공유 OIDC 공급자의 ID 공급자 제어 - AWS Identity and Access Management
OIDC 공급자 유형ID 공급자 제어가 포함된 공유 OIDC ID 공급자추가 리소스

공유 OIDC 공급자의 ID 공급자 제어

인식된 공유 OpenID Connect(OIDC) ID 공급자(IdP)의 경우 IAM은 역할 신뢰 정책의 특정 클레임을 명시적으로 평가해야 합니다. ID 공급자 제어라고 하는 이러한 필수 클레임은 역할 생성 및 신뢰 정책 업데이트 중에 IAM에 의해 평가됩니다. 역할 신뢰 정책에서 공유 OIDC IdP에 필요한 제어를 평가하지 않으면 역할 생성 또는 업데이트가 실패합니다. 이를 통해 의도한 조직의 승인된 자격 증명만 역할을 수임하고 AWS 리소스에 액세스할 수 있습니다. 이 보안 제어는 OIDC 공급자가 여러 AWS 고객 사이에서 공유되는 경우 매우 중요합니다.

ID 공급자 제어는 IAM에서 기존 OIDC 역할 신뢰 정책에 대해 평가하지 않습니다. 기존 OIDC 역할의 역할 신뢰 정책을 수정하는 경우 IAM은 ID 공급자 제어를 역할 신뢰 정책에 포함해야 합니다.

OIDC 공급자 유형

IAM은 OIDC ID 공급자를 프라이빗 및 공유라는 두 가지 개별 유형으로 분류합니다. 프라이빗 OIDC IdP는 단일 조직에서 소유 및 관리하거나 해당 조직에 고유한 식별자 역할을 하는 OIDC 발행자 URL을 포함하는 SaaS 공급자의 테넌트일 수 있습니다. 반대로 공유 OIDC IdP는 여러 조직에서 사용되고, OIDC 발행자 URL은 해당 ID 공급자를 사용하는 모든 조직에서 동일할 수 있습니다.

아래 표에는 프라이빗 OIDC 공급자와 공유 OIDC 공급자 사이의 주요 차이점이 요약되어 있습니다.

기능 프라이빗 OIDC 공급자 공유 OIDC 공급자

Issuer

조직에 고유함

여러 조직에서 공유

테넌시 정보

고유 발행자를 통해 전달됨

JWT에서 클레임을 통해 전달됨

신뢰 정책 요구 사항

특정 클레임 평가 불필요

특정 클레임 평가 필요

ID 공급자 제어가 포함된 공유 OIDC ID 공급자

IAM에서 OIDC 공급자를 생성하거나 수정할 때 시스템은 인식된 공유 OIDC 공급자에 필요한 클레임을 자동으로 식별하고 평가합니다. 역할 신뢰 정책에 ID 공급자 제어가 구성되지 않은 경우 역할 생성 또는 업데이트가 실패하고 MalformedPolicyDocument 오류가 발생합니다.

다음 표에는 역할 신뢰 정책에서 ID 공급자 제어가 필요한 OIDC 공급자가 나와 있습니다.

OIDC IdP OIDC URL 테넌시 클레임 필수 클레임
Buildkite https://agent.buildkite.com

sub

 agent.buildkite.com:sub
Codefresh SaaS https://oidc.codefresh.io sub oidc.codefresh.io:sub
DVC Studio https://studio.datachain.ai/api sub studio.datachain.ai/api:sub
GitHub 작업 https://token.actions.githubusercontent.com sub token.actions.githubusercontent.com:sub
GitHub 감사 로그 스트리밍 https://oidc-configuration.audit-log.githubusercontent.com sub oidc-configuration.audit-log.githubusercontent.com:sub
GitHub vstoken https://vstoken.actions.githubusercontent.com sub vstoken.actions.githubusercontent.com:sub
GitLab https://gitlab.com sub gitlab.com:sub
IBM Turbonomic SaaS*

  • https://rh-oidc.s3.us-east-1.amazonaws.com/22ejnvnnturfmt6km08idd0nt4hekbn7

  • https://rh-oidc.s3.us-east-1.amazonaws.com/23e3sd27sju1hoou6ohfs68vbno607tr

  • https://rh-oidc.s3.us-east-1.amazonaws.com/23ne21h005qjl3n33d8dui5dlrmv2tmg

  • https://rh-oidc.s3.us-east-1.amazonaws.com/24jrf12m5dj7ljlfb4ta2frhrcoadm26

  • https://oidc.op1.openshiftapps.com/2f785sojlpb85i7402pk3qogugim5nfb

  • https://oidc.op1.openshiftapps.com/2c51blsaqa9gkjt0o9rt11mle8mmropu

 sub

  • rh-oidc.s3.us-east-1.amazonaws.com/22ejnvnnturfmt6km08idd0nt4hekbn7:sub

  • rh-oidc.s3.us-east-1.amazonaws.com/23e3sd27sju1hoou6ohfs68vbno607tr:sub

  • rh-oidc.s3.us-east-1.amazonaws.com/23ne21h005qjl3n33d8dui5dlrmv2tmg:sub

  • rh-oidc.s3.us-east-1.amazonaws.com/24jrf12m5dj7ljlfb4ta2frhrcoadm26:sub

  • oidc.op1.openshiftapps.com/2f785sojlpb85i7402pk3qogugim5nfb:sub

  • oidc.op1.openshiftapps.com/2c51blsaqa9gkjt0o9rt11mle8mmropu:sub
sandboxes.cloud https://sandboxes.cloud aud sandboxes.cloud:aud
Scalr https://scalr.io sub scalr.io:sub
Shisho Cloud https://tokens.cloud.shisho.dev sub tokens.cloud.shisho.dev:sub
Terraform Cloud https://app.terraform.io sub app.terraform.io:sub
Upbound https://proidc.upbound.io sub proidc.upbound.io:sub

* IBM Turbonomic은 주기적으로 OIDC 발행자 URL을 플랫폼의 새 버전으로 업데이트합니다. 필요에 따라 범위에 Turbonomic OIDC 발행자가 공유 공급자로 추가될 예정입니다.

IAM에서 공유로 식별하는 새 OIDC IdP의 경우 역할 신뢰 정책에 필요한 ID 공급자 제어가 유사한 방식으로 문서화 및 적용됩니다.

추가 리소스

추가 리소스: