기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# IAM Identity Center 활성화
<a name="enable-identity-center"></a>

IAM Identity Center를 활성화할 때 활성화할 AWS IAM Identity Center 인스턴스 유형을 선택합니다. 서비스의 인스턴스는 AWS 환경 내에서 서비스를 한 번만 배포하는 것입니다. IAM Identity Center에서 사용할 수 있는 두 가지 인스턴스 유형은 조직 인스턴스와 계정 인스턴스입니다. 활성화할 수 있는 인스턴스 유형은 로그인한 계정 유형에 따라 다릅니다.

다음 목록은 각 유형의 AWS 계정에 대해 활성화할 수 있는 IAM Identity Center 인스턴스의 유형을 식별합니다.
+ ** AWS Organizations 관리 계정(권장)** - IAM Identity Center의 [조직 인스턴스](organization-instances-identity-center.md)를 생성하는 데 필요합니다. 조직 인스턴스를 사용하여 조직 전체에 걸쳐 다중 계정 권한 및 애플리케이션 할당을 수행할 수 있습니다. 이 인스턴스 유형을 추가 리전에 복제하여 계정 액세스의 복원력을 높이고 AWS 애플리케이션 배포 리전을 선택할 때 유연성을 높일 수 있습니다.
+ ** AWS Organizations 멤버 계정** -를 사용하여 IAM Identity Center의 [계정 인스턴스](account-instances-identity-center.md)를 생성하여 해당 멤버 계정 내에서 애플리케이션 할당을 활성화합니다. 구성원 수준 인스턴스가 있는 하나 이상의 계정이 조직에 존재할 수 있습니다.
+ **독립 실행형 AWS 계정**-를 사용하여 IAM Identity Center의 [조직 인스턴스](organization-instances-identity-center.md) 또는 [계정 인스턴스](account-instances-identity-center.md)를 생성합니다. 독립 실행형 AWS 계정 는에서 관리하지 않습니다 AWS Organizations. IAM Identity Center의 인스턴스 하나만 독립 실행형에 연결하고 해당 인스턴스를 독립 실행형 내의 애플리케이션 할당에 AWS 계정 사용할 수 있습니다 AWS 계정.

**중요**  
조직 관리 계정은 서비스 제어 정책을 사용하여 [조직 멤버 계정이 IAM Identity Center의 계정 인스턴스를 생성](https://docs.aws.amazon.com/singlesignon/latest/userguide/control-account-instance.html)할 수 있는지 여부를 제어할 수 있습니다.  
프리 티어 계정을 사용하는 경우 AWS 조직을 생성하면 사용한 pay-as-you-go 요금으로 계정을 유료 플랜으로 자동 업그레이드합니다. 프리 티어 크레딧은 즉시 만료됩니다. 자세한 내용은 [AWS 프리 티어 FAQs](https://aws.amazon.com/free/free-tier-faqs/).

다양한 인스턴스 유형에서 제공하는 다양한 기능을 비교하려면 [IAM Identity Center의 조직 및 계정 인스턴스](identity-center-instances.md) 섹션을 참조하세요.

IAM Identity Center를 활성화하기 전에 [IAM Identity Center 전제 조건 및 고려 사항](identity-center-prerequisites.md) 섹션을 검토하는 것이 좋습니다.

## IAM Identity Center의 인스턴스 활성화
<a name="to-enable-identity-center-instance"></a>

조직 또는 계정 인스턴스 중 활성화하려는 IAM Identity Center 인스턴스 유형의 탭을 선택합니다.

------
#### [ Organization (recommended) ]

1. 다음 중 하나를 수행하여 AWS Management Console에 로그인합니다.
   + **신규 사용자 AWS (루트 사용자)** - **루트 사용자를** 선택하고 AWS 계정 이메일 주소를 입력하여 계정 소유자로 로그인합니다. 다음 페이지에서 비밀번호를 입력합니다.
   + **독립형 AWS 계정 (IAM 자격 증명)과 AWS 함께를 이미 사용** 중 - 관리 권한이 있는 IAM 자격 증명을 사용하여 로그인합니다.
   + **이미 사용 중 AWS Organizations (IAM 자격 증명)** - 관리 계정 자격 증명을 사용하여 로그인합니다.

