이 가이드는 AWS(Amazon Web Services)를 사용하고 Azure로 마이그레이션하거나 다중 클라우드 전략을 채택하려는 조직을 위한 것입니다. 이 지침은 AWS ID 관리 솔루션을 유사한 Azure 솔루션과 비교합니다.
팁 (조언)
Microsoft Entra ID를 AWS로 확장하는 방법에 대한 자세한 내용은 AWS에 대한 Microsoft Entra ID 관리 및 액세스 관리를 참조하세요.
핵심 ID 서비스
두 플랫폼의 핵심 ID 서비스는 ID 및 액세스 관리의 토대를 형성합니다. 이러한 서비스에는 핵심 인증, 권한 부여 및 회계 기능 및 클라우드 리소스를 논리적 구조로 구성하는 기능이 포함됩니다. AWS 전문가는 Azure에서 유사한 기능을 사용할 수 있습니다. 이러한 기능은 구현에 아키텍처 차이가 있을 수 있습니다.
| AWS 서비스 | Azure 서비스 | 설명 |
|---|---|---|
| AWS ID 및 액세스 관리(IAM) ID 센터 | Microsoft Entra ID | SSO(Single Sign-On), MFA(다단계 인증) 및 다양한 애플리케이션과의 통합을 제공하는 중앙 집중식 ID 관리 서비스 |
| AWS 조직 | Azure 관리 그룹 | 상속된 정책을 사용하여 여러 계정 및 구독을 관리하는 계층적 조직 구조 |
| AWS IAM ID 센터 | Microsoft Entra ID SSO | 사용자가 단일 자격 증명 집합을 사용하여 여러 애플리케이션에 액세스할 수 있도록 하는 중앙 집중식 액세스 관리 |
| AWS 디렉터리 서비스 | Microsoft Entra Domain Services | 도메인 가입, 그룹 정책, LDAP(Lightweight Directory Access Protocol) 및 Kerberos 또는 NTLM(NT LAN Manager) 인증을 제공하는 관리되는 디렉터리 서비스 |
인증 및 액세스 제어
두 플랫폼의 인증 및 액세스 제어 서비스는 사용자 ID를 확인하고 리소스 액세스를 관리하는 필수 보안 기능을 제공합니다. 이러한 서비스는 MFA, 액세스 검토, 외부 사용자 관리 및 역할 기반 권한을 처리합니다.
| AWS 서비스 | Azure 서비스 | 설명 |
|---|---|---|
| AWS MFA | Microsoft Entra MFA | 사용자 로그인에 대해 여러 형식의 확인이 필요한 추가 보안 계층 |
| AWS IAM Access Analyzer | Microsoft Entra 액세스 리뷰 | 리소스에 대한 액세스 권한을 검토하고 관리하는 도구 및 서비스 |
| AWS IAM ID 센터 | Microsoft Entra 외부 ID | 안전한 조직 간 협업을 위한 외부 사용자 액세스 관리 플랫폼입니다. 이러한 플랫폼은 SAML(Security Assertion Markup Language) 및 OIDC(OpenID Connect)와 같은 프로토콜을 지원합니다. |
| AWS 리소스 액세스 관리자 | Microsoft Entra RBAC(역할 기반 액세스 제어) 및 Azure RBAC | 조직 내에서 클라우드 리소스를 공유할 수 있는 서비스입니다. AWS는 일반적으로 여러 계정에서 클라우드 리소스를 공유합니다. Azure RBAC는 비슷한 리소스 공유를 달성할 수 있습니다. |
ID 거버넌스
보안 및 규정 준수를 유지하려면 ID 및 액세스를 관리해야 합니다. AWS와 Azure는 ID 거버넌스를 위한 솔루션을 제공합니다. 조직 및 워크로드 팀은 이러한 솔루션을 사용하여 ID의 수명 주기를 관리하고, 액세스 검토를 수행하고, 권한 있는 액세스를 제어할 수 있습니다.
AWS에서 ID 수명 주기, 액세스 검토 및 권한 있는 액세스를 관리하려면 여러 서비스를 조합해야 합니다.
- AWS IAM은 리소스에 대한 보안 액세스를 처리합니다.
- IAM Access Analyzer는 공유 리소스를 식별하는 데 도움이 됩니다.
- AWS 조직은 여러 계정의 중앙 집중식 관리를 제공합니다.
- IAM ID 센터는 중앙 집중식 액세스 관리를 제공합니다.
- AWS CloudTrail 및 AWS 구성을 사용하면 AWS 리소스의 거버넌스, 규정 준수 및 감사를 수행할 수 있습니다.
규정 준수 및 보안을 보장하는 데 도움이 되는 특정 조직의 요구 사항을 충족하도록 이러한 서비스를 조정할 수 있습니다.
