편집

AWS용 Microsoft Entra ID 관리 및 액세스 관리

Azure
Microsoft Entra ID

이 문서에서는 AWS ID 설계자, 관리자 및 보안 분석가에게 즉각적인 인사이트와 AWS용 Microsoft Entra ID 및 액세스 솔루션을 배포하기 위한 자세한 지침을 제공합니다. 전환할 준비가 될 때까지 기존 ID 공급자 및 AWS 계정 사용자에게 영향을 주지 않고 이러한 Microsoft 보안 솔루션을 구성하고 테스트할 수 있습니다.

아키텍처

AWS는 만드는 각 계정에 대해 별도의 IAM(ID 및 액세스 관리) 저장소를 만듭니다. 다음 다이어그램에서는 단일 AWS 계정을 사용하는 AWS 환경에 대한 표준 설정을 보여 줍니다.

Diagram showing a single-account AWS environment.

루트 사용자는 AWS 계정을 완전히 제어하고 다른 ID에 대한 액세스를 위임합니다. AWS IAM 보안 주체는 AWS 계정에 액세스해야 하는 각 역할 및 사용자에 대해 고유한 ID를 제공합니다. AWS IAM은 복잡한 암호와 기본 MFA를 사용하여 각 루트, 보안 주체 및 사용자 계정을 보호할 수 있습니다.

많은 조직에는 둘 이상의 AWS 계정이 필요하므로 관리하기 복잡한 ID 사일로가 생성됩니다.

Diagram showing a multiple-account AWS environment.

중앙 집중식 ID 관리를 허용하고 여러 ID 및 암호를 관리할 필요가 없도록 대부분의 조직에서는 플랫폼 리소스에 Single Sign-On을 사용하려고 합니다. 일부 AWS 고객은 SSO 통합을 위해 서버 기반 Microsoft Active Directory를 사용합니다. 다른 고객은 ID를 동기화하거나 페더레이션하고 SSO를 제공하기 위해 타사 솔루션에 투자합니다.

Microsoft Entra ID는 강력한 SSO 인증을 통해 중앙 집중식 ID 관리를 제공합니다. AWS를 비롯한 일반적인 웹 인증 표준을 따르는 거의 모든 앱 또는 플랫폼은 ID 및 액세스 관리에 Microsoft Entra ID를 사용할 수 있습니다.

많은 조직에서 이미 Microsoft Entra ID를 사용하여 Microsoft 365 또는 하이브리드 클라우드 ID를 할당하고 보호합니다. 직원은 Microsoft Entra ID를 사용하여 전자 메일, 파일, 인스턴트 메시징, 클라우드 애플리케이션 및 온-프레미스 리소스에 액세스합니다. Microsoft Entra ID를 AWS 계정과 빠르고 쉽게 통합하여 관리자와 개발자가 기존 ID를 사용하여 AWS 환경에 로그인할 수 있습니다.

다음 다이어그램에서는 Microsoft Entra ID를 여러 AWS 계정과 통합하여 중앙 집중식 ID 및 액세스 관리를 제공하는 방법을 보여 줍니다.

Diagram showing AWS and Microsoft Entra integration.

Microsoft Entra ID는 AWS와 직접 통합하기 위한 몇 가지 기능을 제공합니다.

  • 레거시, 기존 및 최신 인증 솔루션의 SSO
  • MFA는 MISA(Microsoft Intelligent Security Association) 파트너의 여러 타사 솔루션과의 통합을 포함합니다.
  • 강력한 인증 및 엄격한 거버넌스를 위한 강력한 조건부 액세스 기능입니다. Microsoft Entra ID는 조건부 액세스 정책 및 위험 기반 평가를 사용하여 AWS 관리 콘솔 및 AWS 리소스에 대한 사용자 액세스를 인증하고 권한을 부여합니다.
  • 대규모 위협 탐지 및 자동화된 대응 Microsoft Entra ID는 전 세계 위협에 대한 수조 개의 신호와 함께 하루에 300억 개 이상의 인증 요청을 처리합니다.
  • 특정 리소스에 JIT(Just-In-Time) 프로비저닝을 사용하도록 설정하는 PAM(Privileged Access Management)입니다.

