AWS를 사용하여 도구 인증 구성 - AWS Tools for PowerShell (버전 4)
IAM Identity Center 사용 및 구성PowerShell용 도구가 IAM Identity Center를 사용하도록 구성합니다.AWS 액세스 포털 세션 시작예시추가 정보

버전 5(V5) AWS Tools for PowerShell 가 릴리스되었습니다.

새 버전의 도구 사용을 시작하려면 AWS Tools for PowerShell 사용 설명서(V5), 특히 V5로 마이그레이션 주제를 참조하세요.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS를 사용하여 도구 인증 구성

AWS 서비스로 개발할 때는 코드가 AWS에서 인증되는 방법을 설정해야 합니다. 환경 및 사용 가능한 AWS 액세스에 따라 AWS 리소스에 대한 프로그래밍 방식의 액세스를 구성할 수 있는 다양한 방법이 있습니다.

PowerShell용 도구에 대한 다양한 인증 방법을 확인하려면 AWS SDK 및 도구 참조 가이드에서 인증 및 액세스를 참조하세요.

이 주제에서는 새 사용자가 로컬에서 개발 중이고, 고용주로부터 인증 방법을 받지 않았으며, 임시 보안 인증 정보를 얻기 위해 AWS IAM Identity Center를 사용한다고 가정합니다. 사용자 환경이 이러한 가정에 해당하지 않는 경우 이 주제의 일부 정보가 사용자에게 적용되지 않거나 일부 정보가 이미 제공되었을 수 있습니다.

이 환경을 구성하려면 몇 가지 단계를 수행해야 하며, 요약하면 다음과 같습니다.

  1. IAM Identity Center 사용 및 구성

  2. PowerShell용 도구가 IAM Identity Center를 사용하도록 구성합니다.

  3. AWS 액세스 포털 세션 시작

IAM Identity Center 사용 및 구성

AWS IAM Identity Center를 사용하려면 먼저 사용하도록 설정하고 구성해야 합니다. PowerShell에서 이 작업을 수행하는 방법에 대한 자세한 내용은 AWS SDK 및 도구 참조 가이드의 IAM Identity Center 인증 항목에 있는 1단계를 참조하세요. 특히 IAM Identity Center를 통한 액세스가 설정되어 있지 않습니다 아래에 있는 필요한 지침을 따르세요.

PowerShell용 도구가 IAM Identity Center를 사용하도록 구성합니다.

참고

Tools for PowerShell의 버전 4.1.538부터 SSO 자격 증명을 구성하고 AWS 액세스 포털 세션을 시작하는 데 권장되는 방법은 이 주제에 설명된 대로 Initialize-AWSSSOConfigurationInvoke-AWSSSOLogin cmdlet을 사용하는 것입니다. 해당 버전의 Tools for PowerShell(또는 이후 버전)에 액세스할 수 없거나 이러한 cmdlet을 사용할 수 없는 경우에도 AWS CLI를 사용하여 이러한 작업을 수행할 수 있습니다. 방법을 알아보려면 포털 로그인에 AWS CLI 사용 섹션을 참조하세요.

다음 절차에서는 Tools for PowerShell이 임시 자격 증명을 얻는 데 사용하는 SSO 정보로 공유된 AWS config 파일을 업데이트합니다. 이 절차를 수행하면 AWS 액세스 포털 세션도 시작됩니다. 공유된 config 파일에 이미 SSO 정보가 있고 Tools for PowerShell을 사용하여 액세스 포털 세션을 시작하는 방법만 확인하려면 이 주제의 다음 섹션인 AWS 액세스 포털 세션 시작 섹션을 참조하세요.

  1. 아직 설치하지 않은 경우 PowerShell을 열고 일반 cmdlet을 포함하여 운영 체제 및 환경에 맞게 AWS Tools for PowerShell을 설치합니다. 이를 위한 자세한 방법은 설치AWS Tools for PowerShell 섹션을 참조하세요.

    예를 들어 Windows에 Tools for PowerShell의 모듈화된 버전을 설치하는 경우 다음과 유사한 명령을 실행할 가능성이 높습니다.

    Install-Module -Name AWS.Tools.Installer
Install-AWSToolsModule AWS.Tools.Common

  2. 다음 명령을 실행합니다. 예제 속성 값을 IAM Identity Center 구성의 값으로 바꿉니다. 이러한 속성과 해당 속성을 찾는 방법에 대한 자세한 내용은 AWS SDK 및 도구 참조 안내서IAM Identity Center 자격 증명 공급자 설정을 참조하세요.

    $params = @{
  ProfileName = 'my-sso-profile'
  AccountId = '111122223333'
  RoleName = 'SamplePermissionSet'
  SessionName = 'my-sso-session'
  StartUrl = 'https://provided-domain.awsapps.com/start'
  SSORegion = 'us-west-2'
  RegistrationScopes = 'sso:account:access'
};
Initialize-AWSSSOConfiguration @params

    또는 cmdlet 자체, Initialize-AWSSSOConfiguration을 사용하면 Tools for PowerShell에서 속성 값을 입력하라는 메시지를 표시합니다.

    특정 속성 값에 대한 고려 사항:

    • 지침에 따라 IAM Identity Center를 활성화하고 구성한 경우 -RoleName의 값은 PowerUserAccess일 수 있습니다. 그러나 PowerShell 작업 전용으로 IAM Identity Center 권한 집합을 생성한 경우 이를 대신 사용합니다.

    • IAM Identity Center를 구성한 AWS 리전을 사용해야 합니다.

