기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 빠른 자격 증명 및 액세스 관리
| |
| --- |
| 적용 대상: 엔터프라이즈 에디션 및 스탠다드 에디션 |
| |
| --- |
| 대상: 시스템 관리자 및 Amazon Quick 관리자 |
다음 도구를 사용하여 자격 증명 및 Quick에 액세스할 수 있습니다.
+ [IAM ID Center](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html)(엔터프라이즈 에디션만 해당)
+ [IAM 페더레이션](https://docs.aws.amazon.com/quicksight/latest/user/security.html)(스탠다드 에디션 및 엔터프라이즈 에디션)
+ [AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/quicksight/latest/user/aws-directory-service.html)(엔터프라이즈 에디션 전용)
+ [SAML 기반 Single Sign-On](https://docs.aws.amazon.com/quicksuite/latest/userguide/iam-federation.html)(Standard 및 Enterprise Edition)
+ [다중 인증(MFA)](https://docs.aws.amazon.com/quicksight/latest/user/using-multi-factor-authentication-mfa.html)(스탠다드 및 엔터프라이즈 에디션)
**참고**
아래 나열된 리전에서 Amazon Quick 계정은 자격 증명 및 액세스 관리를 위해서만 [IAM Identity Center](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html)를 사용할 수 있습니다.
`af-south-1` 아프리카(케이프타운)
`ap-southeast-3` 아시아 태평양(자카르타)
`ap-southeast-5` 아시아 태평양(말레이시아)
`eu-south-1` 유럽(밀라노)
`eu-central-2` 유럽(취리히)
다음 섹션에서는 Quick에 대해 선택한 자격 증명 관리 방법을 구성하는 데 도움이 됩니다.
**Topics**
+ [IAM 사용](iam.md)
+ [IAM Identity Center 사용](setting-up-sso.md)
+ [IAM 페더레이션](iam-federation.md)
+ [Amazon Quick Enterprise 에디션에서 Active Directory 사용](aws-directory-service.md)
+ [Amazon Quick에서 다중 인증(MFA) 사용](using-multi-factor-authentication-mfa.md)
# IAM 사용
AWS Identity and Access Management (IAM)는 관리자가 AWS 리소스에 대한 액세스를 안전하게 제어하는 데 도움이 AWS 서비스 되는 입니다. IAM 관리자는 Amazon Quick 리소스를 사용할 수 있는 *인증*(로그인) 및 *권한*(권한 있음)을 받을 수 있는 사용자를 제어합니다. IAM은 추가 비용 없이 사용할 수 AWS 서비스 있는 입니다.
**Topics**
+ [IAM 개념 소개](security_iam_concepts.md)
+ [IAM에서 빠른 사용](security_iam_service-with-iam.md)
+ [빠른에 IAM 역할 전달](security-create-iam-role.md)
+ [Quick에 대한 IAM 정책 예제](iam-policy-examples.md)
+ [Amazon Quick에 대한 사용자 프로비저닝](provisioning-users.md)
+ [빠른 자격 증명 및 액세스 문제 해결](security_iam_troubleshoot.md)
# IAM 개념 소개
AWS Identity and Access Management (IAM)는 관리자가 AWS 리소스에 대한 액세스를 보다 안전하게 제어할 수 있도록 지원하는 AWS 서비스입니다. 관리자는 Amazon Quick 리소스를 사용할 수 있는 *인증*(로그인) 및 *권한*(권한 있음)을 받을 수 있는 사용자를 제어합니다. IAM은 추가 비용 없이 사용할 수 있는 AWS 서비스입니다.
IAM은 다음을 포함하여 여러 가지 방법으로 Amazon Quick과 함께 사용됩니다.
+ 회사에서 자격 증명 관리에 IAM을 사용하는 경우 사용자가 Amazon Quick에 로그인하는 데 사용하는 IAM 사용자 이름과 암호를 가지고 있을 수 있습니다.
+ 처음 로그인할 때 Amazon Quick 사용자를 자동으로 생성하려면 IAM을 사용하여 Amazon Quick 사용 권한이 사전 부여된 사용자를 위한 정책을 생성할 수 있습니다.
+ 특정 Amazon Quick 사용자 그룹 또는 특정 리소스에 대한 특수 액세스를 생성하려는 경우 IAM 정책을 사용하여 이를 수행할 수 있습니다.
**Topics**
+ [대상](#security_iam_audience)
+ [ID를 통한 인증](#security_iam_authentication)
+ [정책을 사용하여 액세스 관리](#security_iam_access-manage)
## 대상
다음 내용을 사용하면 이 섹션에서 제공하는 정보의 컨텍스트와 해당 역할에 적용하는 방법을 이해하는 데 사용됩니다. AWS Identity and Access Management (IAM)를 사용하는 방법은 Amazon Quick에서 수행하는 작업에 따라 다릅니다.
**서비스 사용자** - 경우에 따라 Amazon Quick을 작성자 또는 리더로 사용하여 브라우저 인터페이스를 사용하여 Amazon Quick을 통해 데이터, 분석 및 대시보드, 공백 및 에이전트와 상호 작용할 수 있습니다. 이 경우 이 섹션에서는 배경 정보만 제공합니다. IAM을 사용하여 Amazon Quick에 로그인하는 경우를 제외하고 IAM 서비스와 직접 상호 작용하지 않습니다.
**Amazon Quick 관리자** - 회사에서 Amazon Quick 리소스를 책임지고 있는 경우 Amazon Quick에 대한 전체 액세스 권한을 가지고 있을 것입니다. 팀원이 액세스해야 하는 Amazon Quick 기능과 리소스를 결정하는 것은 사용자의 작업입니다. Amazon Quick 관리자 패널을 사용하여 해결할 수 없는 특수 요구 사항이 있는 경우 관리자와 협력하여 Amazon Quick 사용자를 위한 권한 정책을 생성할 수 있습니다. IAM에 대해 자세히 알아보려면 이 페이지를 읽고 IAM의 기본 개념을 이해하세요. 회사가 Amazon Quick에서 IAM을 사용하는 방법에 대한 자세한 내용은 [IAM에서 Amazon Quick 사용을](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam.html) 참조하세요.
**관리자** - 시스템 관리자인 경우 Amazon Quick에 대한 액세스를 관리하는 정책을 작성하는 방법에 대한 세부 정보를 알고 싶을 수 있습니다. IAM에서 사용할 수 있는 Amazon Quick 자격 증명 기반 정책의 예를 보려면 [Amazon Quick에 대한 IAM 자격 증명 기반 정책을](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples) 참조하세요.
## ID를 통한 인증
인증은 자격 증명 자격 증명을 AWS 사용하여에 로그인하는 방법입니다. AWS 계정 루트 사용자, IAM 사용자 또는 IAM 역할을 수임하여 인증해야 합니다.
AWS IAM Identity Center (IAM Identity Center), Single Sign-On 인증 또는 Google/Facebook 자격 증명과 같은 자격 증명 소스의 자격 증명을 사용하여 페더레이션 자격 증명으로 로그인할 수 있습니다. 로그인하는 방법에 대한 자세한 내용은 *AWS Sign-In 사용 설명서*의 [AWS 계정에 로그인하는 방법](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) 섹션을 참조하세요.
프로그래밍 방식 액세스를 위해는 요청에 암호화 방식으로 서명할 수 있는 SDK 및 CLI를 AWS 제공합니다. 자세한 내용은 *IAM 사용 설명서*의 [API 요청용AWS Signature Version 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) 섹션을 참조하세요.
**Topics**
+ [AWS 계정 루트 사용자](#security_iam_authentication-rootuser)
+ [IAM 사용자 및 그룹](#security_iam_authentication-iamuser)
+ [IAM 역할](#security_iam_authentication-iamrole)
### AWS 계정 루트 사용자
를 생성할 때 모든 AWS 서비스 및 리소스에 대한 완전한 액세스 권한이 있는 AWS 계정 *theroot 사용자*라는 하나의 로그인 자격 증명으로 AWS 계정시작합니다. 일상적인 태스크에 루트 사용자를 사용하지 않을 것을 강력히 권장합니다. 루트 사용자가 필요한 작업 목록은 *IAM 사용자 설명서*의 [루트 사용자 자격 증명이 필요한 작업](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)을 참조하세요.
### IAM 사용자 및 그룹
*[IAM 사용자](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*는 단일 개인 또는 애플리케이션에 대한 특정 권한을 가진 ID입니다. 장기 자격 증명이 있는 IAM 사용자 대신 임시 자격 증명을 사용하는 것이 좋습니다. 자세한 내용은 *IAM 사용 설명서의 자격* [증명 공급자와의 페더레이션을 사용하여 IAM 사용 설명서의 임시 자격 증명을 AWS 사용하여에 액세스하도록 인간 사용자에게 요구](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)를 참조하세요.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)은 IAM 사용자 모음을 지정하고 대규모 사용자 집합에 대한 관리 권한을 더 쉽게 만듭니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM 사용자 사용 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) 섹션을 참조하세요.
