

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Verified·Access에 대한 신뢰 공급자
<a name="trust-providers"></a>

신뢰 공급자는 사용자 및 디바이스에 대한 정보를 보내는 서비스입니다 AWS Verified Access. 이러한 정보를 신뢰 컨텍스트라고 합니다. 여기에는 이메일 주소, "영업" 조직의 멤버십 등 사용자 ID에 기반한 속성이나 설치된 보안 패치, 바이러스 백신 소프트웨어 버전 등 디바이스 정보가 포함될 수 있습니다.

Verified Access는 다음 범주의 신뢰 공급자를 지원합니다.
+ **사용자 자격 증명** - 사용자의 디지털 ID를 저장하고 관리하는 ID 제공업체(IdP) 서비스입니다.
+ **디바이스 관리** - 노트북, 태블릿, 스마트폰과 같은 디바이스의 디바이스 관리 시스템입니다.

**Topics**
+ [Verified Access의 사용자 자격 증명 신뢰 공급자](user-trust.md)
+ [Verified Access의 디바이스 기반 신뢰 공급자](device-trust.md)

# Verified Access의 사용자 자격 증명 신뢰 공급자
<a name="user-trust"></a>

 AWS IAM Identity Center 또는 OpenID Connect 호환 사용자 자격 증명 신뢰 공급자를 사용하도록 선택할 수 있습니다.

**Topics**
+ [신뢰 공급자로 IAM Identity Center 사용](#identity-center)
+ [OpenID Connect 신뢰 공급자 사용](#oidc-provider)

## 신뢰 공급자로 IAM Identity Center 사용
<a name="identity-center"></a>

 AWS Verified·Access에서를 *사용자 자격 증명* 신뢰 공급자 AWS IAM Identity Center 로 사용할 수 있습니다.

### 필수 조건 및 고려 사항
<a name="create-idc-prereq"></a>
+ IAM Identity Center 인스턴스는 AWS Organizations 인스턴스여야 합니다. 독립 실행형 AWS 계정 IAM Identity Center 인스턴스는 작동하지 않습니다.
+ Verified·Access 신뢰 공급자를 생성하려는 리전과 동일한 AWS 리전에서 IAM Identity Center 인스턴스를 활성화해야 합니다.
+ Verified Access는 최대 1,000개의 그룹에 할당된 IAM Identity Center의 사용자에게 액세스 권한을 제공할 수 있습니다.

다양한 인스턴스 유형에 대한 자세한 내용은 *AWS IAM Identity Center 사용 설명서*에서 [IAM Identity Center의 조직 및 계정 인스턴스 관리](https://docs.aws.amazon.com/singlesignon/latest/userguide/identity-center-instances.html)를 참조하세요.

### IAM Identity Center 신뢰 공급자 생성
<a name="create-identity-center"></a>

 AWS 계정에서 IAM Identity Center를 활성화한 후 다음 절차를 사용하여 IAM Identity Center를 Verified Access의 신뢰 공급자로 설정할 수 있습니다.

**IAM Identity Center 신뢰 공급자를 생성하려면(AWS 콘솔)**

1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.

1. 탐색 창에서 **Verified·Access 신뢰 공급자**를 선택한 다음 **Verified·Access 신뢰 공급자 생성**을 선택합니다.

1. (선택 사항) **이름 태그** 및 **설명**에 신뢰 공급자의 이름과 설명을 입력합니다.

1. **정책 참조 이름**에 나중에 정책 규칙 작업 시 사용할 식별자를 입력합니다.

1. **신뢰 공급자 유형**에서 **사용자 신뢰 공급자**를 선택합니다.

1. **사용자 신뢰 공급자 유형**에서 **IAM Identity Center**를 선택합니다.

1. (선택 사항) 태그를 추가하려면 **새 태그 추가**를 선택하고 태그 키와 태그 값을 입력합니다.

1. **Verified·Access 신뢰 공급자 생성**을 선택합니다.

**IAM Identity Center 신뢰 공급자를 생성하려면(AWS CLI)**
+ [create-verified-access-trust-provider](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-verified-access-trust-provider.html) (AWS CLI)

### IAM Identity Center 신뢰 공급자 삭제
<a name="delete-identity-center"></a>

신뢰 공급자를 삭제하기 전에 먼저 신뢰 공급자가 연결된 인스턴스에서 모든 엔드포인트 및 그룹 구성을 제거해야 합니다.

**IAM Identity Center 신뢰 공급자를 삭제하려면(AWS 콘솔)**

1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.

