Identifications

AWS STS : Security Token Service

AWS 리소스에 대한 제한되고 일시적인 엑세스 권한을 허용한다.

발급하는 토큰은 일시적이며 1시간까지 유효하다.

STS는 사용자에게 어플리케이션을 안전히 제공하는 것의 중심에 있다.

AssumeRole API 를 사용하면 계정 내 보안을 강화하거나, Cross Account Access 를 가능하게 할 수 있다.

AssumeRoleWithSAML API 를 사용하면 SAML을 통해 인증된 사용자에게 자격 증명을 리턴한다.

AssumeRoleWithIdentity API 를 사용하면 자격증명 제공자를 통해 로그인한 사용자에게 자격 증명을 반환한다.

GetSessionToken API 를 사용하면 사용자 혹은 AWS 루트 계정 사용자에 대한 MFA를 받게 할 수 있다.

모든 사용자를 AWS 에서 관리하지 않고, 외부 인증 공급원이 필요할 경우 Federation은 그 공급원을 통해 AWS 로 접근할 수 있게 한다.

SAML 2.0
- Active Directory / ADFS
- SAML은 웹 기반의 cross domain SSO 를 생성하여 둘 간을 인증하게 된다.
Custom Identity Broker
- SAML 2.0 과 호환되지 않을 경우 사용한다.
- 사용자들을 위한 적절한 IAM 정책을 결정해야 한다.
Web Identity Federation with/without Amazon Cognito
Single Sign On
Non-SAML with AWS Microsoft AD

이를 이용하면 IAM 사용자를 만들 필요가 없다 (인증이 AWS 바깥 영역에서 만들어지기 때문)

Microsoft Active Directory 는 AD 도메인 서비스를 사용하는 모든 Windows 서버에서 볼 수 있는 소프트웨어이다.

AWS Managed Microsoft AD
- AWS에 액티브 디렉토리를 생성한다.
- 로컬 환경에서 사용자를 관리하고 MFA 를 지원한다.
- 즉, AWS AD 와 온프레미스 AD 가 서로 신뢰하는 관계가 된다.
AD Connector
- 온프레미스로 redirect 하는 directory gateway (proxy) 이다.
- 온프레미스 AD 가 총괄하여 사용자를 관리하며, MFA 를 지원한다.
Simple AD
- AD와 호환 가능한 AWS 의 관리형 디렉토리이다.
- 온프레미스 AD 와 결합될 수 없다.

AWS Organizations는 글로벌 서비스로서 이를 통해 조직의 여러 AWS 계정을 관리할 수 있다.

메인 계정은 마스터 계정이라고 부르고 바꿀 수 없으며, 조직 내 다른 계정들은 멤버 계정이다.

멤버 계정은 하나의 조직에만 속할 수 있지만, 마이그레이션을 통해 다른 조직으로 이동할 수 있다.

이를 이용하면 모든 계정에서 단일 결제 수단으로 통합 결제를 진행할 수 있다.

루트 OU나 루트 계정 수준에서 적용된 IAM 작업을 화이트리스트나 블랙리스트에 추가할 수 있다.

이러한 것들은 마스터 계정에는 영향을 미치지 않는다. 단, 루트 사용자를 포함한 모든 사용자와 역할에 영향을 준다.

루트를 포함하여 계정의 사용자와 역할에만 적용할 수 있다.

소유하고 있는 AWS 리소스를 다른 계정과 공유할 수 있게 해주는 서비스이다.

어떤 계정과도 공유 가능하며, 조직 내에서 공유할 수도 있다.

SSO를 중앙에서 관리하여 다수의 계정과 타사 어플리케이션에 접속할 수 있게 해주는 것이다.

한 번 로그인하면 싱글 사인온이 엑세스하도록 구성된 모든 항목에 엑세스할 수 있다.

AWS Organizations와 통합되어 조직 내에 많은 계정이 있는 경우 AWS 싱글 사인온을 설정하기만 하면 조직 내 모든 계정에 로그인할 수 있다.

SAML 2.0과, Active Directory 와도 통합된다.

이는 중앙 집중화를 도와주어 CloudTrail로 로그인에 대해 감사가 더욱 용이하게 해준다.