기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AMS 콘솔에 대한 페더레이션 구성(SALZ)
다음 표에 자세히 설명된 IAM 역할 및 SAML 자격 증명 공급자(신뢰할 수 있는 엔터티)가 계정 온보딩의 일부로 프로비저닝되었습니다. 이러한 역할을 사용하면 RFCs, 서비스 요청 및 인시던트 보고서를 제출 및 모니터링하고 VPCs 및 스택에 대한 정보를 얻을 수 있습니다.
| 역할 | ID 제공업체 | 권한 |
|---|---|---|
Customer_ReadOnly_역할 |
SAML |
표준 AMS 계정의 경우. RFCs 제출하여 AMS 관리형 인프라를 변경하고 서비스 요청 및 인시던트를 생성할 수 있습니다. |
customer_managed_ad_user_역할 |
SAML |
AMS Managed Active Directory 계정의 경우. AMS 콘솔에 로그인하여 서비스 요청 및 인시던트(RFCs. |
다른 계정에서 사용할 수 있는 역할의 전체 목록은 섹션을 참조하세요AMS의 IAM 사용자 역할 .
온보딩 팀원은 연동 솔루션의 메타데이터 파일을 미리 구성된 자격 증명 공급자에 업로드합니다. 조직의 사용자가 AWS 리소스에 액세스할 수 있도록 Shibboleth 또는 Active Directory Federation Services와 같은 SAML 호환 IdP(자격 증명 공급자) 간에 신뢰를 구축하려는 경우 SAML 자격 증명 공급자를 사용합니다. IAM의 SAML 자격 증명 공급자는 위의 역할을 가진 IAM 신뢰 정책에서 보안 주체로 사용됩니다.
다른 페더레이션 솔루션은 AWS에 대한 통합 지침을 제공하지만 AMS에는 별도의 지침이 있습니다. 아래 제공된 수정 사항과 함께 Windows Active Directory, AD FS 및 SAML 2.0을 사용하여 AWS에 페더레이션 활성화
블로그 게시물에 따라 신뢰 당사자 신뢰를 생성한 후 다음과 같이 클레임 규칙을 구성합니다.
NameId: 블로그 게시물을 따릅니다.
RoleSessionName: 다음 값을 사용합니다.
클레임 규칙 이름: RoleSessionName
속성 저장소: Active Directory
LDAP 속성: SAM-Account-Name
발신 클레임 유형: https://aws.amazon.com/SAML/Attributes/RoleSessionName
AD 그룹 가져오기: 블로그 게시물을 따릅니다.
역할 클레임: 블로그 게시물을 따르지만 사용자 지정 규칙의 경우 다음을 사용합니다.
c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([^d]{12})-"] => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([^d]{12})-", "arn:aws:iam::$1:saml-provider/customer-readonly-saml,arn:aws:iam::$1:role/"));
AD FS를 사용하는 경우 다음 표에 표시된 형식으로 각 역할에 대한 Active Directory 보안 그룹을 생성해야 합니다(customer_managed_ad_user_role은 AMS Managed AD 계정 전용).
| 그룹 | 역할 |
|---|---|
AWS-[AccountNo]-Customer_ReadOnly_Role |
Customer_ReadOnly_역할 |
AWS-[AccountNo]-customer_managed_ad_user_role |
customer_managed_ad_user_역할 |
자세한 내용은 인증 응답에 대한 SAML 어설션 구성을 참조하세요.
작은 정보
문제 해결에 도움이 되도록 브라우저용 SAML 추적기 플러그인을 다운로드합니다.