1. 탐색 창에서 **Verified·Access 신뢰 공급자**를 선택한 다음 **Verified·Access 신뢰 공급자**에서 삭제하려는 신뢰 공급자를 선택합니다.

1. **작업**을 선택한 다음 **Verified·Access 신뢰 공급자 삭제**를 선택합니다.

1. 텍스트 상자에 `delete`를 입력하여 삭제를 확인합니다.

1. **삭제**를 선택합니다.

**IAM Identity Center 신뢰 공급자를 삭제하려면(AWS CLI)**
+ [delete-verified-access-trust-provider](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-verified-access-trust-provider.html) (AWS CLI)

## OpenID Connect 신뢰 공급자 사용
<a name="oidc-provider"></a>

AWS Verified Access 는 표준 OpenID Connect(OIDC) 메서드를 사용하는 자격 증명 공급자를 지원합니다. OIDC 호환 공급자를 Verified·Access를 통한 *사용자 자격 증명* 신뢰 공급자로 사용할 수 있습니다. 그러나 다양한 잠재적 OIDC 공급자로 인해 AWS 는 Verified Access와의 각 OIDC 통합을 테스트할 수 없습니다.

Verified·Access는 OIDC 공급자의 `UserInfo Endpoint`(가) 평가하는 신뢰 데이터를 얻습니다. `Scope` 파라미터는 검색할 신뢰 데이터 집합을 결정하는 데 사용됩니다. 신뢰 데이터를 수신한 후에는 이를 기준으로 Verified·Access 정책이 평가됩니다.

2025년 2월 24일에 생성된 신뢰 공급자의 경우 OIDC 신뢰 공급자의 ID 토큰 클레임이 `addition_user_context` 키에 포함됩니다.

2025년 2월 24일 이전에 생성된 신뢰 공급자의 경우 Verified·Access는 OIDC 공급자가 `ID token` 전송한의 신뢰 데이터를 사용하지 않습니다. `UserInfo Endpoint`의 신뢰 데이터만 정책에 따라 평가됩니다.

2025년 2월 24일에 생성된 신뢰 공급자의 경우 기본 세션 기간은 1일입니다. 2025년 2월 24일 이전에 생성된 신뢰 공급자의 경우 기본 세션 기간은 7일입니다.

새로 고침 토큰이 지정된 경우 Verified·Access는 새로 고침 토큰의 만료를 세션 기간으로 사용합니다. 새로 고침 토큰이 없는 경우 기본 세션 기간이 사용됩니다.

**Topics**
+ [OIDC 신뢰 공급자를 생성하기 위한 사전 조건](#create-oidc-prereq)
+ [OIDC 신뢰 공급자 생성](#create-oidc-provider)
+ [OIDC 신뢰 공급자 수정](#modify-oidc-provider)
+ [OIDC 신뢰 공급자 삭제](#delete-oidc-provider)

### OIDC 신뢰 공급자를 생성하기 위한 사전 조건
<a name="create-oidc-prereq"></a>

신뢰 공급자 서비스에서 직접 다음 정보를 수집해야 합니다.
+ Issuer
+ 권한 부여 엔드포인트
+ Token 엔드포인트
+ UserInfo 엔드포인트
+ 클라이언트 ID입니다
+ 클라이언트 보안 암호(client secret)
+ Scope

### OIDC 신뢰 공급자 생성
<a name="create-oidc-provider"></a>

다음 절차에 따라 OIDC를 신뢰 공급자로 생성하십시오.

**OIDC 신뢰 공급자를 생성하려면(AWS 콘솔)**

1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.

1. 탐색 창에서 **Verified·Access 신뢰 공급자**를 선택한 다음 **Verified·Access 신뢰 공급자 생성**을 선택합니다.

1. (선택 사항) **이름 태그** 및 **설명**에 신뢰 공급자의 이름과 설명을 입력합니다.

1. **정책 참조 이름**에 나중에 정책 규칙 작업 시 사용할 식별자를 입력합니다.

1. **신뢰 공급자 유형**에서 **사용자 신뢰 공급자**를 선택합니다.

1. **사용자 신뢰 공급자 유형**에서 **OIDC(OpenID Connect)**를 선택합니다.

1. **OIDC(OpenID Connect)**에서 신뢰 공급자를 선택합니다.

1. **발급자**에 OIDC 발급자의 식별자를 입력합니다.

1. **권한 부여 엔드포인트**에 권한 부여 엔드포인트의 전체 URL을 입력합니다.

1. **토큰 엔드포인트**에 토큰 엔드포인트의 전체 URL을 입력합니다.

1. **사용자 엔드포인트**에 사용자 엔드포인트의 전체 URL을 입력합니다.

