기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# IAM Identity Center의 계정 인스턴스
<a name="account-instances-identity-center"></a>

 IAM Identity Center의 계정 인스턴스를 사용하면 지원되는 AWS 관리형 애플리케이션과 OIDC 기반 고객 관리형 애플리케이션을 배포할 수 있습니다. 계정 인스턴스는 IAM Identity Center 인력 ID 및 액세스 포털 기능을 AWS 계정활용하여 단일에서 애플리케이션의 격리된 배포를 지원합니다.

계정 인스턴스는 단일에 바인딩되며 동일한 계정 AWS 계정 및에서 지원되는 애플리케이션에 대한 사용자 및 그룹 액세스를 관리하는 데에만 사용됩니다 AWS 리전. 계정 인스턴스는 당 1개로 제한됩니다 AWS 계정. 의 멤버 계정 AWS Organizations 또는에서 관리하지 AWS 계정 않는 독립 실행형 중 하나에서 계정 인스턴스를 생성할 수 있습니다 AWS Organizations.

IAM Identity Center의 계정 인스턴스를 활성화하는 방법에 대한 지침은 [IAM Identity Center의 인스턴스 활성화](enable-identity-center.md#to-enable-identity-center-instance) 섹션을 참조하고 **계정** 탭을 선택합니다.

## 계정 인스턴스를 사용하는 경우
<a name="when-to-use-account-instance"></a>

대부분의 경우 [조직 인스턴스](organization-instances-identity-center.md)가 권장됩니다. 계정 인스턴스는 다음 시나리오 중 하나에 해당하는 경우에만 사용합니다.
+ 지원되는 AWS 관리형 애플리케이션의 임시 평가판을 실행하여 애플리케이션이 비즈니스 요구 사항에 적합한지 확인하고자 합니다.
+ 조직 전체에서 IAM Identity Center를 채택할 계획은 없지만 하나 이상의 AWS 관리형 애플리케이션을 지원하려고 합니다.
+ IAM Identity Center의 조직 인스턴스가 있지만 지원되는 AWS 관리형 애플리케이션을 조직 인스턴스의 사용자와 구별되는 격리된 사용자 세트에 배포하고자 합니다.
+ 운영하는 AWS 조직을 제어하지 않습니다. 예를 들어, 타사는를 관리하는 AWS 조직을 제어합니다 AWS 계정.

**중요**  
IAM Identity Center를 사용하여 여러 계정의 애플리케이션을 지원하려는 경우 조직 인스턴스를 사용합니다. 계정 인스턴스는 이 사용 사례를 지원하지 않습니다.

## AWS 계정 인스턴스를 지원하는 관리형 애플리케이션
<a name="supported-aws-applications"></a>

IAM Identity Center의 계정 인스턴스[AWS IAM Identity Center와 함께 사용할 수 있는 관리형 애플리케이션](awsapps-that-work-with-identity-center.md)를 지원하는 AWS 관리형 애플리케이션은 섹션을 참조하세요. AWS 관리형 애플리케이션을 사용하여 계정 인스턴스 생성의 가용성을 확인합니다.

## 구성원 계정의 가용성 제한
<a name="account-instances-availability-contstraints"></a>

 AWS Organizations 멤버 계정에 IAM Identity Center의 계정 인스턴스를 배포하려면 다음 조건 중 하나가 true여야 합니다.
+  조직에 IAM Identity Center의 조직 인스턴스가 없습니다.
+ 조직에 IAM Identity Center의 조직 인스턴스가 있으며 인스턴스 관리자가 IAM Identity Center의 계정 인스턴스 생성을 허용합니다(2023년 11월 15일 이후에 생성된 조직 인스턴스의 경우).
+  조직에 IAM Identity Center의 조직 인스턴스가 있고 인스턴스 관리자가 조직의 멤버 계정별로 계정 인스턴스 생성을 수동으로 생성하도록 활성화했습니다(2023년 11월 15일 이전에 생성된 조직 인스턴스의 경우). 지침은 [멤버 계정에서 계정 인스턴스 생성 허용](enable-account-instance-console.md) 섹션을 참조하세요.

위의 조건 중 하나가 충족되면 다음 조건이 모두 true여야 합니다.
+ 관리자가 멤버 계정이 계정 인스턴스 생성할 수 없도록 하는 [서비스 제어 정책](control-account-instance.md)을 생성하지 않았습니다.
+  AWS 리전과 무관하게 동일한 계정에 IAM Identity Center 인스턴스가 아직 없습니다.
+ IAM Identity Center를 사용할 수 AWS 리전 있는에서 작업하고 있습니다. 리전에 대한 자세한 내용은 [IAM Identity Center 리전 데이터 스토리지 및 작업](regions.md)의 내용을 참조하세요.

## 계정 인스턴스 고려 사항
<a name="about-account-instance"></a>

계정 인스턴스는 특수 사용 사례에 맞게 설계되어 조직 인스턴스에서 사용할 수 있는 기능 하위 세트를 제공합니다. 계정 인스턴스를 생성하기 전에 고려할 사항:
+ 계정 인스턴스는 권한 세트를 지원하지 않으므로 AWS 계정액세스를 지원하지 않습니다.
+ 계정 인스턴스를 조직 인스턴스로 변환 또는 병합할 수 없습니다.
+ 일부 [AWS 관리형 애플리케이션](awsapps-that-work-with-identity-center.md)만 계정 인스턴스를 지원합니다.
+ 단일 계정에서만, 그리고 애플리케이션이 사용되는 기간 동안 애플리케이션을 사용할 격리된 사용자에 대해 계정 인스턴스를 사용합니다.
+ 계정 인스턴스에 연결된 애플리케이션은 애플리케이션과 해당 리소스를 삭제할 때까지 계정 인스턴스에 연결된 상태로 유지되어야 합니다.
+ 계정 인스턴스는 생성된 AWS 계정 에 남아 있어야 합니다.