AWS 계정을 사용하는 고급 Microsoft Entra ID 관리

다른 고급 Microsoft Entra 기능은 가장 중요한 AWS 계정에 대한 추가 제어 계층을 제공할 수 있습니다. Microsoft Entra ID P2 라이선스에는 다음과 같은 고급 기능이 포함됩니다.

  • PIM(Privileged Identity Management)은 Azure 및 Microsoft 365 내에서 위임된 모든 역할에 대해 고급 컨트롤을 제공합니다. 예를 들어 관리자는 항상 전역 관리 역할을 사용하는 대신 요청 시 역할을 활성화할 수 있는 권한이 있습니다. 이 권한은 설정된 시간 제한(예: 1시간) 후에 비활성화됩니다. PIM은 모든 활성화를 로그하고 활성화 기능을 추가로 제한할 수 있는 다른 컨트롤을 가지고 있습니다. PIM은 관리자가 변경을 수행하기 전에 추가 거버넌스 및 보호 계층을 보장하여 ID 아키텍처를 추가로 보호합니다.

    AWS 역할에 액세스하기 위해 만든 것과 같은 사용자 지정 그룹에 대한 액세스를 제어하여 위임된 권한으로 PIM을 확장할 수 있습니다. PIM 배포에 대한 자세한 내용은 Microsoft Entra Privileged Identity Management 배포를 참조하세요.

  • Advanced Identity Protection 은 사용자 또는 세션 위험을 모니터링하여 Microsoft Entra 로그인 보안을 강화합니다. 사용자 위험은 공개적으로 릴리스된 위반 목록에 표시되는 사용자 ID 및 암호와 같이 자격 증명이 손상될 가능성을 정의합니다. 세션 위험은 로그인 활동이 위험한 위치, IP 주소 또는 기타 손상 지표에서 제공되는지 여부를 결정합니다. 두 검색 유형 모두 Microsoft의 포괄적인 위협 인텔리전스 기능을 활용합니다.

    고급 ID 보호에 대한 자세한 내용은 Microsoft Entra ID Protection 보안 개요를 참조하세요.

  • Microsoft Defender for Identity는 모든 활동 및 위협 신호를 모니터링하여 Active Directory 도메인 컨트롤러에서 실행되는 ID 및 서비스를 보호합니다. Defender for Identity는 고객 위반 조사를 통한 실제 경험을 기반으로 위협을 식별합니다. Defender for Identity는 사용자 동작을 모니터링하고 정찰, 횡적 이동 및 도메인 지배와 같은 고급 공격을 방지하기 위해 공격 표면 감소를 권장합니다.

    Defender for Identity에 대한 자세한 내용은 Microsoft Defender for Identity란 무엇인가요?를 참조하세요.

시나리오 정보

중요한 워크로드 및 매우 중요한 정보를 지원하는 AWS(Amazon Web Services) 계정에는 강력한 ID 보호 및 액세스 제어가 필요합니다. MICROSOFT Entra ID와 결합하면 AWS ID 관리가 향상됩니다. Microsoft Entra ID는 AWS 계정 및 환경을 보호하고 보호하는 데 도움이 되는 클라우드 기반의 포괄적인 중앙 집중식 ID 및 액세스 관리 솔루션입니다. Microsoft Entra ID는 MFA(다단계 인증) 및 조건부 액세스 정책을 통해 중앙 집중식 SSO(Single Sign-On)강력한 인증을 제공합니다. Microsoft Entra ID는 AWS ID 관리, 역할 기반 ID 및 액세스 제어를 지원합니다.