### IAM 역할
*[IAM 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*은 임시 자격 증명을 제공하는 특정 권한이 있는 자격 증명입니다. [사용자에서 IAM 역할(콘솔)로 전환하거나 또는 API 작업을 호출하여 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) 수임할 수 있습니다. AWS CLI AWS 자세한 내용은 *IAM 사용 설명서*의 [역할 수임 방법](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)을 참조하세요.
IAM 역할은 페더레이션 사용자 액세스, 임시 IAM 사용자 권한, 교차 계정 액세스, 교차 서비스 액세스 및 Amazon EC2에서 실행되는 애플리케이션에 유용합니다. 자세한 내용은 *IAM 사용 설명서*의 [교차 계정 리소스 액세스](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)를 참조하세요.
## 정책을 사용하여 액세스 관리
정책을 AWS 생성하고 자격 증명 또는 리소스에 연결하여 AWS 에서 액세스를 제어합니다. 정책은 자격 증명 또는 리소스와 연결될 때 권한을 정의합니다.는 보안 주체가 요청할 때 이러한 정책을 AWS 평가합니다. 대부분의 정책은에 JSON 문서 AWS 로 저장됩니다. JSON 정책 문서에 대한 자세한 내용은 *IAM 사용 설명서*의 [JSON 정책 개요](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) 섹션을 참조하세요.
정책을 사용하여 관리자는 어떤 **보안 주체**가 어떤 **리소스**에 대해 어떤 **조건**에서 **작업**을 수행할 수 있는지 정의하여 누가 무엇을 액세스할 수 있는지 지정합니다.
기본적으로 사용자 및 역할에는 어떠한 권한도 없습니다. IAM 관리자는 IAM 정책을 생성하고 사용자가 수임할 수 있는 역할에 추가합니다. IAM 정책은 작업을 수행하기 위해 사용하는 방법과 관계없이 작업에 대한 권한을 정의합니다.
### ID 기반 정책
ID 기반 정책은 ID(사용자, 사용자 그룹 또는 역할)에 연결하는 JSON 권한 정책 문서입니다. 이러한 정책은 자격 증명이 수행할 수 있는 작업, 대상 리소스 및 이에 관한 조건을 제어합니다. ID 기반 정책을 생성하는 방법을 알아보려면 *IAM 사용 설명서*에서 [고객 관리형 정책으로 사용자 지정 IAM 권한 정의](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)를 참조하세요.
ID 기반 정책은 *인라인 정책*(단일 ID에 직접 포함) 또는 *관리형 정책*(여러 ID에 연결된 독립 실행형 정책)일 수 있습니다. 관리형 정책 또는 인라인 정책을 선택하는 방법을 알아보려면 *IAM 사용 설명서*의 [관리형 정책 및 인라인 정책 중에서 선택](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) 섹션을 참조하세요.
### 리소스 기반 정책
리소스 기반 정책은 리소스에 연결하는 JSON 정책 설명서입니다. 예를 들어 IAM *역할 신뢰 정책* 및 Amazon S3 *버킷 정책*이 있습니다. 리소스 기반 정책을 지원하는 서비스에서 서비스 관리자는 이러한 정책을 사용하여 특정 리소스에 대한 액세스를 통제할 수 있습니다. 리소스 기반 정책에서 [보안 주체를 지정](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)해야 합니다.
리소스 기반 정책은 해당 서비스에 있는 인라인 정책입니다. 리소스 기반 정책에서는 IAM의 AWS 관리형 정책을 사용할 수 없습니다.
### 액세스 제어 목록(ACL)
액세스 제어 목록(ACL)은 어떤 위탁자(계정 멤버, 사용자 또는 역할)가 리소스에 액세스할 수 있는 권한을 가지고 있는지를 제어합니다. ACL은 JSON 정책 문서 형식을 사용하지 않지만 리소스 기반 정책과 유사합니다.
Amazon S3 AWS WAF및 Amazon VPC는 ACLs. ACL에 관한 자세한 내용은 *Amazon Simple Storage Service 개발자 가이드*의 [액세스 제어 목록(ACL) 개요](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html)를 참조하세요.
### 기타 정책 타입
AWS 는 보다 일반적인 정책 유형에서 부여한 최대 권한을 설정할 수 있는 추가 정책 유형을 지원합니다.
+ **권한 경계** - ID 기반 정책에서 IAM 엔터티에 부여할 수 있는 최대 권한을 설정합니다. 자세한 정보는 *IAM 사용 설명서*의 [IAM 엔터티의 권한 범위](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)를 참조하세요.
+ **서비스 제어 정책(SCP)** - AWS Organizations내 조직 또는 조직 단위에 대한 최대 권한을 지정합니다. 자세한 내용은AWS Organizations 사용 설명서의 [서비스 제어 정책](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)을 참조하세요.**
+ **리소스 제어 정책(RCP)** – 계정의 리소스에 사용할 수 있는 최대 권한을 설정합니다. 자세한 내용은 *AWS Organizations 사용 설명서*의 [리소스 제어 정책(RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)을 참조하세요.
+ **세션 정책** – 역할 또는 페더레이션 사용자에 대해 임시 세션을 프로그래밍 방식으로 생성할 때 파라미터로 전달하는 고급 정책입니다. 자세한 내용은 *IAM 사용 설명서*의 [세션 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)을 참조하세요.
### 여러 정책 유형
여러 정책 유형이 요청에 적용되는 경우, 결과 권한은 이해하기가 더 복잡합니다. 에서 여러 정책 유형이 관련될 때 요청을 허용할지 여부를 AWS 결정하는 방법을 알아보려면 *IAM 사용 설명서*의 [정책 평가 로직](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)을 참조하세요.
# IAM에서 빠른 사용
| |
| --- |
| 적용 대상: 엔터프라이즈 에디션 및 스탠다드 에디션 |
| |
| --- |
| 대상: 시스템 관리자 |
IAM을 사용하여 Amazon Quick에 대한 액세스를 관리하기 전에 Amazon Quick에서 사용할 수 있는 IAM 기능을 이해해야 합니다. Amazon Quick 및 기타 AWS 서비스에서 IAM을 사용하는 방법을 전체적으로 알아보려면 *IAM 사용 설명서*의 [AWS IAM으로 작업하는 서비스를](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) 참조하세요.
**Topics**
+ [Amazon 빠른 정책(자격 증명 기반)](#security_iam_service-with-iam-id-based-policies)
+ [Amazon Quick 정책(리소스 기반)](#security_iam_service-with-iam-resource-based-policies)
+ [Amazon Quick 태그 기반 권한 부여](#security_iam_service-with-iam-tags)
+ [Amazon Quick IAM 역할](#security_iam_service-with-iam-roles)
## Amazon 빠른 정책(자격 증명 기반)
IAM ID 기반 정책을 사용하면 허용되거나 거부되는 작업과 리소스뿐 아니라 작업이 허용되거나 거부되는 조건을 지정할 수 있습니다. Amazon Quick은 특정 작업, 리소스 및 조건 키를 지원합니다. JSON 정책에서 사용하는 모든 요소에 대해 알고 싶다면 *IAM 사용 설명서*의 [IAM JSON 정책 요소 참조](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)를 참조하세요.
AWS 루트 자격 증명 또는 IAM 사용자 자격 증명을 사용하여 Amazon Quick Account. AWS root를 생성할 수 있으며 관리자 자격 증명에는 AWS 리소스에 대한 Amazon Quick 액세스를 관리하는 데 필요한 모든 권한이 이미 있습니다.
하지만, 루트 자격 증명을 보호하고 대신에 IAM 사용자 자격 증명을 사용하는 것이 좋습니다. 이렇게 하려면 정책을 생성하여 Amazon Quick에 사용할 IAM 사용자 및 역할에 연결할 수 있습니다. 정책에는 다음 섹션에 설명된 대로 수행해야 하는 Amazon Quick 관리 작업에 대한 적절한 명령문이 포함되어야 합니다.
**중요**
빠른 정책 및 IAM 정책으로 작업할 때는 다음 사항에 유의하세요.
Quick에서 생성한 정책을 직접 수정하지 마세요. 직접 수정할 때는 Quick에서 편집할 수 없습니다. 그러면 정책과 관련하여 문제가 야기될 수 있습니다. 이 문제를 해결하려면 이전에 수정한 정책을 삭제합니다.
Amazon Quick 계정을 생성하려고 할 때 권한에 오류가 발생하면 *IAM 사용 설명서*의 [Amazon Quick에서 정의한 작업을](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions) 참조하세요.
경우에 따라 루트 계정에서도 액세스할 수 없는 Amazon Quick 계정이 있을 수 있습니다(예: 디렉터리 서비스를 실수로 삭제한 경우). 이 경우 이전 Amazon Quick 계정을 삭제한 다음 다시 생성할 수 있습니다. 자세한 내용은 [Amazon Quick 구독 삭제 및 계정 해지를 참조하세요](https://docs.aws.amazon.com/quicksight/latest/user/closing-account.html).