1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.

1. (선택 사항) 기본 관리형 키가 아닌 고객 AWS 관리형 KMS 키를 저장 시 암호화에 사용하려면 **IAM Identity Center 저장 시 데이터 암호화를 위한 키 섹션에서 고객 관리형 키를** 구성합니다. 자세한 정보는 [에서 고객 관리형 KMS 키 구현 AWS IAM Identity Center](identity-center-customer-managed-keys.md) 섹션을 참조하세요.
**중요**  
KMS 고객 관리형 키 사용에 필요한 권한을 구성한 경우에만 이 단계를 수행합니다. 적절한 권한이 없으면이 단계가 실패하거나 IAM Identity Center 관리 및 AWS 관리형 애플리케이션을 중단시킬 수 있습니다.

1. **IAM Identity Center 활성화**에서 **활성화**를 선택합니다.

1. ** AWS Organizations를 사용하여 IAM Identity Center 활성화** 페이지에서 정보를 검토한 다음 **활성화**를 선택하여 프로세스를 완료합니다.
**참고**  
AWS Organizations 는 단일 AWS 리전에서만 IAM Identity Center를 활성화할 수 있습니다. IAM Identity Center를 활성화한 후 IAM Identity Center가 활성화된 리전을 변경해야 하는 경우 현재 인스턴스를 [삭제](delete-config.md)하고 다른 리전에서 인스턴스를 생성해야 합니다.

조직 인스턴스를 활성화한 후 다음 단계를 수행하여 환경 설정을 완료하는 것이 좋습니다.
+ 선택한 자격 증명 소스를 사용하고 있는지 확인합니다. ID 소스가 이미 할당된 경우 계속 사용할 수 있습니다. 자세한 내용은 [IAM Identity Center에서 ID 소스 확인](confirm-identity-source.md) 단원을 참조하십시오.
+ 멤버 계정을 위임된 관리자 계정으로 등록합니다. 자세한 내용은 [위임된 관리](delegated-admin.md) 단원을 참조하십시오.
+ IAM Identity Center는 AWS 리소스에 대한 액세스 포털을 제공합니다. 차세대 방화벽(NGFW) 또는 보안 웹 게이트웨이(SWG)와 같은 웹 콘텐츠 필터링 솔루션을 사용하여 특정 AWS 도메인 또는 URL 엔드포인트에 대한 액세스를 필터링하는 경우 섹션을 참조하세요[에 대한 액세스를 허용하도록 방화벽 및 게이트웨이 업데이트 AWS 액세스 포털](enable-identity-center-portal-access.md).

------
#### [ Account ]

1. 다음 중 하나를 수행하여 AWS Management Console에 로그인합니다.
   + **신규 사용자 AWS (루트 사용자)** - **루트 사용자를** 선택하고 AWS 계정 이메일 주소를 입력하여 계정 소유자로 로그인합니다. 다음 페이지에서 비밀번호를 입력합니다.
   + **이미 사용 중 AWS (IAM 자격 증명)** - 관리 권한이 있는 IAM 자격 증명을 사용하여 로그인합니다.
   + **이미 사용 중 AWS Organizations (IAM 자격 증명)** - 멤버 계정 관리 자격 증명을 사용하여 로그인합니다.

1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.

1. 를 처음 AWS 사용하거나 독립 실행형가 있는 경우 **IAM Identity Center 활성화** AWS 계정에서 **활성화**를 선택합니다.

