

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 신뢰할 수 있는 자격 증명
<a name="trusted-identities"></a><a name="account-identity"></a>

AWS Management Console프라이빗 액세스를 사용하면 VPC AWS Management Console내에서를 사용할 수 있는 AWS 계정및 조직 자격 증명을 제한할 수 있습니다. 이렇게 하면 개인 계정 및 조직 외부 계정의 액세스가 방지됩니다.

AWS Management Console및 AWS 로그인VPC 엔드포인트는 각각 로그인한 계정의 자격 증명을 제어하는 VPC 엔드포인트 정책을 지원합니다. 정책은 로그인 시 평가되며 기존 세션에 대해 주기적으로 재평가됩니다.
+ **AWS Management ConsoleVPC 엔드포인트 정책** -이 엔드포인트를 AWS Management Console통해에 액세스할 수 있는 로그인 ID를 제한합니다. `aws:PrincipalOrgId` 또는 `aws:PrincipalAccount` 조건 키와 함께 `Action: *` 및 `Principal: *`를 사용합니다.
+ **AWS 로그인VPC 엔드포인트 정책(로그인 흐름) -** 자격 증명이 검증되기 전과 후에 별도의 평가를 통해이 엔드포인트를 AWS Management Console통해에 로그인할 수 있는 사용자를 제한합니다. **사전 인증**은를 사용하여 자격 증명을 입력하기 전에 로그인 시도를 차단합니다`signin:Authenticate`. **인증 후**는 `signin:AuthorizeOAuth2Access` 자격 증명이 수락된 후 및를 사용하여 OAuth 토큰 교환 중에 세션을 검증합니다`signin:CreateOAuth2Token`.
+ **AWS 로그인VPC 엔드포인트 정책(가입 흐름)** - 프라이빗 네트워크 내에서 AWS계정 가입 흐름에 액세스할 수 있는지 여부를 제어합니다. 암시적 거부가 있는 `signin:CreateAccount` 작업을 지원합니다.

다음 예제에서는 계정 또는 조직별로 액세스를 제한하는 방법을 보여줍니다. 각 엔드포인트에 적절한 정책 형식을 사용하여 AWS Management Console및 AWS 로그인VPC 엔드포인트 모두에 동등한 제한을 적용합니다.

**Topics**
+ [AWS Management ConsoleVPC 엔드포인트 예제](#console-vpc-endpoint-examples)
+ [AWS 로그인VPC 엔드포인트 예제](#signin-vpc-endpoint-examples)
+ [액세스 거부 오류 페이지](#access-denied-error)
+ [서비스 제어 정책 로그인 허용](#private-access-with-SCPs)

**참고**  
다음 예제는 설명을 위한 참조 정책입니다. 프로덕션 환경의 경우 네트워크 경계 SCP와 같은 [aws-samples/data-perimeter-policy-examples](https://github.com/aws-samples/data-perimeter-policy-examples) 리포지토리의 포괄적인 데이터 경계 정책 예제를 사용합니다. [https://github.com/aws-samples/data-perimeter-policy-examples/blob/main/service_control_policies/network_perimeter_sourcevpc_scp.json](https://github.com/aws-samples/data-perimeter-policy-examples/blob/main/service_control_policies/network_perimeter_sourcevpc_scp.json) 

## AWS Management ConsoleVPC 엔드포인트 예제
<a name="console-vpc-endpoint-examples"></a>

**예: 조직의 계정만 허용**  
이 AWS Management ConsoleVPC 엔드포인트 정책은 지정된 AWS조직의 AWS 계정에 대한 액세스를 허용하고 다른 모든 계정을 차단합니다.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgId": "o-xxxxxxxxxxx"
        }
      }
    }
  ]
}
```

------

**예: 특정 계정만 허용**  
이 AWS Management ConsoleVPC 엔드포인트 정책은 특정 목록에 대한 액세스를 제한AWS 계정하고 다른 모든 계정을 차단합니다.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalAccount": [ "111122223333", "222233334444" ]
        }
      }
    }
  ]
}
```