**Topics**
+ [작업](#security_iam_service-with-iam-id-based-policies-actions)
+ [리소스](#security_iam_service-with-iam-id-based-policies-resources)
+ [조건 키](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [예제](#security_iam_service-with-iam-id-based-policies-examples)
### 작업
관리자는 AWS JSON 정책을 사용하여 누가 무엇에 액세스할 수 있는지 지정할 수 있습니다. 즉, 어떤 **보안 주체**가 어떤 **리소스**와 어떤 **조건**에서 **작업**을 수행할 수 있는지를 지정할 수 있습니다.
JSON 정책의 `Action`요소는 정책에서 액세스를 허용하거나 거부하는 데 사용할 수 있는 작업을 설명합니다. 연결된 작업을 수행할 수 있는 권한을 부여하기 위한 정책에 작업을 포함하세요.
Amazon Quick의 정책 작업은 작업 앞에 접두사를 사용합니다`quicksight:`. 예를 들어 누군가에게 Amazon EC2 `RunInstances` API 작업을 통해 Amazon EC2 인스턴스를 실행할 권한을 부여하려면 해당 정책에 `ec2:RunInstances` 작업을 포함하세요. 정책 문에는 `Action` 또는 `NotAction` 요소가 포함되어야 합니다. Amazon Quick은이 서비스로 수행할 수 있는 작업을 설명하는 고유한 작업 세트를 정의합니다.
명령문 하나에 여러 태스크를 지정하려면 다음과 같이 쉼표로 구분합니다.
```
"Action": [
"quicksight:action1",
"quicksight:action2"]
```
와일드카드(\$1)를 사용하여 여러 작업을 지정할 수 있습니다. 예를 들어, `Create`라는 단어로 시작하는 모든 작업을 지정하려면 다음 작업을 포함합니다.
```
"Action": "quicksight:Create*"
```
Amazon Quick은 여러 AWS Identity and Access Management (IAM) 작업을 제공합니다. 모든 Amazon Quick 작업에는와 `quicksight:`같은 접두사가 붙습니다`quicksight:Subscribe`. IAM 정책에서 Amazon Quick 작업을 사용하는 방법에 대한 자세한 내용은 [Amazon Quick의 IAM 정책 예제를 참조하세요](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html).
Amazon Quick 작업의 up-to-date 목록을 보려면 *IAM 사용 설명서*의 [Amazon Quick에서 정의한 작업을](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions) 참조하세요.
### 리소스
관리자는 AWS JSON 정책을 사용하여 누가 무엇에 액세스할 수 있는지 지정할 수 있습니다. 즉, 어떤 **보안 주체**가 어떤 **리소스**와 어떤 **조건**에서 **작업**을 수행할 수 있는지를 지정할 수 있습니다.
`Resource` JSON 정책 요소는 작업이 적용되는 하나 이상의 객체를 지정합니다. 모범 사례에 따라 [Amazon 리소스 이름(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)을 사용하여 리소스를 지정합니다. 리소스 수준 권한을 지원하지 않는 작업의 경우, 와일드카드(\$1)를 사용하여 해당 문이 모든 리소스에 적용됨을 나타냅니다.
```
"Resource": "*"
```
다음은 정책의 예입니다. 즉, 이 정책이 연결된 함수 호출자는 그룹에 추가하려는 사용자 이름이 `user1`이 아니면 어떤 그룹에서든 `CreateGroupMembership` 작업을 호출할 수 있습니다.
```
{
"Effect": "Allow",
"Action": "quicksight:CreateGroupMembership",
"Resource": "arn:aws:quicksight:us-east-1:aws-account-id:group/default/*",
"Condition": {
"StringNotEquals": {
"quicksight:UserName": "user1"
}
}
}
```
리소스를 생성하기 위한 작업과 같은 일부 Amazon Quick 작업은 특정 리소스에서 수행할 수 없습니다. 이러한 경우, 와일드카드(\$1)를 사용해야 합니다.
```
"Resource": "*"
```
일부 API 작업에는 여러 리소스가 관여합니다. 단일 문에서 여러 리소스를 지정하려면 ARN을 쉼표로 구분합니다.
```
"Resource": [
"resource1",
"resource2"
```
Amazon Quick 리소스 유형 및 해당 Amazon 리소스 이름(ARNs) 목록을 보려면 *IAM 사용 설명서*의 [Amazon Quick에서 정의한 리소스를](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-resources-for-iam-policies) 참조하세요. 각 리소스의 ARN을 지정할 수 있는 작업을 알아보려면 [Amazon Quick에서 정의한 작업을](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-actions-as-permissions) 참조하세요.
### 조건 키
관리자는 AWS JSON 정책을 사용하여 누가 무엇에 액세스할 수 있는지 지정할 수 있습니다. 즉, 어떤 **보안 주체**가 어떤 **리소스**와 어떤 **조건**에서 **작업**을 수행할 수 있는지를 지정할 수 있습니다.
`Condition` 요소는 정의된 기준에 따라 문이 실행되는 시기를 지정합니다. 같음(equals) 또는 미만(less than)과 같은 [조건 연산자](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)를 사용하여 정책의 조건을 요청의 값과 일치시키는 조건식을 생성할 수 있습니다. 모든 AWS 전역 조건 키를 보려면 *IAM 사용 설명서*의 [AWS 전역 조건 컨텍스트 키를](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) 참조하세요.
Amazon Quick은 서비스별 조건 키를 제공하지 않지만 일부 전역 조건 키 사용을 지원합니다. 모든 AWS 전역 조건 키를 보려면 *IAM 사용 설명서*의 [AWS 전역 조건 컨텍스트 키를 참조하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).
### 예제
Amazon Quick 자격 증명 기반 정책의 예를 보려면 [Amazon Quick Policies(자격 증명 기반)](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam-id-based-policies.html)를 참조하세요.
## Amazon Quick 정책(리소스 기반)
Amazon Quick은 리소스 기반 정책을 지원하지 않습니다. 그러나 Amazon Quick 콘솔을 사용하여의 다른 AWS 리소스에 대한 액세스를 구성할 수 있습니다 AWS 계정.
## Amazon Quick 태그 기반 권한 부여
Amazon Quick은 리소스 태그 지정 또는 태그 기반 액세스 제어를 지원하지 않습니다.
## Amazon Quick IAM 역할
[IAM 역할은](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) 특정 권한이 있는 AWS 계정 내 엔터티입니다. IAM 역할을 사용하여 권한을 그룹화하여 Amazon Quick 작업에 대한 사용자의 액세스를 더 쉽게 관리할 수 있습니다.
Amazon Quick은 다음 역할 기능을 지원하지 않습니다.
+ 서비스 연결 역할.
+ 서비스 역할
+ 임시 자격 증명(직접 사용): 그러나 Amazon Quick은 임시 자격 증명을 사용하여 사용자가 IAM 역할을 수임하여 임베디드 대시보드에 액세스할 수 있도록 허용합니다. 자세한 내용은 [Amazon Quick에 대한 임베디드 분석을](https://docs.aws.amazon.com/quicksight/latest/user/embedded-analytics.html) 참조하세요.
Amazon Quick이 IAM 역할을 사용하는 방법에 대한 자세한 내용은 IAM과 [함께 Amazon Quick 사용](https://docs.aws.amazon.com/quicksight/latest/user/security_iam_service-with-iam.html) 및 [Amazon Quick에 대한 IAM 정책 예제](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html)를 참조하세요.
# 빠른에 IAM 역할 전달
| |
| --- |
| 적용 대상: Enterprise Edition |
IAM 사용자가 Quick에 가입하면 Amazon Quick 관리형 역할(기본 역할)을 사용하도록 선택할 수 있습니다. 또는 기존 IAM 역할을 Amazon Quick에 전달할 수 있습니다.
아래 섹션을 사용하여 기존 IAM 역할을 Amazon Quick에 전달
**Topics**
+ [사전 조건](#security-create-iam-role-prerequisites)
+ [추가 정책 연결](#security-create-iam-role-athena-s3)
+ [Quick에서 기존 IAM 역할 사용](#security-create-iam-role-use)
## 사전 조건
사용자가 Amazon Quick에 IAM 역할을 전달하려면 관리자가 다음 작업을 완료해야 합니다.
+ **IAM 역할 생성.** IAM 역할 생성에 대한 자세한 내용은 IAM 사용 설명서의 [IAM 역할 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)을 참조하십시오.
+ **Amazon Quick이 역할을 수임할 수 있도록 허용하는 신뢰 정책을 IAM 역할에 연결합니다**. 다음 예를 사용하여 역할에 대한 신뢰 정책을 생성합니다. 다음 예제 신뢰 정책은 Quick 보안 주체가 연결된 IAM 역할을 수임하도록 허용합니다.
IAM 트러스트 정책을 생성하고 이를 역할에 연결하는 방법에 대한 자세한 내용은 IAM 사용 설명서의 [역할 변경(콘솔)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-managingrole_edit-trust-policy.html)을 참조하십시오.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "quicksight.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
+ **관리자(IAM 사용자 또는 역할)에게 다음 IAM 권한을 할당합니다**.