   ** AWS Organizations를 사용하여 IAM Identity Center 활성화** 페이지가 표시됩니다. 이 옵션은 권장 사항이지만 필수는 아닙니다.

   **IAM Identity Center의 계정 인스턴스 활성화** 링크를 선택합니다.

1.  AWS Organizations 멤버 계정의 관리자인 경우 **IAM Identity Center의 계정 인스턴스 활성화**에서 **계정 인스턴스 활성화를** 선택합니다.

1. **IAM Identity Center의 계정 인스턴스 활성화** 페이지에서 정보를 검토하고 *선택적으로* 이 계정 인스턴스와 연결할 태그를 추가합니다. 그런 다음 **활성화**를 선택하여 프로세스를 완료합니다.
**참고**  
 AWS 계정이 조직의 멤버인 경우 IAM Identity Center의 계정 인스턴스를 활성화하는 기능에 제한이 있을 수 있습니다.  
조직에서 2023년 11월 15일 이전에 IAM Identity Center를 활성화한 경우 멤버 계정이 계정 인스턴스를 생성할 수 있는 기능은 기본적으로 비활성화되어 있으므로 조직의 관리 계정에서 활성화해야 합니다.
조직에서 2023년 11월 15일 이후에 IAM Identity Center를 활성화한 경우에는 멤버 계정이 계정 인스턴스를 생성할 수 있는 기능이 기본적으로 활성화되어 있습니다. 그러나 서비스 제어 정책을 사용하여 조직 내에 IAM Identity Center의 계정 인스턴스가 생성되지 않도록 할 수 있습니다.
자세한 내용은 [멤버 계정에서 계정 인스턴스 생성 허용](enable-account-instance-console.md) 및 [서비스 제어 정책으로 계정 인스턴스 생성 제어](control-account-instance.md) 섹션을 참조하세요.

------

# IAM Identity Center에서 ID 소스 확인
<a name="confirm-identity-source"></a>

IAM Identity Center의 ID 소스는 사용자 및 그룹을 관리하는 위치를 정의합니다. IAM Identity Center를 활성화한 후 선택한 ID 소스를 사용하고 있는지 확인합니다. ID 소스가 이미 할당된 경우 계속 사용할 수 있습니다.

Active Directory 또는 외부 ID 제공업체를 통해 사용자 및 그룹을 관리하고 있다면, IAM Identity Center를 활성화하고 ID 소스를 선택할 때 해당 ID 소스를 연결하는 것을 고려해 보는 것이 좋습니다. 기본 Identity Center 디렉터리에 사용자 및 그룹을 생성하고 할당하기 전에 이 작업을 수행해야 합니다.

 사용자와 그룹을 IAM Identity Center의 한 ID 소스에서 관리하고 있을 때, 다른 ID 소스가 관리하는 것으로 변경하면 IAM Identity Center에서 구성한 모든 사용자 및 그룹 할당이 제거될 수 있습니다. 이 경우 IAM Identity Center의 관리 사용자를 포함한 모든 사용자는 AWS 계정 및 애플리케이션에 대한 Single Sign-On 액세스 권한을 잃게 됩니다. 자세한 내용은 [ID 소스 변경 시 고려 사항](manage-your-identity-source-considerations.md) 단원을 참조하십시오.

**자격 증명 소스를 확인하려면**

1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.

1. **대시보드** 페이지의 **권장 설정 단계** 섹션에서 **ID 소스 확인**을 선택합니다. **설정**을 선택하고 **ID 소스** 탭을 선택하여 이 페이지에 액세스할 수도 있습니다.

1. 할당된 ID 소스를 유지하려는 경우에는 별도의 작업을 수행할 필요가 없습니다. 소스를 변경하려면 **작업**을 선택한 다음 **ID 소스 변경**을 선택합니다.

다음 중 하나를 ID 소스로 선택할 수 있습니다.

**Identity Center 디렉터리**  
IAM Identity Center를 처음 활성화하면 Identity Center 디렉터리를 사용하여 자동으로 구성됩니다. 다른 외부 자격 증명 공급자를 아직 사용하지 않는 경우 사용자 및 그룹 생성을 시작하고 AWS 계정 및 애플리케이션에 대한 액세스 수준을 할당할 수 있습니다. 이 ID 소스 사용에 관한 자습서는 [기본 IAM Identity Center 디렉터리를 사용하여 사용자 액세스를 구성합니다.](quick-start-default-idc.md)의 내용을 참조하세요.