Azure에서 Microsoft Entra ID 거버넌스 는 ID 수명 주기, 액세스 검토 및 권한 있는 액세스를 관리하는 통합 솔루션을 제공합니다. 자동화된 워크플로, 액세스 인증 및 정책 적용을 통합하여 이러한 프로세스를 간소화합니다. 이러한 기능은 ID 거버넌스에 대한 통합된 접근 방식을 제공합니다.
특권 액세스 관리
AWS IAM 임시 상승 액세스는 AWS IAM ID 센터를 통해 AWS 리소스에 대한 임시 상승된 액세스 권한을 부여하는 오픈 소스 보안 솔루션입니다. 이 접근 방식을 통해 사용자는 제한된 시간 동안 및 특정 작업에 대한 권한 상승 권한만 확보하여 무단 액세스의 위험을 줄일 수 있습니다.
Microsoft Entra PIM(Privileged Identity Management) 은 Just-In-Time 권한 있는 액세스 관리를 제공합니다. PIM을 사용하여 조직의 중요한 리소스 및 중요 권한에 대한 액세스를 관리, 제어 및 모니터링합니다. PIM에는 승인 워크플로를 통한 역할 활성화, 시간 제한 액세스 및 액세스 검토와 같은 기능이 포함되어 권한 있는 역할이 필요한 경우에만 부여되고 완전히 감사되도록 합니다.
| AWS 서비스 | Azure 서비스 | 설명 |
|---|---|---|
| AWS CloudTrail | Microsoft Entra 권한 있는 액세스 감사 | 권한 있는 액세스 활동에 대한 포괄적인 감사 로깅 |
| AWS IAM 및 파트너 제품 또는 사용자 지정 자동화 | Microsoft Entra 적시 액세스 | 시간 바인딩된 권한 있는 역할 활성화 프로세스 |
하이브리드 ID
두 플랫폼 모두 클라우드 및 온-프레미스 리소스를 통합하는 하이브리드 ID 시나리오를 관리하는 솔루션을 제공합니다.
| AWS 서비스 | Azure 서비스 | 설명 |
|---|---|---|
| AWS Directory Service AD 커넥터 | Microsoft Entra Connect | 하이브리드 ID 관리를 위한 디렉터리 동기화 도구 |
| AWS IAM SAML 공급자 | ADFS(Active Directory Federation Services) | SSO에 대한 ID 페더레이션 서비스 |
| AWS 관리되는 Microsoft AD | Microsoft Entra 암호 해시 동기화 | 온-프레미스와 클라우드 인스턴스 간의 암호 동기화 |
애플리케이션 및 API 사용자 인증 및 권한 부여
두 플랫폼 모두 ID 서비스를 제공하여 애플리케이션 액세스 및 API 인증을 보호합니다. 이러한 서비스는 ID 기반 메커니즘을 통해 사용자 인증, 애플리케이션 권한 및 API 액세스 제어를 관리합니다. Microsoft ID 플랫폼은 애플리케이션, API 및 서비스에서 인증 및 권한 부여를 위한 Azure 통합 프레임워크 역할을 합니다. OAuth 2.0 및 OIDC와 같은 표준을 구현합니다. AWS는 ID 제품군의 일부로 Amazon Cognito 를 통해 유사한 기능을 제공합니다.
| AWS 서비스 | Microsoft Service | 설명 |
|---|---|---|
|
Amazon Cognito AWS 인증 증폭 AWS STS(보안 토큰 서비스) |
Microsoft 아이덴티티 플랫폼 | 애플리케이션 및 API에 대한 인증, 권한 부여 및 사용자 관리를 제공하는 포괄적인 ID 플랫폼입니다. 두 옵션 모두 OAuth 2.0 및 OIDC 표준을 구현하지만 아키텍처 접근 방식이 다릅니다. |
주요 아키텍처 차이점
- AWS 접근 방식: 함께 구성된 분산 서비스
- Microsoft 접근 방식: 통합된 구성 요소가 있는 통합 플랫폼
개발자 SDK 및 라이브러리
| AWS 서비스 | Microsoft Service | 설명 |
|---|---|---|
| AWS Amplify 인증 라이브러리 | MSAL(Microsoft 인증 라이브러리) | 인증 흐름을 구현하기 위한 클라이언트 라이브러리입니다. MSAL은 여러 플랫폼 및 언어에서 통합 SDK를 제공합니다. AWS는 Amplify를 통해 별도의 구현을 제공합니다. |
| 여러 프로그래밍 언어에 대한 AWS SDK | 여러 프로그래밍 언어에 대한 MSAL | 인증을 구현하기 위한 언어별 SDK Microsoft 접근 방식은 프로그래밍 언어 간에 높은 수준의 일관성을 제공합니다. |
OAuth 2.0 흐름 구현
| AWS 서비스 | Microsoft Service | 설명 |
|---|---|---|
| 아마존 코그니토 OAuth 2.0 보조금 | Microsoft ID 플랫폼 인증 흐름 | 권한 부여 코드, 암시적, 클라이언트 자격 증명 및 디바이스 코드를 비롯한 표준 OAuth 2.0 흐름 지원 |