+ `quicksight:UpdateResourcePermissions` - Amazon Quick 관리자인 IAM 사용자에게 Amazon Quick의 리소스 수준 권한을 업데이트할 수 있는 권한을 부여합니다. Amazon Quick에서 정의한 리소스 유형에 대한 자세한 내용은 *IAM 사용 설명서*의 [Quick에 사용되는 작업, 리소스 및 조건 키를](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonquicksight.html) 참조하세요.
+ `iam:PassRole` - 사용자에게 Amazon Quick에 역할을 전달할 수 있는 권한을 부여합니다. 자세한 내용은 *IAM 사용 설명서*의 [AWS 서비스에 역할을 전달할 수 있는 사용자 권한 부여](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html)를 참조하세요.
+ `iam:ListRoles` – (선택 사항) 사용자에게 Amazon Quick의 기존 역할 목록을 볼 수 있는 권한을 부여합니다. 이 권한이 제공되지 않으면 ARN을 사용하여 기존 IAM 역할을 사용할 수 있습니다.
다음은 리소스 수준 권한 관리, IAM 역할 나열 및 Quick에서 IAM 역할 전달을 허용하는 IAM 권한 정책의 예입니다.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "arn:aws:iam::account-id:role:*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::account-id:role/path/role-name",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"quicksight.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": "quicksight:UpdateResourcePermissions",
"Resource": "*"
}
]
}
```
Amazon Quick에서 사용할 수 있는 IAM 정책의 추가 예제는 [Amazon Quick의 IAM 정책 예제를](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html) 참조하세요.
사용자 또는 사용자 그룹에 권한 정책을 할당하는 방법에 대한 자세한 내용은 IAM 사용 설명서의 [IAM 사용자에 대한 권한 변경](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html)을 참조하십시오.
## 추가 정책 연결
Amazon Athena 또는 Amazon S3와 같은 다른 AWS 서비스를 사용하는 경우 Amazon Quick에 특정 작업을 수행할 수 있는 권한을 부여하는 권한 정책을 생성할 수 있습니다. 그런 다음 나중에 Amazon Quick에 전달하는 IAM 역할에 정책을 연결할 수 있습니다. 다음은 IAM 역할에 추가 권한 정책을 설정하고 연결하는 방법의 예입니다.
Athena의 Amazon Quick에 대한 관리형 정책의 예는 Amazon [Athena 사용 설명서의 AWSQuicksightAthenaAccess 관리형 정책을](https://docs.aws.amazon.com/athena/latest/ug/awsquicksightathenaaccess-managed-policy.html) 참조하세요. *Amazon Athena * IAM 사용자는 다음 ARN을 사용하여 Amazon Quick에서이 역할에 액세스할 수 있습니다`arn:aws:iam::aws:policy/service-role/AWSQuicksightAthenaAccess`.
다음은 Amazon S3의 Amazon Quick에 대한 권한 정책의 예입니다. Amazon S3을 통한 IAM 사용에 대한 자세한 내용은 Amazon S3 사용 설명서의 [Amazon S3의 ID 및 액세스 관리](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-access-control.html)를 참조하십시오.
Amazon Quick에서 다른 계정의 Amazon S3 버킷으로 교차 계정 액세스를 생성하는 방법에 대한 자세한 내용은 AWS 지식 센터의 [다른 계정의 Amazon S3 버킷으로 Quick에서 교차 계정 액세스를 설정하려면 어떻게 해야 합니까?](https://aws.amazon.com/premiumsupport/knowledge-center/quicksight-cross-account-s3/)를 참조하세요.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "arn:aws:s3:::*"
},
{
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
},
{
"Action": [
"s3:ListBucketMultipartUploads",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789"
]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:AbortMultipartUpload",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::aws-athena-query-results-us-west-2-123456789/*"
]
}
]
}
```
## Quick에서 기존 IAM 역할 사용
Amazon Quick 관리자이고 Amazon Quick 리소스를 업데이트하고 IAM 역할을 전달할 권한이 있는 경우 Amazon Quick의 기존 IAM 역할을 사용할 수 있습니다. Amazon Quick에서 IAM 역할을 전달하기 위한 사전 조건에 대해 자세히 알아보려면 이전 목록에 설명된 [사전 조건을 참조하세요](https://docs.aws.amazon.com/quicksight/latest/user/security-create-iam-role-prerequisites.html#byor-prereq).
다음 절차에 따라 Amazon Quick에서 IAM 역할을 전달하는 방법을 알아봅니다.
**Amazon Quick에서 기존 IAM 역할을 사용하려면**
1. Amazon Quick의 오른쪽 상단의 탐색 모음에서 계정 이름을 선택하고 ** QuickSight 관리를** 선택합니다.
1. 열리는 **Amazon Quick 관리** 페이지의 왼쪽 메뉴에서 **보안 및 권한을** 선택합니다.
1. **보안 및 권한** 페이지가 열리면 ** AWS 서비스에 대한 Amazon Quick Access**에서 **관리를** 선택합니다.
1. **IAM 역할**의 경우 **기존 역할 사용**을 선택하고 다음 중 하나를 수행하십시오.
+ 목록에서 사용하려는 역할을 선택합니다.
+ 또는 기존 IAM 역할 목록이 표시되지 않는 경우 `arn:aws:iam::account-id:role/path/role-name` 형식으로 역할에 대한 IAM ARN을 입력할 수 있습니다.
1. **저장**을 선택합니다.
# Quick에 대한 IAM 정책 예제
이 섹션에서는 Quick과 함께 사용할 수 있는 IAM 정책의 예를 제공합니다.
## Quick에 대한 IAM 자격 증명 기반 정책
이 섹션에서는 Quick과 함께 사용할 자격 증명 기반 정책의 예를 보여줍니다.
**Topics**
+ [Amazon Quick IAM 콘솔 관리를 위한 IAM 자격 증명 기반 정책](#security_iam_conosole-administration)
### Amazon Quick IAM 콘솔 관리를 위한 IAM 자격 증명 기반 정책
다음 예제에서는 Amazon Quick IAM 콘솔 관리 작업에 필요한 IAM 권한을 보여줍니다.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog"
],
"Resource": [
"*"
]
}
]
}
```
## Quick: 대시보드에 대한 IAM 자격 증명 기반 정책
다음 예제는 특정 대시보드에서 대시보드 공유 및 임베딩이 가능한 IAM 정책을 나타낸 것입니다.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": "quicksight:RegisterUser",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "quicksight:GetDashboardEmbedUrl",
"Resource": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1a1ac2b2-3fc3-4b44-5e5d-c6db6778df89",
"Effect": "Allow"
}
]
}
```
## Quick: 네임스페이스에 대한 IAM 자격 증명 기반 정책
다음 예제에서는 Amazon Quick 관리자가 네임스페이스를 생성하거나 삭제할 수 있도록 허용하는 IAM 정책을 보여줍니다.