AWS를 사용하는 많은 조직은 이미 Microsoft 365 또는 하이브리드 클라우드 ID 관리 및 액세스 보호를 위해 Microsoft Entra ID를 사용합니다. 이러한 조직은 종종 추가 비용 없이 AWS 계정으로 Microsoft Entra ID를 빠르고 쉽게 사용할 수 있습니다. PIM(Privileged Identity Management) 및 Advanced Identity Protection과 같은 기타 고급 Microsoft Entra 기능은 가장 중요한 AWS 계정을 보호하는 데 도움이 될 수 있습니다.

Microsoft Entra ID는 클라우드용 Microsoft Defender 앱 및 Microsoft Sentinel과 같은 다른 Microsoft 보안 솔루션과 쉽게 통합됩니다. 자세한 내용은 클라우드용 Defender 앱 및 AWS용 Microsoft Sentinel을 참조하세요. Microsoft 보안 솔루션은 확장 가능하며 여러 수준의 보호를 제공합니다. 조직은 현재 및 미래의 AWS 배포를 보호하는 전체 보안 아키텍처에 대해 다양한 유형의 보호와 함께 이러한 솔루션 중 하나 이상을 구현할 수 있습니다.

권장 사항

보안

다음 원칙과 지침은 모든 클라우드 보안 솔루션에 있어서 중요합니다.

  • 조직에서 클라우드 환경에 대한 사용자 및 프로그래밍 방식 액세스를 모니터링, 검색 및 자동으로 보호할 수 있는지 확인합니다.

  • ID, 권한 거버넌스 및 제어를 보장하기 위해 현재 계정을 지속적으로 검토합니다.

  • 최소 권한제로 트러스트 원칙을 따릅니다. 각 사용자가 신뢰할 수 있는 디바이스 및 알려진 위치에서 필요한 특정 리소스에만 액세스할 수 있는지 확인합니다. 모든 관리자와 개발자가 수행하는 역할에 필요한 권한만 제공하도록 권한을 줄입니다. 정기적으로 검토합니다.

  • 특히 권한 상승 또는 공격 지속성을 위한 기회를 제공하는 경우 플랫폼 구성 변경을 지속적으로 모니터링합니다.

  • 콘텐츠를 적극적으로 검사하고 제어하여 무단 데이터 반출을 방지합니다.

  • 더 많은 비용 없이 보안을 강화할 수 있는 Microsoft Entra ID P2와 같이 이미 소유하고 있는 솔루션을 활용하세요.

기본 AWS 계정 보안

AWS 계정 및 리소스에 대한 기본 보안 예방 조치를 보장하려면 다음을 수행합니다.

  • AWS 계정 및 리소스 보안을 위한 모범 사례에서 AWS 보안 참고 자료를 검토합니다.

  • AWS 관리 콘솔을 통해 모든 데이터 전송을 적극적으로 검사하여 맬웨어 및 기타 악성 콘텐츠를 업로드하고 다운로드할 위험을 줄입니다. 웹 서버 또는 데이터베이스와 같은 AWS 플랫폼 내의 리소스에 직접 업로드하거나 다운로드하는 콘텐츠는 더 많은 보호가 필요할 수 있습니다.

  • 다음을 포함하여 다른 리소스에 대한 액세스를 보호하는 것이 좋습니다.

    • AWS 계정 내에서 만든 리소스
    • Windows Server, Linux Server 또는 컨테이너와 같은 특정 워크로드 플랫폼
    • 관리자와 개발자가 AWS 관리 콘솔에 액세스하는 데 사용하는 디바이스

AWS IAM 보안

AWS 관리 콘솔 보안의 주요 측면은 중요한 구성을 변경할 수 있는 사용자를 제어하는 것입니다. AWS 계정 루트 사용자에게는 무제한 액세스 권한이 있습니다. 보안 팀은 루트 사용자 계정을 완전히 제어하여 AWS 관리 콘솔에 로그인하거나 AWS 리소스를 사용할 수 없도록 해야 합니다.

루트 사용자 계정을 제어하려면 다음을 수행합니다.