| Cognito 사용자 풀 권한 부여 코드 흐름 | Microsoft ID 플랫폼 권한 부여 코드 흐름 | 웹 애플리케이션에 대한 보안 리디렉션 기반 OAuth 흐름 구현 |
| Cognito 사용자 풀의 PKCE(코드 교환용 증명 키) 지원 | Microsoft ID 플랫폼 PKCE 지원 | PKCE를 사용하여 공용 클라이언트에 대한 보안 강화 |
| Cognito 사용자 지정 인증 흐름 | Microsoft ID 플랫폼 사용자 지정 정책 | 인증 시퀀스를 사용자 지정하지만 구현이 다른 경우 |
ID 공급자 통합
| AWS 서비스 | Microsoft 또는 Azure 서비스 | 설명 |
|---|---|---|
| Cognito ID 공급자 페더레이션 | Microsoft ID 플랫폼 외부 ID 공급자 | OIDC 및 SAML 프로토콜을 통한 소셜 및 엔터프라이즈 ID 공급자 지원 |
| Cognito 사용자 풀 소셜 로그인 | Microsoft ID 플랫폼 소셜 ID 공급자 | 소비자 인증을 위해 Google, Facebook 및 Apple과 같은 공급자와 통합 |
| Cognito SAML 페더레이션 | Microsoft Entra ID SAML 페더레이션 | SAML 2.0을 통한 엔터프라이즈 ID 페더레이션 |
토큰 서비스
| AWS 서비스 | Microsoft 또는 Azure 서비스 | 설명 |
|---|---|---|
| AWS STS | Microsoft Entra 토큰 서비스 | 애플리케이션 및 서비스 인증을 위한 보안 토큰 발급 |
| Cognito 토큰 사용자 지정 | Microsoft ID 플랫폼 토큰 구성 | 클레임 및 범위를 사용하여 JSON 웹 토큰 사용자 지정 |
| Cognito 토큰 유효성 검사 | Microsoft ID 플랫폼 토큰 유효성 검사 | 토큰 인증을 확인하는 라이브러리 및 서비스 |
애플리케이션 등록 및 보안
| AWS 서비스 | Microsoft 또는 Azure 서비스 | 설명 |
|---|---|---|
| Cognito 앱 클라이언트 구성 | Microsoft Entra 앱 등록 | ID 플랫폼을 사용하여 애플리케이션 등록 및 구성 |
| 애플리케이션에 대한 AWS IAM 역할 | Microsoft Entra 워크로드 ID | 애플리케이션 코드 리소스 액세스에 대한 관리 ID |
| Cognito 리소스 서버 | Microsoft ID 플랫폼 API 권한 | 보호된 리소스 및 범위 구성 |
개발자 경험
| AWS 서비스 | Microsoft 또는 Azure 서비스 | 설명 |
|---|---|---|
| AWS Amplify CLI | Microsoft ID 플랫폼 PowerShell CLI | ID 구성을 위한 명령줄 도구 |
| AWS Cognito 콘솔 | Microsoft Entra 관리 센터 | ID 서비스에 대한 관리 인터페이스 |
| Cognito 호스팅 UI | Microsoft ID 플랫폼 MSAL UI | 인증을 위해 미리 빌드된 UI |
| Cognito를 사용하는 AWS AppSync | MSAL을 사용하는 Microsoft Graph API | 인증을 사용하는 데이터 액세스 패턴 |
플랫폼별 기능
| AWS 서비스 | Microsoft Service | 설명 |
|---|---|---|
| Cognito 인증 풀 | 직접 동등한 항목 없음 | AWS 리소스에 ID를 페더레이션하는 AWS 관련 접근 방식 |
| 직접 동등한 항목 없음 | Azure App Service Easy Auth의 Web Apps 기능 | 코드 변경 없이 웹 애플리케이션에 대한 플랫폼 수준 인증 |
| Cognito 사용자 풀 람다 트리거 | Microsoft ID 플랫폼 B2C 사용자 지정 정책 | 인증 흐름에 대한 확장성 메커니즘 |
| Cognito를 사용한 AWS 웹 애플리케이션 방화벽 | 직접 동등한 항목 없음 | 액세스 제어에 대한 보안 정책 |
기여자
Microsoft는 이 문서를 유지 관리합니다. 다음 기여자는 이 문서를 작성했습니다.
대표 저자:
- Jerry Rhoads | 주요 파트너 솔루션 설계자
기타 기여자:
- 아담 세리니 | 파트너 기술 전략가 이사
LinkedIn 비공개 프로필을 보려면, LinkedIn에 로그인하세요.
다음 단계
- Microsoft Entra ID 배포 계획
- Microsoft Entra Connect를 사용하여 하이브리드 ID 구성
- Microsoft Entra PIM 구현
- Microsoft ID 플랫폼을 사용하여 애플리케이션 보호