**네임스페이스 생성**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"ds:DescribeDirectories",
"quicksight:CreateNamespace"
],
"Resource": "*"
}
]
}
```
**네임스페이스 삭제**
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:UnauthorizeApplication",
"ds:DeleteDirectory",
"ds:DescribeDirectories",
"quicksight:DeleteNamespace"
],
"Resource": "*"
}
]
}
```
## Quick에 대한 IAM 자격 증명 기반 정책: 사용자 지정 권한
다음 예제에서는 Amazon Quick 관리자 또는 개발자가 사용자 지정 권한을 관리할 수 있도록 허용하는 IAM 정책을 보여줍니다.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:*CustomPermissions"
],
"Resource": "*"
}
]
}
```
다음 예시는 이전 예에서처럼 동일한 권한을 부여하는 다른 방법을 보여줍니다.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:CreateCustomPermissions",
"quicksight:DescribeCustomPermissions",
"quicksight:ListCustomPermissions",
"quicksight:UpdateCustomPermissions",
"quicksight:DeleteCustomPermissions"
],
"Resource": "*"
}
]
}
```
## Quick에 대한 IAM 자격 증명 기반 정책: 이메일 보고서 템플릿 사용자 지정
다음 예제에서는 Amazon Quick에서 이메일 보고서 템플릿을 확인, 업데이트 및 생성하고 Amazon Simple Email Service 자격 증명에 대한 확인 속성을 얻도록 허용하는 정책을 보여줍니다. 이 정책은 Amazon Quick 관리자가 사용자 지정 이메일 보고서 템플릿을 생성 및 업데이트하고 이메일 보고서를 보내려는 사용자 지정 이메일 주소가 SES에서 확인된 자격 증명인지 확인할 수 있도록 허용합니다.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:DescribeAccountCustomization",
"quicksight:CreateAccountCustomization",
"quicksight:UpdateAccountCustomization",
"quicksight:DescribeEmailCustomizationTemplate",
"quicksight:CreateEmailCustomizationTemplate",
"quicksight:UpdateEmailCustomizationTemplate",
"ses:GetIdentityVerificationAttributes"
],
"Resource": "*"
}
]
}
```
## Quick에 대한 IAM 자격 증명 기반 정책: Amazon Quick 관리형 사용자를 사용하여 엔터프라이즈 계정 생성
다음 예제는 Amazon Quick 관리자가 Amazon Quick 관리형 사용자로 Enterprise Edition Amazon Quick 계정을 생성하도록 허용하는 정책을 보여줍니다.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory"
],
"Resource": [
"*"
]
}
]
}
```
## 빠른 IAM 자격 증명 기반 정책: 사용자 생성
다음 예제에서는 Amazon Quick 사용자만 생성할 수 있도록 허용하는 정책을 보여줍니다. `quicksight:CreateReader`, `quicksight:CreateUser`, `quicksight:CreateAdmin`의 경우 **"Resource": "arn:aws:quicksight::**:user/\$1\$1aws:userid\$1"**에 대한 권한을 제한할 수 있습니다. 이 안내서에 설명된 다른 모든 권한의 경우 **"Resource": "\$1"**를 사용합니다. 지정한 리소스는 권한 범위를 지정된 리소스로 제한합니다.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:CreateUser"
],
"Effect": "Allow",
"Resource": "arn:aws:quicksight:::user/${aws:userid}"
}
]
}
```
## 빠른 IAM 자격 증명 기반 정책: 그룹 생성 및 관리
다음 예제에서는 Amazon Quick 관리자 및 개발자가 그룹을 생성하고 관리할 수 있도록 허용하는 정책을 보여줍니다.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:ListGroups",
"quicksight:CreateGroup",
"quicksight:SearchGroups",
"quicksight:ListGroupMemberships",
"quicksight:CreateGroupMembership",
"quicksight:DeleteGroupMembership",
"quicksight:DescribeGroupMembership",
"quicksight:ListUsers"
],
"Resource": "*"
}
]
}
```
## Quick에 대한 IAM 자격 증명 기반 정책: Standard Edition에 대한 모든 액세스
Amazon Quick Standard 에디션에 대한 다음 예제는 작성자 및 독자를 구독하고 생성할 수 있도록 허용하는 정책을 보여줍니다. 이 예제에서는 Amazon Quick 구독을 취소할 수 있는 권한을 명시적으로 거부합니다.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateUser",
"quicksight:DescribeAccountSubscription",
"quicksight:Subscribe"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## Quick에 대한 IAM 자격 증명 기반 정책: IAM Identity Center를 사용한 Enterprise Edition에 대한 모든 액세스(Pro 역할)
Amazon Quick Enterprise 에디션에 대한 다음 예제는 Amazon Quick 사용자가 IAM Identity Center와 통합된 Amazon Quick 계정에서 Amazon Quick을 구독하고, 사용자를 생성하고, Active Directory를 관리할 수 있도록 허용하는 정책을 보여줍니다.
또한이 정책은 사용자가 Quick Generative BI 기능에서 Amazon Q에 대한 액세스 권한을 부여하는 Amazon Quick Pro 역할을 구독하도록 허용합니다. Amazon Quick의 Pro 역할에 대한 자세한 내용은 [생성형 BI 시작하기를 참조하세요](https://docs.aws.amazon.com/quicksight/latest/user/generative-bi-get-started.html).
이 예제에서는 Amazon Quick 구독을 취소할 수 있는 권한을 명시적으로 거부합니다.
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"iam:CreateServiceLinkedRole",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization",
"user-subscriptions:CreateClaim",
"user-subscriptions:UpdateClaim",
"sso-directory:DescribeUser",
"sso:ListApplicationAssignments",
"sso-directory:DescribeGroup",
"organizations:ListAWSServiceAccessForOrganization",
"identitystore:DescribeUser",
"identitystore:DescribeGroup"
],
"Resource": [
"*"
]
}
]
}
```
## Quick에 대한 IAM 자격 증명 기반 정책: IAM Identity Center를 사용한 Enterprise Edition에 대한 모든 액세스
Amazon Quick Enterprise 에디션에 대한 다음 예제는 IAM Identity Center와 통합된 Amazon Quick 계정에서 Active Directory를 구독, 사용자 생성 및 관리할 수 있도록 허용하는 정책을 보여줍니다.
이 정책은 Amazon Quick에서 Pro 역할을 생성할 수 있는 권한을 부여하지 않습니다. Amazon Quick에서 Pro 역할을 구독할 수 있는 권한을 부여하는 정책을 생성하려면 [Amazon Quick에 대한 IAM 자격 증명 기반 정책: IAM Identity Center가 있는 엔터프라이즈 에디션에 대한 모든 액세스(Pro 역할)를](https://docs.aws.amazon.com/quicksight/latest/user/iam-policy-examples.html#security_iam_id-based-policy-examples-all-access-enterprise-edition-sso-pro) 참조하세요.
이 예제에서는 Amazon Quick 구독을 취소할 수 있는 권한을 명시적으로 거부합니다.
```
{
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"quicksight:*",
"iam:ListAttachedRolePolicies",
"iam:GetPolicy",
"iam:CreatePolicyVersion",
"iam:DeletePolicyVersion",
"iam:GetPolicyVersion",
"iam:ListPolicyVersions",
"iam:DeleteRole",
"iam:CreateRole",
"iam:GetRole",
"iam:ListRoles",
"iam:CreatePolicy",
"iam:ListEntitiesForPolicy",
"iam:listPolicies",
"s3:ListAllMyBuckets",
"athena:ListDataCatalogs",
"athena:GetDataCatalog",
"sso:DescribeApplication",
"sso:DescribeInstance",
"sso:CreateApplication",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:DeleteApplication",
"sso:SearchGroups",
"sso:GetProfile",
"sso:CreateApplicationAssignment",
"sso:DeleteApplicationAssignment",
"sso:ListInstances",
"sso:DescribeRegisteredRegions",
"organizations:DescribeOrganization"
],
"Resource": [
"*"
]
}
]
}
```
## Quick에 대한 IAM 자격 증명 기반 정책: Active Directory를 사용하는 Enterprise Edition에 대한 모든 액세스
Amazon Quick Enterprise 에디션에 대한 다음 예제는 자격 증명 관리에 Active Directory를 사용하는 Amazon Quick 계정에서 Active Directory를 구독, 사용자 생성 및 관리할 수 있도록 허용하는 정책을 보여줍니다. 이 예제에서는 Amazon Quick 구독을 취소할 수 있는 권한을 명시적으로 거부합니다.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:CheckAlias",
"ds:CreateAlias",
"ds:DescribeDirectories",
"ds:DescribeTrusts",
"ds:DeleteDirectory",
"ds:CreateIdentityPoolDirectory",
"iam:ListAccountAliases",
"quicksight:CreateAdmin",
"quicksight:Subscribe",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "quicksight:Unsubscribe",
"Resource": "*"
}
]
}
```
## Quick: Active Directory 그룹에 대한 IAM 자격 증명 기반 정책
다음 예제에서는 Amazon Quick Enterprise 에디션 계정에 대한 Active Directory 그룹 관리를 허용하는 IAM 정책을 보여줍니다.
```
{
"Statement": [
{
"Action": [
"ds:DescribeTrusts",
"quicksight:GetGroupMapping",
"quicksight:SearchDirectoryGroups",
"quicksight:SetGroupMapping"
],
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "2012-10-17"
}
```
## Quick에 대한 IAM 자격 증명 기반 정책: 관리자 자산 관리 콘솔 사용
다음 예시는 관리 자산 관리 콘솔에 대한 액세스를 허용하는 IAM 정책을 보여줍니다.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"quicksight:SearchGroups",
"quicksight:SearchUsers",
"quicksight:ListNamespaces",
"quicksight:DescribeAnalysisPermissions",
"quicksight:DescribeDashboardPermissions",
"quicksight:DescribeDataSetPermissions",
"quicksight:DescribeDataSourcePermissions",
"quicksight:DescribeFolderPermissions",
"quicksight:ListAnalyses",
"quicksight:ListDashboards",
"quicksight:ListDataSets",
"quicksight:ListDataSources",
"quicksight:ListFolders",
"quicksight:SearchAnalyses",
"quicksight:SearchDashboards",
"quicksight:SearchFolders",
"quicksight:SearchDatasets",
"quicksight:SearchDatasources",
"quicksight:UpdateAnalysisPermissions",
"quicksight:UpdateDashboardPermissions",
"quicksight:UpdateDataSetPermissions",
"quicksight:UpdateDataSourcePermissions",
"quicksight:UpdateFolderPermissions"
],
"Resource": "*"
}
]
}
```
## Quick에 대한 IAM 자격 증명 기반 정책: 관리자 키 관리 콘솔 사용
다음 예시는 관리자 키 관리 콘솔에 대한 액세스를 허용하는 IAM 정책을 보여줍니다.
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration",
"quicksight:UpdateKeyRegistration",
"quicksight:ListKMSKeysForUser",
"kms:CreateGrant",
"kms:ListGrants",
"kms:ListAliases"
],
"Resource":"*"
}
]
}
```
`"quicksight:ListKMSKeysForUser"` 및 `"kms:ListAliases"` 권한은 Amazon Quick 콘솔에서 고객 관리형 키에 액세스하는 데 필요합니다. `"quicksight:ListKMSKeysForUser"` 및 `"kms:ListAliases"`는 Amazon Quick 키 관리 APIs를 사용하는 데 필요하지 않습니다.