** Active Directory**  
 Directory Service 를 사용하여 AWS Managed Microsoft AD 디렉터리의 사용자 및 그룹을 이미 관리하거나의 자체 관리형 디렉터리를 관리하는 경우 IAM Identity Center를 활성화할 때 해당 디렉터리를 연결하는 Active Directory (AD)것이 좋습니다. 기본 Identity Center 디렉터리에 사용자 및 그룹을 생성하지 마세요. IAM Identity Center는 AWS Directory Service 에서 제공하는 연결을 사용하여 Active Directory의 소스 디렉터리에 있는 사용자, 그룹 및 구성원 정보를 IAM Identity Center ID 스토어로 동기화합니다. 자세한 내용은 [Microsoft AD 디렉터리](manage-your-identity-source-ad.md) 단원을 참조하십시오.  
IAM Identity Center는 SAMBA4 기반 Simple AD를 ID 소스로 지원하지 않습니다.

**외부 ID 제공업체**  
Okta 또는 Microsoft Entra ID 등 외부 ID 제공업체(IdP)의 경우, IAM Identity Center를 사용해 SAML(Security Assertion Markup Language) 2.0 표준으로 IdP의 ID를 인증할 수 있습니다. SAML 프로토콜은 사용자 및 그룹에 대해 알아보기 위해 IdP에 문의하는 방법을 제공하지 않습니다. IAM Identity Center에 해당 사용자와 그룹을 프로비저닝하여 IAM Identity Center에서 해당 사용자와 그룹을 인식합니다. IAM Identity Center는 IdP에서 SCIM(System for Cross-domain Identity Management)을 지원하는 경우 SCIM v2.0 프로토콜을 사용하여 IdP의 사용자 및 그룹 정보를 IAM Identity Center로 자동 프로비저닝(동기화)할 수 있도록 지원합니다. 그렇지 않으면 사용자 이름, 이메일 주소, 그룹을 IAM Identity Center에 수동으로 입력하여 사용자 및 그룹을 수동으로 프로비저닝할 수 있습니다.  
ID 소스 설정에 대한 자세한 지침은 [IAM Identity Center의 ID 소스 자습서](tutorials.md)을 참조하세요.  
외부 ID 제공업체를 사용할 계획이라면 IAM Identity Center가 아닌 외부 IdP에서 다중 인증(MFA) 설정을 관리한다는 점에 유의하세요. 외부 ID 제공업체에 대해 IAM Identity Center의 MFA가 지원되지 않습니다. 자세한 내용은 [사용자에게 MFA에 대한 메시지 표시](mfa-getting-started.md) 단원을 참조하십시오.

**참고**  
IAM Identity Center를 추가 리전에 복제하려는 경우 외부 ID 제공업체를 구성해야 합니다. 사전 조건을 포함한 자세한 내용은 섹션을 참조하세요[여러에서 IAM Identity Center 사용 AWS 리전](multi-region-iam-identity-center.md).

# 에 대한 액세스를 허용하도록 방화벽 및 게이트웨이 업데이트 AWS 액세스 포털
<a name="enable-identity-center-portal-access"></a>

 AWS 액세스 포털은 사용자에게 Office 365, Concur, Salesforce 등과 같이 AWS 계정 가장 일반적으로 사용되는 모든 클라우드 애플리케이션에 대한 Single Sign-On 액세스를 제공합니다. 포털에서 AWS 계정 또는 애플리케이션 아이콘을 선택하여 여러 애플리케이션을 빠르게 시작할 수 있습니다.

**참고**  
AWS 관리형 애플리케이션은 IAM Identity Center와 통합되어 인증 및 디렉터리 서비스에 사용하지만 애플리케이션 액세스에는 AWS 액세스 포털을 사용하지 않을 수 있습니다.

차세대 방화벽(NGFW) 또는 보안 웹 게이트웨이(SWG)와 같은 웹 콘텐츠 필터링 솔루션을 사용하여 특정 AWS 도메인 또는 URL 엔드포인트에 대한 액세스를 필터링하는 경우 AWS 액세스 포털과 연결된 도메인 및 URL 엔드포인트를 허용 목록에 추가해야 합니다.

다음 목록은 웹 콘텐츠 필터링 솔루션 허용 목록에 추가할 IPv4 및 듀얼 스택 도메인과 URL 엔드포인트를 제공합니다.