  • 루트 사용자 로그인 자격 증명을 개인 메일 주소에서 보안 팀이 제어하는 서비스 계정으로 변경하는 것이 좋습니다.
  • 루트 사용자 계정 암호가 복잡한지 확인하고 루트 사용자에 대해 MFA를 적용합니다.
  • 로그인하는 데 사용되는 루트 사용자 계정의 인스턴스 로그를 모니터링합니다.
  • 비상 시에만 루트 사용자 계정을 사용합니다.
  • Microsoft Entra ID를 사용하여 관리 작업에 루트 사용자를 사용하는 대신 위임된 관리 액세스를 구현합니다.

적절한 매핑 및 할당에 대한 다른 AWS IAM 계정 구성 요소를 명확하게 이해하고 검토합니다.

  • 기본적으로 AWS 계정에는 루트 사용자가 액세스를 위임할 ID를 하나 이상 만들 때까지 IAM 사용자가 없습니다. Microsoft Active Directory와 같은 다른 ID 시스템에서 기존 사용자를 동기화하는 솔루션은 IAM 사용자를 자동으로 프로비전할 수도 있습니다.

  • IAM 정책은 AWS 계정 리소스에 위임된 액세스 권한을 제공합니다. AWS는 750개가 넘는 고유한 IAM 정책을 제공하며 고객은 사용자 지정 정책을 정의할 수도 있습니다.

  • IAM 역할은 ID에 특정 정책을 연결합니다. 역할은 RBAC(역할 기반 액세스 제어)를 관리하는 방법입니다. 현재 솔루션은 외부 ID를 사용하여 IAM 역할을 가정하여 Microsoft Entra ID를 구현합니다.

  • IAM 그룹은 RBAC를 관리하는 방법이기도 합니다. 개별 IAM 사용자에게 직접 IAM 정책을 할당하는 대신, IAM 그룹을 만들고, 하나 이상의 IAM 정책을 연결하여 권한을 할당하고, IAM 사용자를 그룹에 추가하여 리소스에 대한 적절한 액세스 권한을 상속합니다.

프로그래밍 방식 액세스를 제공하려면 일부 IAM 서비스 계정이 AWS IAM에서 계속 실행되어야 합니다. 이러한 계정을 검토하고 보안 자격 증명에 대한 액세스를 안전하게 저장 및 제한하며 자격 증명을 정기적으로 회전해야 합니다.

시나리오 배포

다음 섹션에서는 개별 AWS 계정에 Single Sign-On을 위한 Microsoft Entra ID를 배포하는 방법을 보여 있습니다.

계획 및 준비

Azure 보안 솔루션 배포를 준비하려면 현재 AWS 계정 및 Microsoft Entra 정보를 검토하고 기록합니다. 배포된 AD 계정이 둘 이상이면 각 계정에 대해 이러한 단계를 반복합니다.

  1. AWS 청구 관리 콘솔에서 다음과 같은 현재 AWS 계정 정보를 기록합니다.

    • 고유 식별자인 AWS 계정 ID
    • 계정 이름 또는 루트 사용자
    • 결제 방법(신용 카드 또는 회사 청구 계약에 할당되었는지 여부)
    • AWS 계정 정보에 액세스할 수 있는 대체 연락처
    • 긴급 액세스를 위해 안전하게 업데이트되고 기록되는 보안 질문
    • 데이터 보안 정책을 준수하기 위해 사용하거나 사용하지 않도록 설정된 AWS 지역

  2. AWS IAM 관리 콘솔에서 다음 AWS IAM 구성 요소를 검토하고 기록합니다.

    • 세부 멤버 자격 및 연결된 역할 기반 매핑 정책을 포함하여 만들어진 그룹
    • 만들어진 사용자(사용자 계정의 암호 사용 기간 및 서비스 계정의 액세스 키 사용 기간 포함) 또한 각 사용자에 대해 MFA가 사용하도록 설정되어 있는지 확인합니다.
    • 역할. 두 가지 기본 서비스 연결 역할인 AWSServiceRoleForSupportAWSServiceRoleForTrustedAdvisor가 있습니다. 사용자 지정인 다른 역할을 기록합니다. 이러한 역할은 Microsoft Entra ID의 매핑 역할에 사용할 권한 정책에 연결됩니다.
    • 정책. 기본 정책에는 유형 열에 AWS 관리형, 작업 함수 또는 고객 관리가 있습니다. 사용자 지정인 다른 모든 정책을 기록합니다. 또한 다음으로 사용 열의 항목에서 각 정책이 할당되는 위치도 기록합니다.
    • ID 공급자는 기존 SAML(Security Assertion Markup Language) ID 공급자를 이해합니다. 기존 ID 공급자를 단일 Microsoft Entra ID 공급자로 바꾸는 방법을 계획합니다.

  3. Azure Portal에서 Microsoft Entra 테넌트:

    • 테넌트 정보를 평가하여 테넌트에 Microsoft Entra ID P1 또는 P2 라이선스가 있는지 확인합니다. P2 라이선스는 고급 Microsoft Entra ID 관리 기능을 제공합니다.
    • 엔터프라이즈 애플리케이션을 평가하여 홈페이지 URL 열의 http://aws.amazon.com/에 표시된 것처럼 기존 애플리케이션이 AWS 애플리케이션 유형을 사용하는지 확인합니다.

Microsoft Entra 배포 계획

Microsoft Entra 배포 절차에서는 Microsoft Entra ID가 Microsoft 365 구현과 같이 조직에 대해 이미 구성되어 있다고 가정합니다. Active Directory에서 계정을 동기화하거나기본 Microsoft Entra ID에서 직접 만든 클라우드 계정일 수 있습니다.

RBAC 계획

AWS 설치에서 RBAC에 IAM 그룹 및 역할을 사용하는 경우 기존 RBAC 구조를 새 Microsoft Entra 사용자 계정 및 보안 그룹에 매핑할 수 있습니다.

AWS 계정에 강력한 RBAC 구현이 없는 경우 먼저 가장 중요한 액세스에 대해 작업합니다.

  1. AWS 계정 루트 사용자를 업데이트합니다.

  2. IAM 정책 AdministratorAccess에 연결된 AWS IAM 사용자, 그룹 및 역할을 검토합니다.

  3. 리소스 및 기타 구성 항목을 수정, 생성 또는 삭제할 수 있는 정책부터 시작하여 할당된 다른 IAM 정책을 통해 작업합니다. 다음으로 사용 열을 확인하여 사용 중인 정책을 식별할 수 있습니다.

마이그레이션 계획

Microsoft Entra ID는 모든 인증 및 권한 부여를 중앙 집중화합니다. 새 메서드를 적용할 준비가 될 때까지 관리자와 개발자에게 영향을 주지 않고 사용자 매핑 및 RBAC를 계획하고 구성할 수 있습니다.

AWS IAM 계정에서 Microsoft Entra ID로 마이그레이션하는 대략적인 프로세스는 다음과 같습니다. 자세한 지침은 배포를 참조하세요.

  1. IAM 정책을 Microsoft Entra 역할에 매핑하고 RBAC를 사용하여 역할을 보안 그룹에 매핑합니다.

  2. 각 IAM 사용자를 적절한 보안 그룹의 구성원인 Microsoft Entra 사용자로 바꿔 로그인하고 적절한 권한을 얻습니다.

  3. 각 사용자에게 Microsoft Entra 계정으로 AWS에 로그인하고 적절한 액세스 수준이 있는지 확인하도록 요청하여 테스트합니다.

  4. 사용자가 Microsoft Entra ID 액세스를 확인하면 AWS IAM 사용자 계정을 제거합니다. 모든 사용자가 마이그레이션될 때까지 각 사용자에 대해 프로세스를 반복합니다.

서비스 계정 및 프로그래밍 방식 액세스의 경우 동일한 방법을 사용합니다. 계정을 사용하는 각 애플리케이션을 업데이트하여 해당 Microsoft Entra 사용자 계정을 대신 사용합니다.