사용자가 액세스할 수 있는 키를 지정하려면 `quicksight:KmsKeyArns` 조건 키를 사용하여 `UpdateKeyRegistration` 조건에 액세스할 수 있는 키의 ARN을 추가합니다. 사용자는 `UpdateKeyRegistration`에 지정된 키에만 액세스할 수 있습니다. Amazon Quick에서 지원되는 조건 키에 대한 자세한 내용은 [Amazon Quick의 조건 키를 참조하세요](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonquicksight.html#amazonquicksight-policy-keys).
아래 예제는 Amazon Quick 계정에 등록된 모든 CMKs에 대한 `Describe` 권한을 부여하고 Amazon Quick 계정에 등록된 특정 CMKs에 대한 `Update` 권한을 부여합니다.
```
{
"Version":"2012-10-17" ,
"Statement":[
{
"Effect":"Allow",
"Action":[
"quicksight:DescribeKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*"
},
{
"Effect":"Allow",
"Action":[
"quicksight:UpdateKeyRegistration"
],
"Resource":"arn:aws:quicksight:us-west-2:123456789012:*",
"Condition":{
"ForAllValues:StringEquals":{
"quicksight:KmsKeyArns":[
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key1",
"arn:aws:kms:us-west-2:123456789012:key/key-id-of-key2",
"..."
]
}
}
},
{
"Effect":"Allow",
"Action":[
"kms:CreateGrant",
"kms:ListGrants"
],
"Resource":"arn:aws:kms:us-west-2:123456789012:key/*"
}
]
}
```
## AWS 리소스 빠른: Enterprise Edition의 정책 범위 지정
Amazon Quick Enterprise 에디션에 대한 다음 예제에서는 AWS 리소스에 대한 기본 액세스를 설정하고 리소스에 대한 권한에 대한 정책의 범위를 지정할 수 있는 정책을 보여줍니다 AWS .
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:*IAMPolicyAssignment*",
"quicksight:AccountConfigurations"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
# Amazon Quick에 대한 사용자 프로비저닝
| |
| --- |
| 적용 대상: 엔터프라이즈 에디션 및 스탠다드 에디션 |
| |
| --- |
| 대상: 시스템 관리자 및 Amazon Quick 관리자 |
## Amazon Quick 관리자 자체 프로비저닝
Amazon Quick 관리자는 계정 설정 및 계정과 같은 Amazon Quick 기능을 관리할 수도 있는 사용자입니다. 또한 추가 Amazon Quick 사용자 구독을 구매하고, [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html)를 구매하고,에 대한 Amazon Quick 구독을 취소할 수 있습니다 AWS 계정.
AWS 사용자 또는 그룹 정책을 사용하여 사용자에게 Amazon Quick의 관리자로 자신을 추가할 수 있는 권한을 부여할 수 있습니다. 이 권한을 부여받은 사용자는 자신을 관리자로만 추가할 수 있으며 이 정책을 사용하여 다른 사용자를 추가할 수는 없습니다. Amazon Quick을 처음 열면 계정이 활성화되고 요금이 청구됩니다. 자체 프로비저닝을 설정하려면 사용자에게 `quicksight:CreateAdmin` 작업을 사용할 수 있는 권한을 제공하십시오.
또는 다음 절차를 사용하여 콘솔을 사용하여 Amazon Quick의 관리자를 설정하거나 생성할 수 있습니다.
**사용자를 Amazon Quick 관리자로 설정하려면**
1. AWS 사용자를 생성합니다.
+ IAM을 사용하여 Amazon Quick의 관리자가 될 사용자를 생성합니다. 또는 관리자 역할을 맡을 기존의 IAM 사용자를 식별합니다. 관리상 편의를 위해 새 그룹에 사용자를 추가할 수도 있습니다.
+ 사용자(또는 그룹)에 충분한 권한을 부여합니다.
1. 대상 사용자의 자격 증명 AWS Management Console 으로에 로그인합니다.
1. [http://quicksight.aws.amazon.com/sn/console/get-user-email](http://quicksight.aws.amazon.com/sn/console/get-user-email)로 이동한 후 대상 사용자의 이메일 주소를 입력한 다음 **계속**을 선택합니다.
성공 시 대상 사용자는 이제 Amazon Quick의 관리자가 됩니다.
## Amazon Quick 작성자 자체 프로비저닝
Amazon Quick 작성자는 데이터 소스, 데이터 세트, 분석 및 대시보드를 생성할 수 있습니다. Amazon Quick 계정의 다른 Amazon Quick 사용자와 분석 및 대시보드를 공유할 수 있습니다. 하지만 **Amazon Quick 관리** 메뉴에는 액세스할 수 없습니다. 계정 설정을 변경하거나, 계정을 관리하거나, 추가 Amazon Quick 사용자 구독 또는 [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html) 용량을 구매하거나,에 대한 Amazon Quick 구독을 취소할 수 없습니다 AWS 계정. Author Pro 사용자는 자연어를 사용하여 콘텐츠를 추가로 생성하고, 지식 기반을 구축하고, 작업을 구성하고, 고급 자동화 기능에 액세스할 수 있습니다.
AWS 사용자 또는 그룹 정책을 사용하여 사용자에게 Amazon Quick 작성자 계정을 직접 생성할 수 있는 권한을 부여할 수 있습니다. Amazon Quick을 처음 열면 계정이 활성화되고 요금이 청구됩니다. 자체 프로비저닝을 설정하려면 사용자에게 `quicksight:CreateUser` 작업을 사용할 수 있는 권한을 제공해야 합니다.
## Amazon Quick 읽기 전용 사용자 자체 프로비저닝
Amazon Quick 읽기 전용 사용자 또는 *독자*는 공유된 대시보드를 보고 조작할 수 있지만 추가 분석을 위해 대시보드를 변경하거나 저장할 수는 없습니다. Amazon Quick Reader는 데이터 소스, 데이터 세트, 분석 또는 시각적 객체를 생성할 수 없습니다. 어떤 형태의 관리 작업도 수행할 수 없습니다. 대시보드를 사용하지만 자신이 직접 분석을 작성하지 않는 사람들(예: 임원)의 경우 이 역할을 선택하십시오. Reader Pro 사용자는 AI 채팅 에이전트, 협업 공간, 흐름 및 확장을 포함한 고급 기능에 액세스할 수 있습니다.
Amazon Quick과 함께 Microsoft Active Directory를 사용하는 경우 그룹을 사용하여 읽기 전용 권한을 관리할 수 있습니다. 그렇지 않으면 Amazon Quick을 사용하도록 사용자를 대량으로 초대할 수 있습니다. AWS 사용자 또는 그룹 정책을 사용하여 사용자에게 Amazon Quick Reader 계정을 직접 생성할 수 있는 권한을 부여할 수도 있습니다.
리더 계정은 Amazon Quick을 처음 열 때 활성화되고 요금이 청구됩니다. 사용자를 업그레이드 또는 다운그레이드하는 경우 해당 사용자에 대한 월 요금이 비례 청구됩니다. 자체 프로비저닝을 설정하려면 사용자에게 `quicksight:CreateReader` 작업을 사용할 수 있는 권한을 제공해야 합니다.
거의 실시간에 가까운 사용 사례를 위해 대시보드를 자동 또는 프로그래밍 방식으로 새로 고치는 데 익숙한 리더는 용량 요금을 선택해야 합니다. 사용자 가격이 적용되는 리더의 경우 각 리더는 한 사람만 수동으로 사용할 수 있도록 제한됩니다.
# 빠른 자격 증명 및 액세스 문제 해결
| |
| --- |
| 적용 대상: 엔터프라이즈 에디션 및 스탠다드 에디션 |
| |
| --- |
| 대상: 시스템 관리자 |
다음 정보를 사용하여 Amazon Quick 및 IAM 작업 시 발생할 수 있는 일반적인 문제를 진단하고 수정할 수 있습니다.
**Topics**
+ [Amazon Quick에서 작업을 수행할 권한이 없음](#security_iam_troubleshoot-no-permissions)
+ [iam:PassRole을 수행하도록 인증되지 않음](#security_iam_troubleshoot-passrole)
+ [내 AWS 계정 외부의 사람이 내 Amazon Quick 리소스에 액세스하도록 허용하고 싶습니다.](#security_iam_troubleshoot-cross-account-access)
## Amazon Quick에서 작업을 수행할 권한이 없음
에서 작업을 수행할 권한이 없다는 AWS Management Console 메시지가 표시되면 관리자에게 문의하여 도움을 받아야 합니다.
다음 예 오류는 `mateojackson` IAM 사용자가 콘솔을 사용하여 *위젯*에 대한 세부 정보를 보려고 하지만 `quicksight:GetWidget` 권한이 없는 경우에 발생합니다.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: quicksight:GetWidget on resource: my-example-widget
```
이 경우, Mateo는 `my-example-widget` 작업을 사용하여 `quicksight:GetWidget` 리소스에 액세스하도록 허용하는 정책을 업데이트하라고 관리자에게 요청합니다.
