기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 액세스 제어를 위한 속성 활성화 및 구성
속성 기반 액세스 제어(ABAC)를 사용하려면 먼저 IAM Identity Center 콘솔의 **설정** 페이지 또는 [IAM Identity Center API](https://docs.aws.amazon.com//singlesignon/latest/APIReference/API_CreateInstanceAccessControlAttributeConfiguration.html)에서 이를 활성화해야 합니다. ID 소스와 관계없이 언제든지 자격 증명 스토어에서 사용자 속성을 구성하여 ABAC에 사용할 수 있습니다. 콘솔에서 **설정** 페이지의 **액세스 제어 속성** 탭으로 이동하여 이 작업을 수행할 수 있습니다. 외부 ID 제공업체(IdP)를 ID 소스로 사용하는 경우 SAML 어설션에서 외부 IdP로부터 속성을 수신하도록 선택할 수도 있습니다. 이 경우 원하는 속성을 보내도록 외부 IdP를 구성해야 합니다. SAML 어설션의 속성이 IAM Identity Center에서 ABAC 속성으로도 정의되어 있는 경우 IAM Identity Center는 AWS 계정에 로그인 시 자격 증명 스토어의 값을 [세션 태그](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_session-tags.html)로 보냅니다.
**참고**
IAM Identity Center 콘솔의 **액세스 제어 속성** 페이지에서는 외부 IdP가 구성 및 전송한 속성을 볼 수 없습니다. 외부 IdP의 SAML 어설션에 액세스 제어 속성을 전달하는 경우 사용자가 페더레이션할 때 해당 속성이 AWS 계정 로 직접 전송됩니다. 속성은 IAM Identity Center에서 매핑에 사용할 수 없습니다.
**Topics**
+ [액세스 제어에 속성 활성화](enable-abac.md)
+ [액세스 제어를 위한 속성 선택](configure-abac-attributes.md)
+ [액세스 제어의 속성 비활성화](disable-abac.md)
# 액세스 제어에 속성 활성화
다음 절차에 따라 IAM Identity Center 콘솔을 사용하여 액세스용 속성(ABAC) 제어 기능을 활성화합니다.
**참고**
기존 권한 집합이 있고 IAM Identity Center 인스턴스에서 ABAC를 활성화하려는 경우 추가 보안 제한 사항을 적용하려면 먼저 `iam:UpdateAssumeRolePolicy` 정책가 있어야 합니다. 계정에 권한 집합을 생성하지 않은 경우에는 이러한 추가 보안 제한이 필요하지 않습니다.
IAM Identity Center 인스턴스가 2020년 12월 이전에 생성되었고 해당 인스턴스에서 ABAC를 활성화하려는 경우 계정에 권한 세트가 생성되었는지 여부에 관계없이 IAM Identity Center 관리 역할과 연결된 `iam:UpdateAssumeRolePolicy` 정책이 있어야 합니다.
**액세스 제어의 속성을 활성화하려면**
1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.
1. **설정**을 선택합니다.
1. **설정** 페이지에서 **액세스 제어 정보의 속성** 정보 상자를 찾은 다음 **활성화**를 선택합니다. 다음 절차를 계속 진행하여 구성합니다.
# 액세스 제어를 위한 속성 선택
다음 절차에 따라 ABAC 구성의 속성을 설정합니다.
**IAM Identity Center 콘솔을 사용하여 속성을 선택하려면**
1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.
1. **설정**을 선택합니다.
1. **설정** 페이지에서 **액세스 제어용 속성** 탭을 선택한 다음 **속성 관리**를 선택합니다.
1. **액세스 제어 속성** 페이지에서 **속성 추가**를 선택하고 **키** 및 **값** 세부 정보를 입력합니다. 여기에서 ID에서 가져온 속성을 IAM Identity Center가 세션 태그로 전달하는 속성에 매핑합니다.
![\[IAM Identity Center 콘솔의 키 값에 대한 세부 정보입니다.\]](http://docs.aws.amazon.com/ko_kr/singlesignon/latest/userguide/images/abac_key_value.png)
**키**는 정책에 사용하기 위해 속성에 부여하는 이름을 나타냅니다. 이 이름은 임의의 이름일 수 있지만 액세스 제어를 위해 작성하는 정책에 정확한 이름을 지정해야 합니다. 예를 들어 Okta(외부 IdP)를 ID 소스로 사용하고 있으며 조직의 비용 센터 데이터를 세션 태그와 함께 전달해야 한다고 가정해 보겠습니다. **키**에는 **CostCenter**와 같이 비슷하게 일치하는 이름을 키이름으로 입력합니다. 여기서 어떤 이름을 선택하든 이름은 `aws:PrincipalTag 조건 키`(즉, `"ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"`)에서도 정확하게 같은 이름이어야 한다는 점에 유의해야 합니다.
**참고**
키에는 단일 값 속성을 사용합니다(예:)**Manager**. IAM Identity Center는 ABAC에 대한 다중 값 속성(예:)**Manager, IT Systems**을 지원하지 않습니다.
**값**은 구성된 ID 소스에서 가져온 속성의 내용을 나타냅니다. 여기에 [IAM Identity Center와 외부 ID 제공업체 디렉터리 간의 속성 매핑](attributemappingsconcept.md)에 나열된 해당 ID 소스 테이블의 모든 값을 입력할 수 있습니다. 예를 들어, 위에서 언급한 예제에 제공된 컨텍스트를 사용하여 지원되는 IdP 속성 목록을 검토하고 지원되는 속성과 가장 근접하게 일치하는 항목이 **`${path:enterprise.costCenter}`**인지 확인한 다음 **값** 필드에 입력합니다. 참조는 위에 제공된 스크린샷을 참조하세요. 참고로, SAML 어설션을 통해 속성을 전달하는 옵션을 사용하지 않는 한 ABAC의 경우 이 목록 외부의 외부 IdP 속성 값을 사용할 수 없습니다.
1. **변경 사항 저장**을 선택합니다.
이제 액세스 제어 속성 매핑을 구성했으므로 ABAC 구성 프로세스를 완료해야 합니다. 이렇게 하려면 ABAC 규칙을 생성하여 권한 집합 및/또는 리소스 기반 정책에 추가합니다. 이는 사용자 ID에 AWS 리소스에 대한 액세스 권한을 부여하기 위해 필요합니다. 자세한 내용은 [IAM Identity Center에서 ABAC에 대한 권한 정책 생성](configure-abac-policies.md) 섹션을 참조하세요.
# 액세스 제어의 속성 비활성화
다음 절차를 사용하여 ABAC 기능을 사용 중지하고 구성된 모든 속성 매핑을 삭제합니다.
**액세스 제어의 속성을 비활성화하려면**
1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.
1. **설정**을 선택합니다.
1. **설정** 페이지에서 **액세스 제어용 속성** 탭을 선택한 다음 **속성 관리**를 선택합니다.
1. **액세스 제어 속성 관리** 페이지에서 **비활성화**를 선택합니다.
1. **액세스 제어 속성 비활성화** 대화 창에서 정보를 검토하고 준비가 되면 **DISABLE**를 입력한 다음 **확인**을 선택합니다.
**중요**
이 단계를 진행하면 외부 ID 소스 제공업체의 SAML 어설션에 속성이 있는지 여부와 관계없이 모든 속성이 삭제되고 AWS 계정 에 페더레이션할 때 액세스 제어 속성의 사용이 중지됩니다.