# 멤버 계정에서 계정 인스턴스 생성 허용
<a name="enable-account-instance-console"></a>

2023년 11월 15일 이전에 IAM Identity Center를 활성화한 경우 IAM Identity Center의 [조직 인스턴스](organization-instances-identity-center.md)가 있으며 멤버 계정으로 계정 인스턴스를 생성할 수 있는 기능이 기본적으로 비활성화됩니다. IAM Identity Center 콘솔에서 계정 인스턴스 기능을 활성화하여 구성원 계정이 계정 인스턴스를 생성할 수 있는지 여부를 선택할 수 있습니다.

**조직의 구성원 계정에서 계정 인스턴스의 생성 활성화**
**중요**  
멤버 계정에 대한 IAM Identity Center의 계정 인스턴스를 활성화하는 작업은 일회성 작업입니다. 즉, 이 작업은 되돌릴 수 없습니다. 활성화되면 서비스 제어 정책(SCP)을 생성하여 계정 인스턴스 생성을 제한할 수 있습니다. 자세한 내용은 [서비스 제어 정책으로 계정 인스턴스 생성 제어](https://docs.aws.amazon.com/singlesignon/latest/userguide/control-account-instance.html)를 참조하세요.

1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.

1. **설정**을 선택한 다음 **관리** 탭을 선택합니다.

1. **IAM Identity Center의 계정 인스턴스** 섹션에서 **IAM Identity Center의 계정 인스턴스 활성화**를 선택합니다.

1. **IAM Identity Center의 계정 인스턴스 활성화** 대화 상자에서 **활성화**를 선택하여 조직의 구성원 계정에서 계정 인스턴스를 생성할 수 있도록 허용할지 여부를 확인합니다.

# 서비스 제어 정책으로 계정 인스턴스 생성 제어
<a name="control-account-instance"></a>

멤버 계정으로 계정 인스턴스를 생성하는 기능은 IAM Identity Center를 활성화한 시기에 따라 달라집니다.
+ **2023년 11월 이전** - [멤버 계정에서 계정 인스턴스 생성을 허용](enable-account-instance-console.md)해야 하며, 이 작업은 되돌릴 수 없습니다.
+ **2023년 11월 15일 이후** - 멤버 계정은 기본적으로 계정 인스턴스를 생성할 수 있습니다.

어느 경우든 서비스 제어 정책(SCP)을 사용하여 다음을 수행할 수 있습니다.
+ 모든 멤버 계정이 계정 인스턴스를 생성하지 못하도록 방지합니다.
+ 특정 멤버 계정만 계정 인스턴스를 생성하도록 허용합니다.

## 계정 인스턴스 방지
<a name="prevent-account-instances"></a>

다음 절차에 따라 멤버 계정이 IAM Identity Center의 계정 인스턴스를 생성하지 못하도록 방지하는 SCP를 생성합니다.

1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.

1. **대시보드**의 **중앙 관리** 섹션에서 **계정 인스턴스 방지** 버튼을 선택합니다.

1. **새 계정 인스턴스가 생성되지 않도록 SCP 연결** 대화 상자에 SCP가 제공됩니다. SCP를 복사하고 **SCP 대시보드로 이동** 버튼을 선택합니다. [AWS Organizations 콘솔](https://console.aws.amazon.com/organizations/v2)로 이동하여 SCP를 생성하거나 이를 기존 SCP에 명령문으로 연결할 수 있게 됩니다. SCPs의 기능입니다 AWS Organizations. SCP 연결에 대한 지침은 **AWS Organizations 사용 설명서의 [서비스 제어 정책 연결 및 분리](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)를 참조하세요.

## 계정 인스턴스 제한
<a name="limit-account-instances"></a>

이 정책은 모든 계정 인스턴스 생성을 방지하는 대신 *"<ALLOWED-ACCOUNT-ID>"* 자리 표시자에 명시적으로 나열된 것을 AWS 계정 제외한 모든에 대해 IAM Identity Center의 계정 인스턴스를 생성하려는 시도를 거부합니다.

**Example : 계정 인스턴스 생성을 제한하는 정책 거부**    
****  

```
{

    "Version":"2012-10-17",		 	 	 
    "Statement" : [
        {
            "Sid": "DenyMemberAccountInstances",
            "Effect": "Deny",
            "Action": "sso:CreateInstance",
            "Resource": "*",
            "Condition": {
                 "StringNotEquals": {
                    "aws:PrincipalAccount": ["<ALLOWED-ACCOUNT-ID>"]
                }
            }
        }
    ]
}
```
+ [*‘<ALLOWED-ACCOUNT-ID>’*]를 IAM Identity Center의 계정 인스턴스를 생성하도록 허용할 실제 AWS 계정 ID로 바꿉니다.
+ 허용되는 계정 ID는 [*‘111122223333’, ‘444455556666’*] 배열 형식으로 여러 개 나열할 수 있습니다.
+ 이 정책을 조직 SCP에 연결하여 IAM Identity Center 계정 인스턴스 생성에 대한 중앙 집중식 제어를 적용합니다.

  SCP 연결에 대한 지침은 **AWS Organizations 사용 설명서의 [서비스 제어 정책 연결 및 분리](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)를 참조하세요.