1. (기본 애플리케이션 OIDC) **퍼블릭 서명 키 URL**에 퍼블릭 서명 키 엔드포인트의 전체 URL을 입력합니다.

1. **클라이언트 ID**에 OAuth 2.0 클라이언트 식별자를 입력합니다.

1. **클라이언트 암호**에 OAuth 2.0 클라이언트 암호를 입력합니다.

1. 자격 증명 공급자가 정의한 공백으로 구분된 범위 목록을 입력합니다. 최소한 openid 범위는 범위에 필요합니다****.

1. (선택 사항) 태그를 추가하려면 **새 태그 추가**를 선택하고 태그 키와 태그 값을 입력합니다.

1. **Verified·Access 신뢰 공급자 생성**을 선택합니다.

1. OIDC 공급자의 허용 목록에 리디렉션 URI를 추가해야 합니다.
   + HTTP 애플리케이션 - URI를 사용합니다**https://application\$1domain/oauth2/idpresponse**. 콘솔의 Verified·Access 엔드포인트에 대한 **세부 정보** 탭에서 애플리케이션 도메인을 찾을 수 있습니다. AWS CLI 또는 AWS SDK를 사용하면 Verified·Access 엔드포인트를 설명할 때 애플리케이션 도메인이 출력에 포함됩니다.
   + TCP 애플리케이션 - URI를 사용합니다**http://localhost:8000**.

**OIDC 신뢰 공급자를 생성하려면(AWS CLI)**
+ [create-verified-access-trust-provider](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-verified-access-trust-provider.html) (AWS CLI)

### OIDC 신뢰 공급자 수정
<a name="modify-oidc-provider"></a>

신뢰 공급자 생성 후 해당 구성을 업데이트할 수 있습니다.

**OIDC 신뢰 공급자를 수정하려면(AWS 콘솔)**

1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.

1. 탐색 창에서 **Verified·Access 신뢰 공급자**를 선택한 다음 **Verified·Access 신뢰 공급자**에서 수정하려는 신뢰 공급자를 선택합니다.

1. **작업**을 선택한 다음 **Verified·Access 신뢰 공급자 수정**을 선택합니다.

1. 변경할 옵션을 수정합니다.

1. **Verified·Access 신뢰 공급자 수정**을 선택합니다.

**OIDC 신뢰 공급자를 수정하려면(AWS CLI)**
+ [modify-verified-access-trust-provider](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-trust-provider.html) (AWS CLI)

### OIDC 신뢰 공급자 삭제
<a name="delete-oidc-provider"></a>

사용자 신뢰 공급자를 삭제하기 전에 먼저 신뢰 공급자가 연결된 인스턴스에서 모든 엔드포인트 및 그룹 구성을 제거해야 합니다.

**OIDC 신뢰 공급자를 삭제하려면(AWS 콘솔)**

1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.

1. 탐색 창에서 **Verified·Access 신뢰 공급자**를 선택한 다음 **Verified·Access 신뢰 공급자**에서 삭제하려는 신뢰 공급자를 선택합니다.

1. **작업**을 선택한 다음 **Verified·Access 신뢰 공급자 삭제**를 선택합니다.

1. 텍스트 상자에 `delete`를 입력하여 삭제를 확인합니다.

1. **삭제**를 선택합니다.

**OIDC 신뢰 공급자를 삭제하려면(AWS CLI)**
+ [delete-verified-access-trust-provider](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-verified-access-trust-provider.html) (AWS CLI)

# Verified Access의 디바이스 기반 신뢰 공급자
<a name="device-trust"></a>

 AWS Verified·Access에서 디바이스 신뢰 공급자를 사용할 수 있습니다. Verified Access 인스턴스를 통해 여러 디바이스 신뢰 공급자를 사용할 수 있습니다.

**Topics**
+ [지원되는 디바이스 신뢰 공급자](#supported-trust-providers)
+ [디바이스 기반 신뢰 공급자 생성](#create-device-trust)
+ [디바이스 기반 신뢰 공급자 수정](#modify-device-trust)
+ [디바이스 기반 신뢰 공급자 삭제](#delete-device-trust)

## 지원되는 디바이스 신뢰 공급자
<a name="supported-trust-providers"></a>

다음 디바이스 신뢰 공급자는 Verified Access와 통합될 수 있습니다.
+ CrowdStrike - [ CrowdStrike 및 AWS Verified Access를 사용하여 프라이빗 애플리케이션 보호](https://github.com/CrowdStrike/Cloud-AWS/tree/main/verified-access)
+ Jamf - [Verified·Access를 Jamf 디바이스 자격 증명과 통합](https://learn.jamf.com/en-US/bundle/technical-paper-aws-verified-access/page/Overview.html)
+ JumpCloud - [ JumpCloud와 AWS Verified Access 통합](https://jumpcloud.com/support/integrate-with-aws-verified-access)

## 디바이스 기반 신뢰 공급자 생성
<a name="create-device-trust"></a>

다음 단계에 따라 Verified·Access와 함께 사용할 디바이스 신뢰 공급자를 생성하고 구성하십시오.

