링크를 볼 수 없습니다. 관리자는 RES 외부에서 Amazon Cognito의 사용자를 구성해야 합니다. (*Amazon Cognito 개발자 안내서*의 [관리자로 사용자 계정 생성을](https://docs.aws.amazon.com/cognito/latest/developerguide/how-to-create-user-accounts.html) 참조하세요.) ![확인 코드 항목 페이지](http://docs.aws.amazon.com/ko_kr/res/latest/ug/images/user-sign-in.png) ## 로그인 페이지 옵션 SSO와 Amazon Cognito가 모두 활성화된 경우 **조직 SSO로 로그인** 옵션이 표시됩니다. 사용자가 해당 옵션을 클릭하면 SSO 로그인 페이지로 다시 라우팅됩니다. 기본적으로 사용자는 Amazon Cognito가 활성화된 경우 Amazon Cognito로 인증합니다. ![조직 SSO를 사용하여 가입, 계정 확인 또는 로그인하는 옵션이 있는 사용자 로그인 페이지](http://docs.aws.amazon.com/ko_kr/res/latest/ug/images/org-sso-sign-in.png) ## 제약 조건 + Amazon Cognito **그룹 이름은** 최대 6자일 수 있으며 소문자만 허용됩니다. + Amazon Cognito 가입은 사용자 이름이 동일하지만 도메인 주소가 다른 두 개의 이메일 주소를 허용하지 않습니다. + Active Directory와 Amazon Cognito가 모두 활성화되어 있고 시스템에서 중복 사용자 이름을 감지하면 Active Directory 사용자만 인증할 수 있습니다. 관리자는 Amazon Cognito와 Active Directory 간에 중복 사용자 이름을 구성하지 않도록 조치를 취해야 합니다. + RES는 Windows 인스턴스에 대한 Amazon Cognito 기반 인증을 지원하지 않으므로 Cognito 사용자는 Windows 기반 VDIs를 시작할 수 없습니다. ## Amazon Cognito 사용자의 관리자 그룹 기본적으로 RES는 `admins` 그룹 관리자 권한 내에서 Cognito 사용자에게 권한을 부여합니다. Cognito `admins` 그룹에 사용자를 추가하려면: 1. [Amazon Cognito 콘솔](https://console.aws.amazon.com/cognito/home)로 이동하여 RES에 사용되는 기존 사용자 풀을 선택합니다. 1. **사용자 관리** **아래의 그룹**으로 이동한 다음 **그룹 생성을 선택합니다.** 1. **그룹 생성** 페이지의 **그룹 이름**에를 입력합니다`admins`. 1. 생성한 `admins` 그룹을 선택하고 **그룹에 사용자 추가**를 선택하여 Cognito 사용자를 추가합니다. 1. 에 따라 Cognito 동기화를 수동으로 시작합니다[동기화](#setting-up-cognito-users-sync). Amazon Cognito 동기화에 성공하면 `admins` 그룹에 추가된 사용자에게 관리자 권한이 부여됩니다. ## 동기화 RES는 매시간 Amazon Cognito의 사용자 및 그룹 정보와 데이터베이스를 동기화합니다. "관리자" 그룹에 속한 모든 사용자에게는 VDIs에 sudo 권한이 부여됩니다. Lambda 콘솔에서 수동으로 동기화를 시작할 수도 있습니다. **동기화 프로세스를 수동으로 시작합니다.** 1. [Lambda 콘솔](https://console.aws.amazon.com/lambda)을 엽니다. 1. Cognito 동기화 Lambda를 검색합니다. 이 Lambda는 명명 규칙을 따릅니다`{{{RES_ENVIRONMENT_NAME}}}_cognito-sync-lambda`. 1. **테스트를** 선택합니다. 1. **테스트 이벤트** 섹션에서 오른쪽 상단의 **테스트** 버튼을 선택합니다. 이벤트 본문 형식은 중요하지 않습니다. ## Cognito의 보안 고려 사항 2024년 12월 릴리스 이전에는 Amazon Cognito Plus 플랜 기능의 일부인 [사용자 활동 로깅](https://docs.aws.amazon.com/cognito/latest/developerguide/feature-plans-features-plus.html)이 기본적으로 활성화되었습니다. 이 기능은 RES를 시도하려는 고객의 비용을 절감하기 위해 기준 배포에서 제거되었습니다. 조직의 클라우드 보안 설정에 맞게 필요에 따라이 기능을 다시 활성화할 수 있습니다.