------

## AWS 로그인VPC 엔드포인트 예제
<a name="signin-vpc-endpoint-examples"></a>

AWS 로그인VPC 엔드포인트에는 각 인증 단계에 적합한 특정 로그인 작업 및 조건 키가 있는 정책이 필요합니다.
+ **사전 인증 단계 -** 사용자의 자격 증명이 설정되기 전에 평가됩니다. 보안 주체 정보가 아직 알려지지 않았으므로 리소스 기반 조건 키만 사용할 수 있습니다.
  + 지원되는 작업: `signin:Authenticate`
  + 지원되는 조건 키: `aws:ResourceOrgId` 또는 `aws:ResourceAccount`
+ **인증 후 단계 -** 로그인 서비스에서 세션 자격 증명을 발급할 때 인증 후 평가됩니다. 전체 보안 주체 정보를 사용할 수 있습니다.
  + 지원되는 작업: `signin:AuthorizeOAuth2Access`, `signin:CreateOAuth2Token` 
  + 지원되는 조건 키: `aws:PrincipalOrgId` 또는 `aws:PrincipalAccount`, `aws:ResourceOrgId`, `aws:ResourceAccount` 

**예: 조직의 계정에 대해서만 로그인 허용**  
이 AWS 로그인VPC 엔드포인트 정책은 작업별 문을 사용하여 사전 인증 및 사후 인증 단계 모두에서 AWS 계정지정된 AWS조직에서에 대한 로그인을 허용합니다.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PreAuthOrgRestriction",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "signin:Authenticate",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceOrgID": "o-xxxxxxxxxxx"
        }
      }
    },
    {
      "Sid": "PostAuthOrgRestriction",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "signin:AuthorizeOAuth2Access",
        "signin:CreateOAuth2Token"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgId": "o-xxxxxxxxxxx"
        }
      }
    }
  ]
}
```

------

**예: 특정 계정에 대해서만 로그인 허용**  
이 AWS 로그인VPC 엔드포인트 정책은 작업별 문을 사용하여 사전 인증 및 사후 인증 단계 AWS 계정모두에서 특정 목록으로 로그인을 제한합니다.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PreAuthAccountRestriction",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "signin:Authenticate",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": [ "123456789012", "210987654321" ]
        }
      }
    },
    {
      "Sid": "PostAuthAccountRestriction",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "signin:AuthorizeOAuth2Access",
        "signin:CreateOAuth2Token"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalAccount": [ "123456789012", "210987654321" ]
        }
      }
    }
  ]
}
```

------

**계정 가입 흐름 제어**  
`signin:CreateAccount` 작업은 프라이빗 네트워크 내에서 AWS계정 가입 흐름에 액세스할 수 있는지 여부를 제어합니다. 이 작업은 익명 보안 주체(가입 중에 계정이 없음)를 사용하며 조건 키를 지원하지 않습니다.

AWS 로그인VPC 엔드포인트 정책 형식을 사용하는 경우 명시적으로 허용하지 않는 한 묵시적 거부에 의해 가입 흐름이 차단됩니다. 조직에서 프라이빗 네트워크 내에서 계정 가입이 필요한 경우 AWS 로그인VPC 엔드포인트 정책에 다음 문을 추가합니다.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAccountSignup",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "signin:CreateAccount",
      "Resource": "*"
    }
  ]
}
```

------

## 액세스 거부 오류 페이지
<a name="access-denied-error"></a>

계정에 속하지 않는 자격 증명에 연결하면 "계정에 AWS Management Console 프라이빗 액세스를 사용할 권한이 없습니다" 오류가 표시됩니다. 다음 스크린샷은 액세스 거부 오류 페이지를 보여줍니다.

![AWS Management Console프라이빗 액세스를 사용할 권한이 없음을 나타내는 메시지가 포함된 오류 페이지입니다.](http://docs.aws.amazon.com/ko_kr/awsconsolehelpdocs/latest/gsg/images/console-private-access-denied.png)


## 서비스 제어 정책 로그인 허용
<a name="private-access-with-SCPs"></a>

AWS조직에서 특정 서비스를 허용하는 서비스 제어 정책(SCP)을 사용하는 경우 허용된 작업에 `signin:*`를 추가해야 합니다. 프라이빗 액세스 VPC 엔드포인트를 AWS Management Console통해에 로그인하면 SCP가 권한 없이 차단하는 IAM 권한이 수행되므로이 권한이 필요합니다. 예를 들어, 다음 서비스 제어 정책은 AWS Management Console 프라이빗 액세스 엔드포인트를 사용하여 액세스하는 경우를 포함하여 조직에서 Amazon EC2 및 CloudWatch 서비스를 사용할 수 있도록 허용합니다.

```
{
  "Effect": "Allow",
  "Action": [
    "signin:*",
    "ec2:*",
    "cloudwatch:*",
    ... Other services allowed
  },
  "Resource": "*"
}
```

SCP에 대한 자세한 내용은 *AWS Organizations 사용 설명서*에서 [서비스 제어 정책(SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)을 참조하세요.