**Verified Access 디바이스 신뢰 공급자를 생성하려면(AWS 콘솔)**

1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.

1. 탐색 창에서 **Verified·Access 신뢰 공급자**를 선택한 다음 **Verified·Access 신뢰 공급자 생성**을 선택합니다.

1. (선택 사항) **이름 태그** 및 **설명**에 신뢰 공급자의 이름과 설명을 입력합니다.

1. 나중에 **정책 참조 이름**에 대한 정책 규칙을 작업할 때 사용할 식별자를 입력합니다.

1. **신뢰 공급자 유형**에서 **디바이스 자격 증명**을 선택합니다.

1. **디바이스 자격 증명 유형**에서 **Jamf**, **CrowdStrike**, 또는 **JumpCloud**를 선택합니다.

1. **테넌트 ID**에는 테넌트 애플리케이션의 식별자를 입력합니다.

1. (선택 사항) **퍼블릭 서명 키 URL**에서 디바이스 신뢰 공급자가 공유하는 고유한 키 URL을 입력합니다. (이 파라미터는 Jamf, CrowdStrike 또는 Jumpcloud에는 필요하지 않습니다.)

1. **Verified Access 신뢰 공급자 생성**을 선택합니다.

**참고**  
OIDC 공급자의 허용 목록에 리디렉션 URI를 추가해야 합니다. 이 용도로는 Verified·Access 엔드포인트의 `DeviceValidationDomain`를 사용하는 것이 좋습니다. 이는 Verified·Access 엔드포인트의 **세부 정보** 탭 AWS Management Console아래 또는를 사용하여 엔드포인트를 설명하는 AWS CLI 방법으로 확인할 수 있습니다. OIDC 공급자의 허용 목록에 다음을 추가하십시오. https://`DeviceValidationDomain`/oauth2/idpresponse

**Verified Access 디바이스 신뢰 공급자(AWS CLI)를 생성하려면**
+ [create-verified-access-trust-provider](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-verified-access-trust-provider.html) (AWS CLI)

## 디바이스 기반 신뢰 공급자 수정
<a name="modify-device-trust"></a>

신뢰 공급자 생성 후 해당 구성을 업데이트할 수 있습니다.

**Verified Access 디바이스 신뢰 공급자를 수정하려면(AWS 콘솔)**

1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.

1. 탐색 창에서 **Verified·Access 신뢰 공급자**를 선택합니다.

1. 신뢰 공급자를 선택합니다.

1. **작업**을 선택한 다음 **Verified·Access 신뢰 공급자 수정**을 선택합니다.

1. 필요에 따라 설명을 수정합니다.

1. (선택 사항) **퍼블릭 서명 키 URL**에서 디바이스 신뢰 공급자가 공유하는 고유한 키 URL을 수정합니다. (디바이스 신뢰 제공자가 Jamf, CrowdStrike 또는 Jumpcloud인 경우에는 이 파라미터가 필요하지 않습니다.)

1. **Verified Access 신뢰 공급자 수정**을 선택합니다.

**Verified Access 디바이스 신뢰 공급자(AWS CLI)를 수정하려면**
+ [modify-verified-access-trust-provider](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-trust-provider.html) (AWS CLI)

## 디바이스 기반 신뢰 공급자 삭제
<a name="delete-device-trust"></a>

신뢰 공급자 사용을 마치면 이를 삭제할 수 있습니다.

**Verified Access 디바이스 신뢰 공급자를 삭제하려면(AWS 콘솔)**

1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.

1. 탐색 창에서 **Verified·Access 신뢰 공급자**를 선택합니다.

1. **Verified·Access 신뢰 공급자**에서 삭제하려는 신뢰 공급자를 선택합니다.

1. **작업**을 선택한 다음 **Verified·Access 신뢰 공급자 삭제**를 선택합니다.

1. 확인 메시지가 나타나면 **delete**를 입력한 다음 **삭제(Delete)**를 선택합니다.

**Verified Access 디바이스 신뢰 공급자(AWS CLI)를 삭제하려면**
+ [delete-verified-access-trust-provider](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-verified-access-trust-provider.html) (AWS CLI)