## iam:PassRole을 수행하도록 인증되지 않음
`iam:PassRole` 작업을 수행할 권한이 없다는 오류가 수신되면 Amazon Quick에 역할을 전달할 수 있도록 정책을 업데이트해야 합니다.
일부 AWS 서비스 에서는 새 서비스 역할 또는 서비스 연결 역할을 생성하는 대신 기존 역할을 해당 서비스에 전달할 수 있습니다. 이렇게 하려면 역할을 서비스에 전달할 권한이 있어야 합니다.
다음 예제 오류는 라는 IAM 사용자가 콘솔을 사용하여 Amazon Quick에서 작업을 수행하려고 `marymajor` 할 때 발생합니다. 하지만 작업을 수행하려면 서비스 역할이 부여한 권한이 서비스에 있어야 합니다. Mary는 서비스에 역할을 전달할 권한이 없습니다.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
이 경우, Mary가 `iam:PassRole`작업을 수행할 수 있도록 Mary의 정책을 업데이트해야 합니다.
도움이 필요한 경우 AWS 관리자에게 문의하세요. 관리자는 로그인 자격 증명을 제공한 사람입니다.
## 내 AWS 계정 외부의 사람이 내 Amazon Quick 리소스에 액세스하도록 허용하고 싶습니다.
다른 계정의 사용자 또는 조직 외부의 사람이 리소스에 액세스할 때 사용할 수 있는 역할을 생성할 수 있습니다. 역할을 수임할 신뢰할 수 있는 사람을 지정할 수 있습니다. 리소스 기반 정책 또는 액세스 제어 목록(ACL)을 지원하는 서비스의 경우, 이러한 정책을 사용하여 다른 사람에게 리소스에 대한 액세스 권한을 부여할 수 있습니다.
자세한 내용은 다음을 참조하세요.
+ Amazon Quick에서 이러한 기능을 지원하는지 여부를 알아보려면 섹션을 참조하세요[IAM에서 빠른 사용](security_iam_service-with-iam.md).
+ 소유 AWS 계정 한의 리소스에 대한 액세스 권한을 제공하는 방법을 알아보려면 [IAM 사용 설명서의 소유한 다른의 IAM 사용자에게 액세스 권한 제공을 참조 AWS 계정 하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html). **
+ 리소스에 대한 액세스 권한을 타사에 제공하는 방법을 알아보려면 *IAM 사용 설명서*의 [타사 AWS 계정 소유에 대한 액세스 권한 제공을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) AWS 계정참조하세요.
+ ID 페더레이션을 통해 액세스 권한을 제공하는 방법을 알아보려면 *IAM 사용 설명서*의 [외부에서 인증된 사용자에게 액세스 권한 제공(ID 페더레이션)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)을 참조하세요.
+ 크로스 계정 액세스에 대한 역할과 리소스 기반 정책 사용의 차이점을 알아보려면 *IAM 사용 설명서*의 [IAM의 크로스 계정 리소스 액세스](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)를 참조하세요.
# IAM Identity Center 사용
| |
| --- |
| 적용 대상: 엔터프라이즈 에디션 및 스탠다드 에디션 |
| |
| --- |
| 대상: 시스템 관리자 및 Amazon Quick 관리자 |
Amazon Quick Enterprise 에디션은 Microsoft Active Directory를 사용하거나 Security Assertion Markup Language(SAML)를 사용하는 Single Sign-On(IAM Identity Center)을 사용하여 기존 디렉터리와 통합됩니다. AWS Identity and Access Management (IAM)를 사용하여 보안을 더욱 강화하거나 대시보드 임베딩과 같은 사용자 지정 옵션에 사용할 수 있습니다.
Quick Standard 에디션에서는 Quick 내에서 사용자를 완전히 관리할 수 있습니다. 원하는 경우 IAM의 기존 사용자, 그룹 및 역할과 통합할 수 있습니다.
다음 도구를 사용하여 Amazon Quick에 대한 자격 증명 및 액세스 권한을 얻을 수 있습니다.
+ [IAM ID Center](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html)(엔터프라이즈 에디션만 해당)
+ [IAM 페더레이션](https://docs.aws.amazon.com/quicksuite/latest/userguide/iam-federation.html)(스탠다드 에디션 및 엔터프라이즈 에디션)
+ [AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/quicksight/latest/user/aws-directory-service.html)(엔터프라이즈 에디션 전용)
+ [SAML 기반 Single Sign-On](https://docs.aws.amazon.com/quicksight/latest/user/external-identity-providers.html)(Standard 및 Enterprise Edition)
+ [다중 인증(MFA)](https://docs.aws.amazon.com/quicksight/latest/user/using-multi-factor-authentication-mfa.html)(스탠다드 및 엔터프라이즈 에디션)
**참고**
아래 나열된 리전에서 Amazon Quick 계정은 자격 증명 및 액세스 관리를 위해서만 [IAM Identity Center](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html)를 사용할 수 있습니다.
`af-south-1` 아프리카(케이프타운)
`ap-southeast-3` 아시아 태평양(자카르타)
`ap-southeast-5` 아시아 태평양(말레이시아)
`eu-south-1` 유럽(밀라노)
`eu-central-2` 유럽(취리히)
IAM Identity Center를 사용하면 직원 ID를 안전하게 생성 또는 연결하고 AWS 계정 및 애플리케이션 전반에서 액세스를 관리할 수 있습니다.
Amazon Quick 계정을 IAM Identity Center와 통합하기 전에 계정에 IAM Identity Center를 AWS 설정합니다. AWS 조직에서 IAM Identity Center를 설정하지 않은 경우 *AWS IAM Identity Center 사용 설명서*의 [시작하기](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)를 참조하세요.
IAM 자격 증명 센터를 사용하여 외부 ID 공급자를 구성하려는 경우, 지원되는 자격 증명 제공자의 구성 단계 목록을 보려면 [지원되는 자격 증명 공급자](https://docs.aws.amazon.com/singlesignon/latest/userguide/supported-idps.html)를 참조하세요.
**Topics**
+ [IAM Identity Center를 사용하여 Amazon Quick 계정 구성](#sec-identity-management-identity-center)
## IAM Identity Center를 사용하여 Amazon Quick 계정 구성
| |
| --- |
| 적용 대상: 엔터프라이즈 에디션 |
| |
| --- |
| 대상: 시스템 관리자 |
IAM Identity Center를 사용하면 기존 직원 ID를 안전하게 생성 또는 구성하고 AWS 계정 및 애플리케이션 전반에서 액세스를 관리할 수 있습니다. IAM Identity Center는 모든 크기 및 유형의 조직에 대한의 인력 인증 및 권한 부여 AWS 에 권장되는 접근 방식입니다. IAM Identity Center에 대한 자세한 내용은 [AWS IAM Identity Center](https://aws.amazon.com//iam/identity-center/) 섹션을 참조하세요.
IAM Identity Center에서 구성된 자격 증명 소스로 새 Amazon Quick 계정에 가입할 수 있도록 Amazon Quick 및 IAM Identity Center를 구성합니다. IAM Identity Center를 사용하면 외부 자격 증명 공급자를 자격 증명 소스로 구성할 수 있습니다. Amazon Quick에서 타사 ID 제공업체를 사용하지 않으려면 IAM Identity Center를 ID 스토어로 사용할 수도 있습니다. 계정을 생성한 후에는 자격 증명 방법을 변경할 수 없습니다.
Amazon Quick 계정을 IAM Identity Center와 통합하면 Amazon Quick 계정 관리자는 자격 증명 공급자의 그룹을 자동으로 사용할 수 있는 새 Amazon Quick 계정을 생성할 수 있습니다. 이렇게 하면 Amazon Quick에서 대규모로 자산 공유가 간소화됩니다.
Amazon Quick 관리 콘솔의 일부 섹션에 대한 액세스는 IAM 권한에 의해 제한됩니다. 다음 표에는 선택한 액세스 유형에 따라 Amazon Quick에서 수행할 수 있는 관리자 작업이 요약되어 있습니다.