나머지 AWS IAM 사용자에게 MFA를 사용하도록 설정된 복잡한 암호 또는 정기적으로 교체되는 액세스 키가 있는지 확인합니다.

다음 다이어그램은 Microsoft Entra ID 및 AWS IAM에서 구성 단계 및 최종 정책 및 역할 매핑의 예를 보여 있습니다.

Diagram showing configuration steps and final role mapping from AWS IAM to Azure AD.

Single Sign-On 통합

Microsoft Entra ID는 AWS SSO와의 Single Sign-On 통합을 지원합니다. Microsoft Entra ID를 한 곳에서 AWS에 연결하고 수백 개의 계정 및 AWS SSO 통합 애플리케이션에 대한 액세스를 중앙에서 제어할 수 있습니다. 이 기능을 사용하면 사용자가 AWS CLI를 사용할 수 있는 원활한 Microsoft Entra 로그인 환경을 사용할 수 있습니다.

다음 Microsoft 보안 솔루션 절차는 AWS 관리자AWS 개발자 예제 역할에 대해 SSO를 구현합니다. 필요한 다른 역할에 대해 이 프로세스를 반복합니다.

이 절차에서는 다음 단계를 설명합니다.

  1. 새 Microsoft Entra 엔터프라이즈 애플리케이션을 만듭니다.
  2. AWS용 Microsoft Entra SSO를 구성합니다.
  3. 역할 매핑 업데이트
  4. AWS 관리 콘솔에 Microsoft Entra SSO를 테스트합니다.

다음 링크는 자세한 구현 단계 및 문제 해결을 제공합니다.

Microsoft Entra 엔터프라이즈 애플리케이션에 AWS 앱 추가

AWS 관리자와 개발자는 엔터프라이즈 애플리케이션을 사용하여 인증을 위해 Microsoft Entra ID에 로그인한 다음, AWS 리소스에 대한 권한 부여 및 액세스를 위해 AWS로 리디렉션합니다. 애플리케이션을 보는 가장 간단한 방법은 https://myapps.microsoft.com에 로그인하는 것이지만 쉽게 액세스할 수 있는 모든 위치에 고유한 URL을 게시할 수도 있습니다.

갤러리에서 AWS(Amazon Web Services) 추가에 있는 지침에 따라 엔터프라이즈 애플리케이션을 설정합니다. 이러한 지침은 Microsoft Entra 엔터프라이즈 애플리케이션에 추가할 AWS 앱을 알려 줍니다.

DevTest 및 Production과 같이 관리할 AWS 계정이 두 개 이상 있는 경우 회사 및 특정 AWS 계정에 대한 식별자를 포함하는 엔터프라이즈 애플리케이션의 고유한 이름을 사용합니다.

Screenshot that shows creating the enterprise application in Azure AD.

AWS용 Microsoft Entra SSO 구성

아래 단계에 따라 AWS용 Microsoft Entra SSO를 구성합니다.

  1. Azure Portal에서 Microsoft Entra SSO 구성의 단계에 따라 AWS에 Single Sign-On을 위해 만든 엔터프라이즈 애플리케이션구성합니다.

  2. AWS 콘솔에서 AWS SSO 구성에 있는 단계에 따라 Single Sign-On을 위한 AWS 계정을 구성합니다. 이 구성의 일부로 사용 가능한 모든 AWS IAM 역할을 Microsoft Entra ID동기화할 수 있도록 Microsoft Entra 프로비저닝 에이전트를 대신하여 작동하는 새 IAM 사용자를 만듭니다. AWS에서는 사용자가 AWS 관리 콘솔에 로그인하기 전에 이 IAM 사용자가 역할에 매핑해야 합니다.

  • 이 통합을 지원하기 위해 만든 구성 요소를 쉽게 식별할 수 있도록 합니다. 예를 들어 “Svc-”와 같은 표준 명명 규칙을 사용하여 서비스 계정의 이름을 지정합니다.
  • 모든 새 항목을 문서화해야 합니다.
  • 새 자격 증명에 보안 수명 주기 관리를 위해 중앙에 저장하는 복잡한 암호가 포함되어 있는지 확인합니다.

이러한 구성 단계에 따라 다음과 같은 상호 작용을 다이어그램으로 표시할 수 있습니다.

Diagram of the configuration interactions.

AWS 콘솔에서 아래 단계에 따라 더 많은 역할을 만듭니다.

  1. AWS IAM에서 역할 -> 역할 만들기를 선택합니다.

  2. 역할 만들기 페이지에서 다음 단계를 수행합니다.

    1. Select type of trusted entity(신뢰할 수 있는 엔터티 유형 선택) 아래에서 SAML 2.0 federation(SAML 2.0 페더레이션)을 선택합니다.
    2. SAML 2.0 공급자 선택 아래에서 이전에 만든 SAML 공급자를 선택합니다.
    3. 프로그래밍 및 AWS 관리 콘솔 액세스 허용을 선택합니다.
    4. 완료되면 다음: 사용 권한을 클릭합니다.

  3. 사용 권한 정책 연결 대화 상자에서 AdministratorAccess를 선택합니다. 이후 다음: 태그를 선택합니다.

  4. 태그 추가 대화 상자를 비워 두고 다음: 검토를 선택합니다.

  5. 검토 대화 상자에서 다음 단계를 수행합니다.

    1. 역할 이름에 역할 이름(관리자)을 입력합니다.
    2. 역할 설명에 설명을 입력합니다.
    3. 역할 만들기를 선택합니다.

  6. 위에 나열된 단계에 따라 다른 역할을 만듭니다. 역할 개발자의 이름을 지정하고 선택한 몇 가지 사용 권한(예: AmazonS3FullAccess)을 제공합니다.

    AWS에서 관리자개발자 역할을 성공적으로 만들었습니다.

  7. Microsoft Entra ID에서 다음 사용자 및 그룹을 만듭니다.

    • 사용자 1: Test-AWSAdmin
    • 사용자 2: Test-AWSDeveloper
    • 그룹 1: AWS-Account1-Administrators
    • 그룹 2: AWS-Account1-Developers
    • AWS-Account1-Administrators의 구성원으로 Test-AWSAdmin 추가
    • AWS-Account1-Developers의 구성원으로 Test-AWSDeveloper 추가

  8. AWS Single-Account Access에서 역할 프로비저닝을 구성하여 자동화된 역할 프로비저닝을 구성하는 방법에 대한 단계를 수행합니다. 첫 번째 프로비전 주기를 완료하는 데 최대 1시간이 걸릴 수 있습니다.

역할 매핑을 업데이트하는 방법

두 가지 역할을 사용하고 있으므로 다음 추가 단계를 수행합니다.

  1. 프로비저닝 에이전트에서 다음 두 개 이상의 역할을 볼 수 있는지 확인합니다.

    Screenshot of the two roles in Azure AD.

  2. 사용자 및 그룹으로 이동하고 사용자 추가를 선택합니다.

  3. AWS-Account1-Administrators를 선택합니다.

  4. 연결된 역할을 선택합니다.

    Screenshot of selecting an associated role.

  5. 각 그룹 역할 매핑에 대해 이전 단계를 반복합니다. 완료되면 두 개의 Microsoft Entra 그룹이 AWS IAM 역할에 올바르게 매핑되어야 합니다.

    Screenshot showing Groups mapped to correct Roles.

역할을 보거나 선택할 수 없는 경우 프로비전 페이지로 돌아가서 Microsoft Entra 프로비 저닝 에이전트에서 성공적인 프로비저닝을 확인하고 IAM 사용자 계정에 올바른 권한이 있는지 확인합니다. 프로비전 엔진을 다시 시작하여 가져오기를 다시 시도할 수도 있습니다.

Screenshot of Restart provisioning in the menu bar.

AWS 관리 콘솔에 Microsoft Entra SSO 테스트

각 테스트 사용자로 로그인을 테스트하여 SSO가 작동하는지 확인합니다.