  3. 이제 PowerShell용 도구에서 참조할 수 있는 구성 값 집합이 있는 my-sso-profile이라는 프로필이 포함된 공유 AWS config 파일입니다. 이 파일의 위치를 찾으려면 AWS SDK 및 도구 참조 가이드에서 공유 파일의 위치를 참조하세요.

    PowerShell용 도구는 AWS에 요청을 보내기 전에 프로필의 SSO 토큰 공급자를 사용하여 자격 증명을 얻습니다. sso_role_name 값은 IAM 신원 센터 권한 집합에 연결된 IAM 역할로, 애플리케이션에서 사용되는 AWS 서비스 서비스에 대한 액세스를 허용해야 합니다.

    다음 샘플은 위에 표시된 명령을 사용하여 생성된 프로필을 보여줍니다. 일부 속성 값과 순서는 실제 프로필에서 다를 수 있습니다. 프로필의 sso-session 속성은 AWS 액세스 포털 세션을 시작하는 설정이 포함된 my-sso-session이라는 섹션을 참조합니다.

    [profile my-sso-profile]
sso_account_id=111122223333
sso_role_name=SamplePermissionSet
sso_session=my-sso-session

[sso-session my-sso-session]
sso_region=us-west-2
sso_registration_scopes=sso:account:access
sso_start_url=https://provided-domain.awsapps.com/start/

  4. 이미 활성 AWS 액세스 포털 세션이 있는 경우 Tools for PowerShell에서 이미 로그인되어 있음을 알립니다.

    그렇지 않은 경우 Tools for PowerShell은 기본 웹 브라우저에서 SSO 권한 부여 페이지를 자동으로 열려고 시도합니다. 브라우저의 프롬프트를 따르세요. 여기에는 SSO 권한 부여 코드, 사용자 이름 및 암호, AWS IAM Identity Center 계정 및 권한 집합에 액세스할 수 있는 권한이 포함될 수 있습니다.

    Tools for PowerShell에서 SSO 로그인에 성공했음을 알려줍니다.

AWS 액세스 포털 세션 시작

AWS 서비스에 액세스하는 명령을 실행하기 전에 Tools for PowerShell에서 IAM Identity Center 인증을 사용하여 보안 인증을 확인하려면 활성 AWS 액세스 포털 세션이 있어야 합니다. AWS 액세스 포털에 로그인하려면 PowerShell에서 다음 명령을 실행합니다. 여기서 -ProfileName my-sso-profile은 이 주제의 이전 섹션에 있는 절차를 따랐을 때 공유 config 파일에 생성된 프로필의 이름입니다.

Invoke-AWSSSOLogin -ProfileName my-sso-profile

이미 활성 AWS 액세스 포털 세션이 있는 경우 Tools for PowerShell에서 이미 로그인되어 있음을 알립니다.

그렇지 않은 경우 Tools for PowerShell은 기본 웹 브라우저에서 SSO 권한 부여 페이지를 자동으로 열려고 시도합니다. 브라우저의 프롬프트를 따르세요. 여기에는 SSO 권한 부여 코드, 사용자 이름 및 암호, AWS IAM Identity Center 계정 및 권한 집합에 액세스할 수 있는 권한이 포함될 수 있습니다.

Tools for PowerShell에서 SSO 로그인에 성공했음을 알려줍니다.

이미 활성 세션이 있는지 테스트하려면 필요에 따라 AWS.Tools.SecurityToken 모듈을 설치하거나 가져온 후 다음 명령을 실행합니다.

Get-STSCallerIdentity -ProfileName my-sso-profile

Get-STSCallerIdentity cmdlet에 대한 응답은 공유 config 파일에 구성된 IAM Identity Center 계정 및 권한 집합을 보고합니다.

예시

다음은 PowerShell용 도구와 함께 IAM Identity Center를 사용하는 방법의 예제입니다. 이 예제에서는 다음을 가정합니다.

  • 이 주제의 앞부분에서 설명한 대로 IAM Identity Center를 사용하도록 설정하고 구성했습니다. SSO 속성은 이 주제의 앞부분에서 구성한 my-sso-profile 프로필에 있습니다.

  • Initialize-AWSSSOConfiguration 또는 Invoke-AWSSSOLogin cmdlet을 통해 로그인하는 경우 해당 사용자는 최소한 Amazon S3에 대한 읽기 전용 권한이 있습니다.

  • 해당 사용자는 일부 S3 버킷을 볼 수 있습니다.

필요에 따라 AWS.Tools.S3 모듈을 설치하거나 가져온 후, 다음 PowerShell 명령을 사용하여 S3 버킷 목록을 표시합니다.

Get-S3Bucket -ProfileName my-sso-profile

추가 정보

  • 프로필 및 환경 변수 사용과 같은 PowerShell용 도구 인증에 대한 자세한 옵션은 AWS SDK 및 도구 참조 가이드의 구성 장을 참조하세요.

  • 일부 명령은 AWS 리전을 지정해야 합니다. -Region cmdlet 옵션, [default] 프로필, AWS_REGION 환경 변수 등 여러 가지 방법으로 이를 수행할 수 있습니다. 자세한 정보는 이 가이드의 AWS 리전 지정 섹션과 AWS SDK 및 도구 참조 가이드AWS 리전을 참조하세요.

  • 모범 사례에 대해 자세히 알아보려면 IAM 사용 설명서에서 IAM의 보안 모범 사례를 참조하세요.

  • 단기 AWS 보안 인증 정보를 만들려면 IAM 사용 설명서에서 임시 보안 인증 정보를 참조하세요.

  • 다른 보안 인증 공급자에 대해 알아보려면 AWS SDK 및 도구 참조 가이드에서 표준화된 보안 인증 공급자를 참조하세요.

주제