**IPv4 허용 목록**
+ `[Directory ID or alias].awsapps.com`
+ `[Identity Center instance ID].[Region].portal.amazonaws.com`
+ `*.aws.dev`
+ `*.awsstatic.com`
+ `*.console.aws.a2z.com`
+ `oidc.[Region].amazonaws.com`
+ `*.sso.amazonaws.com`
+ `*.sso.[Region].amazonaws.com `
+ `*.sso-portal.[Region].amazonaws.com`
+ `[Region].prod.pr.panorama.console.api.aws/panoramaroute`
+ `[Region].signin.aws`
+ `[Region].signin.aws.amazon.com`
+ `signin.aws.amazon.com`
+ `*.cloudfront.net`
+ `opfcaptcha-prod.s3.amazonaws.com`

**듀얼 스택 허용 목록**
+ `[Identity Center instance ID].portal.[Region].app.aws`
+ `*.aws.dev`
+ `*.awsstatic.com`
+ `*.console.aws.a2z.com`
+ `oidc.[Region].api.aws`
+ `sso.[Region].api.aws`
+ `portal.sso.[Region].api.aws`
+ `[Region].sso.signin.aws`
+ `[Region].signin.aws.amazon.com`
+ `signin.aws.amazon.com`
+ `*.cloudfront.net`
+ `cdn.us-east-1.threat-mitigation.aws.amazon.com`
+ `us-east-1.threat-mitigation.aws.amazon.com`
+ `amcs-captcha-prod-us-east-1.s3.dualstack.us-east-1.amazonaws.com`

**통합 허용 목록(IPv4 \$1 이전 버전과의 호환성을 갖춘 듀얼 스택)**
+ `[Directory ID or alias].awsapps.com`
+ `[Identity Center instance ID].[Region].portal.amazonaws.com`
+ `[Identity Centers instance ID].portal.[Region].app.aws`
+ `*.aws.dev`
+ `*.awsstatic.com`
+ `*.console.aws.a2z.com`
+ `oidc.[Region].amazonaws.com`
+ `oidc.[Region].api.aws`
+ `*.sso.amazonaws.com`
+ `*.sso.[Region].amazonaws.com`
+ `sso.[Region].api.aws`
+ `*.sso-portal.[Region].amazonaws.com`
+ `portal.sso.[Region].api.aws`
+ `[Region].prod.pr.panorama.console.api.aws/panoramaroute`
+ `[Region].signin.aws`
+ `[Region].sso.signin.aws`
+ `[Region].signin.aws.amazon.com`
+ `signin.aws.amazon.com`
+ `*.cloudfront.net`
+ `opfcaptcha-prod.s3.amazonaws.com`
+ `cdn.us-east-1.threat-mitigation.aws.amazon.com`
+ `us-east-1.threat-mitigation.aws.amazon.com`
+ `amcs-captcha-prod-us-east-1.s3.dualstack.us-east-1.amazonaws.com`

## 도메인 및 URL 엔드포인트 허용 목록에 대한 고려 사항
<a name="allowlist-considerations"></a>

 AWS 액세스 포털의 허용 목록 요구 사항 외에도 사용하는 다른 서비스 및 애플리케이션에는 도메인 허용 목록이 필요할 수 있습니다.
+ 액세스 포털에서 AWS 계정 AWS Management Console및 IAM Identity Center 콘솔에 AWS 액세스하려면 추가 도메인을 허용해야 합니다. AWS Management Console 도메인 목록은 *AWS Management Console 시작 안내서*의 [문제 해결을](https://docs.aws.amazon.com//awsconsolehelpdocs/latest/gsg/troubleshooting.html) 참조하세요.
+  AWS 액세스 포털에서 AWS 관리형 애플리케이션에 액세스하려면 해당 도메인을 허용 목록에 추가해야 합니다. 지침은 해당 서비스 설명서를 참조하세요.
+ 외부 IdPs(예: Okta 및 Microsoft Entra ID)와 같은 외부 소프트웨어를 사용하는 경우 허용 목록에 도메인을 포함해야 합니다.