  1. 새 프라이빗 브라우저 세션을 시작하여 다른 저장된 자격 증명이 테스트와 충돌하지 않도록 합니다.

  2. https://myapps.microsoft.com이전에 만든 Test-AWS관리 또는 Test-AWSDeveloper Microsoft Entra 사용자 계정 자격 증명을 사용하여 이동합니다.

  3. AWS 콘솔 앱에 대한 새 아이콘이 표시됩니다. 아이콘을 선택하고 인증 프롬프트를 따릅니다.

    Screenshot of the AWS Console app icon.

  4. AWS 콘솔에 로그인한 후 기능을 탐색하여 이 계정에 적절한 위임된 액세스 권한이 있는지 확인합니다.

  5. 사용자 로그인 세션의 명명 형식을 확인합니다.

    ROLE/UPN/AWS 계정 번호

    이 사용자 로그인 세션 정보를 사용하여 클라우드용 Defender 앱 또는 Microsoft Sentinel에서 사용자 로그인 활동을 추적할 수 있습니다.

    Screenshot of sign-in session information.

  6. 로그아웃하고 다른 테스트 사용자 계정에 대한 프로세스를 반복하여 역할 매핑 및 권한의 차이를 확인합니다.

조건부 액세스 사용

MFA가 필요한 새 조건부 액세스 정책을 만들려면 다음을 수행합니다.

  1. Azure Portal에서 Microsoft Entra ID>보안으로 이동한 다음 조건부 액세스를 선택합니다.

  2. 왼쪽 탐색 영역에서 정책을 선택합니다.

    Screenshot of the Microsoft Entra Conditional Access screen with Policies selected.

  3. 새 정책을 선택하고 다음과 같이 양식을 작성합니다.

    • 이름: AWS 콘솔 – MFA 입력
    • 사용자 및 그룹: 이전에 만든 두 개의 역할 그룹을 선택합니다.
      • AWS-Account1-Administrators
      • AWS-Account1-Developers
    • 권한 부여: 다단계 인증 필요 선택

  4. 정책 사용켜기로 설정합니다.

    Screenshot of the filled-out new policy form.

  5. 만들기를 실행합니다. 그러면 정책이 즉시 적용됩니다.

  6. 조건부 액세스 정책을 테스트하려면 테스트 계정에서 로그아웃하고, 새 비공개 검색 세션을 열고, 역할 그룹 계정 중 하나로 로그인합니다. MFA 프롬프트가 표시됩니다.

    Screenshot of MFA sign-in prompt.

  7. MFA 설치 프로세스를 완료합니다. SMS를 사용하는 대신 모바일 앱을 인증에 사용하는 것이 가장 좋습니다.

    Screenshot of mobile app MFA configuration screen.

강력한 인증을 위한 비즈니스 요구 사항을 충족하려면 여러 조건부 액세스 정책을 만들어야 할 수 있습니다. 식별의 용이성과 지속적인 유지 관리를 보장하기 위해 정책을 만들 때 사용하는 명명 규칙을 고려합니다. 또한 MFA가 이미 널리 배포되지 않는 한 정책 범위가 의도한 사용자에게만 영향을 주도록 범위가 지정되었는지 확인합니다. 다른 정책은 다른 사용자 그룹의 요구 사항을 포함해야 합니다.

조건부 액세스를 사용하도록 설정하면 PAM 및 JIT(Just-In-Time) 프로비전과 같은 다른 컨트롤을 적용할 수 있습니다. 자세한 내용은 Microsoft Entra ID에서 자동화된 SaaS 앱 사용자 프로비저닝을 참조하세요.

클라우드용 Defender 앱이 있는 경우 조건부 액세스를 사용하여 클라우드용 Defender 앱 세션 정책을 구성할 수 있습니다. 자세한 내용은 AWS 활동에 대한 Microsoft Entra 세션 정책 구성을 참조하세요.

다음 단계