IAM Identity Center에서 Amazon Quick 계정에 가입하는 방법에 대한 자세한 내용은 [Amazon Quick 구독 가입을 참조하세요](https://docs.aws.amazon.com/quicksight/latest/user/signing-up.html).
| 관리자 조치 | IAM 권한 | Amazon Quick 관리자 역할 권한 |
| --- | --- | --- |
| **자산 관리** | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/quick/latest/userguide/images/success_icon.svg) 예 | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/quick/latest/userguide/images/negative_icon.svg) 아니요 |
| **보안 및 권한** | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/quick/latest/userguide/images/success_icon.svg) 예 | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/quick/latest/userguide/images/negative_icon.svg) 아니요 |
| **VPC 연결 관리** | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/quick/latest/userguide/images/success_icon.svg) 예 | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/quick/latest/userguide/images/negative_icon.svg) 아니요 |
| **KMS 키** | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/quick/latest/userguide/images/success_icon.svg) 예 | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/quick/latest/userguide/images/negative_icon.svg) 아니요 |
| **계정 설정** | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/quick/latest/userguide/images/success_icon.svg) 예 | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/quick/latest/userguide/images/negative_icon.svg) 아니요 |
| **계정 사용자 지정** | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/quick/latest/userguide/images/negative_icon.svg) 아니요 | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/quick/latest/userguide/images/success_icon.svg) 예 |
| **사용자 관리** | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/quick/latest/userguide/images/success_icon.svg) 예(IAM Identity Center 사용자) | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/quick/latest/userguide/images/success_icon.svg) 예(Amazon Quick 및 IAM 사용자) |
| **사용자 구독** | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/quick/latest/userguide/images/negative_icon.svg) 아니요 | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/quick/latest/userguide/images/success_icon.svg) 예 |
| **모바일 설정** | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/quick/latest/userguide/images/negative_icon.svg) 아니요 | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/quick/latest/userguide/images/success_icon.svg) 예 |
| **도메인 및 임베딩** | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/quick/latest/userguide/images/negative_icon.svg) 아니요 | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/quick/latest/userguide/images/success_icon.svg) 예 |
| **SPICE 용량** | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/quick/latest/userguide/images/negative_icon.svg) 아니요 | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/quick/latest/userguide/images/success_icon.svg) 예 |
Amazon Quick 모바일 앱은 IAM Identity Center와 통합된 Amazon Quick 계정에서는 지원되지 않습니다.
### 고려 사항
다음 작업은 Amazon Quick 사용자가 Amazon Quick에 로그인할 수 있는 기능을 영구적으로 제거합니다. Amazon Quick은 Amazon Quick 사용자가 이러한 작업을 수행하는 것을 권장하지 않습니다.
+ IAM Identity Center 콘솔에서 Amazon Quick 애플리케이션을 비활성화하거나 삭제합니다. Amazon Quick 계정을 삭제하려면 [Amazon Quick 계정 닫기를 참조하세요](https://docs.aws.amazon.com/quicksight/latest/user/closing-account.html).
+ IAM Identity Center 구성이 포함된 Amazon Quick 계정을 Amazon Quick 계정이 구성된 IAM Identity Center 인스턴스가 포함되지 않은 AWS 조직으로 마이그레이션.
+ Amazon Quick 계정에 구성된 IAM Identity Center 인스턴스를 삭제합니다.
+ IAM Identity Center 애플리케이션 속성(예: **할당 필요** 속성)을 편집합니다.
# IAM 페더레이션
| |
| --- |
| 적용 대상: 엔터프라이즈 에디션 및 스탠다드 에디션 |
| |
| --- |
| 대상: 시스템 관리자 |
**중요**
Amazon Quick은 자격 증명 관리를 위해 새 Amazon Quick 구독을 IAM Identity Center와 통합할 것을 권장합니다. 이 IAM 자격 증명 연동 사용 설명서는 기존 계정 구성에 대한 참조로 제공됩니다. Amazon Quick 계정을 IAM Identity Center와 통합하는 방법에 대한 자세한 내용은 [IAM Identity Center를 사용하여 Amazon Quick 계정 구성을 참조하세요](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html).
**참고**
IAM 자격 증명 페더레이션은 자격 증명 공급자 그룹을 Amazon Quick과 동기화하는 것을 지원하지 않습니다.
Amazon Quick은 Standard 에디션과 Enterprise 에디션 모두에서 자격 증명 페더레이션을 지원합니다. 페더레이션 사용자를 사용하는 경우 엔터프라이즈 ID 제공업체(IdP)로 사용자를 관리하고 AWS Identity and Access Management (IAM)를 사용하여 사용자가 Quick에 로그인할 때 사용자를 인증할 수 있습니다. Security Assertion Markup Language 2.0(SAML 2.0)을 지원하는 타사 자격 증명 공급자를 사용하여 Amazon Quick 사용자에게 온보딩 흐름을 제공할 수 있습니다. 이러한 자격 증명 공급자는 Microsoft Active Directory Federation Services, Okta, Ping One Federation Server를 포함합니다. 자격 증명 페더레이션을 사용하면 사용자는 기존 자격 증명 자격 증명을 사용하여 Amazon Quick 애플리케이션에 원클릭으로 액세스할 수 있습니다. 자격 증명 공급자별 자격 증명 인증의 보안 이점도 있습니다. 기존 자격 증명 공급자를 사용하여 Amazon Quick에 액세스할 수 있는 사용자를 제어할 수 있습니다.
**Topics**
+ [ID 제공업체(idP)에서 로그온 시작](federated-identities-idp-to-sp.md)
+ [IAM 및 Amazon Quick을 사용하여 IdP 페더레이션 설정](external-identity-providers-setting-up-saml.md)
+ [Quick에서 로그인 시작](federated-identities-sp-to-idp.md)
+ [Quick Enterprise 에디션을 사용하여 서비스 공급자가 시작한 페더레이션 설정](setup-quicksight-to-idp.md)
+ [Quick에서 페더레이션 사용자를 위한 이메일 동기화 구성](jit-email-syncing.md)
+ [자습서: Amazon Quick and IAM 자격 증명 페더레이션](tutorial-okta-quicksight.md)
# ID 제공업체(idP)에서 로그온 시작
| |
| --- |
| 적용 대상: 엔터프라이즈 에디션 및 스탠다드 에디션 |
| |
| --- |
| 대상: 시스템 관리자 |
**참고**
IAM 자격 증명 연동은 자격 증명 공급자 그룹을 Amazon Quick과 동기화하는 것을 지원하지 않습니다.
이 시나리오에서는 사용자가 ID 제공자의 포털에서 로그온 프로세스를 시작합니다. 사용자가 인증되면 Amazon Quick에 로그인합니다. 권한이 있는지 빠르게 확인한 후 사용자는 Quick에 액세스할 수 있습니다.
사용자가 IdP에 로그인하는 것부터 시작하여 인증은 다음과 같은 단계를 거칩니다.
1. 사용자가`https://applications.example.com`에 탐색하고 IdP에 로그온합니다. 현재 사용자는 서비스 공급자에 로그인하지 않았습니다.
1. 페더레이션 서비스와 IdP는 사용자를 인증합니다.
1. 연동 서비스가 조직의 자격 증명 스토어에서 인증을 요청합니다.
1. 자격 증명 스토어가 사용자를 인증하고 인증 응답을 연동 서비스에 반환합니다.
1. 인증에 성공하면 연동 서비스가 SAML 어설션을 사용자의 브라우저에 게시합니다.
1. 사용자가 Amazon Quick을 엽니다.
1. 사용자의 브라우저가 SAML 어설션을 AWS 로그인 SAML 엔드포인트(`https://signin.aws.amazon.com/saml`)에 게시합니다.
1. AWS 로그인은 SAML 요청을 수신하고, 요청을 처리하고, 사용자를 인증하고, 인증 토큰을 Amazon Quick 서비스에 전달합니다.
1. Amazon Quick은에서 인증 토큰을 수락 AWS 하고 사용자에게 Amazon Quick을 제공합니다.
사용자의 관점에서 프로세스가 투명하게 진행됩니다. 사용자는 조직의 내부 포털에서 시작하여 자격 AWS 증명을 제공할 필요 없이 Amazon Quick 애플리케이션 포털에 도착합니다.
다음 다이어그램에서 Amazon Quick과 타사 ID 제공업체(IdP) 간의 인증 흐름을 찾을 수 있습니다. 이 예제에서 관리자는 라는 Amazon Quick에 액세스하도록 로그인 페이지를 설정했습니다`applications.example.com`. 사용자가 로그인하면 로그인 페이지에서 SAML 2.0을 준수하는 페더레이션 서비스에 요청을 게시합니다. 최종 사용자는 IdP의 로그인 페이지에서 인증을 시작합니다.
![\[빠른 SAML 다이어그램. 다이어그램은 2개를 상자를 포함합니다. 첫 번째 상자는 엔터프라이즈 내부의 인증 프로세스를 설명합니다. 두 번째는 AWS내부의 인증을 설명합니다. 프로세스는 테이블 뒤에 오는 텍스트에 설명되어 있습니다.\]](http://docs.aws.amazon.com/ko_kr/quick/latest/userguide/images/SAML-Flow-Diagram.png)
일부 일반 공급자에 대한 자세한 내용은 다음 타사 설명서를 참조하십시오.
+ CA — [SAML 2.0 HTTP 포스트 바인딩 활성화](https://techdocs.broadcom.com/us/en/symantec-security-software/identity-security/siteminder/12-7/configuring/partnership-federation/saml-2-0-only-configurable-features/enable-saml-2-0-http-post-binding.html)
+ Okta — [SAML 배포 계획](https://developer.okta.com/docs/concepts/saml/)
+ 핑 - [Amazon 통합](https://docs.pingidentity.com/bundle/integrations/page/kun1563994988131.html)
다음 주제를 사용하여에서 기존 페더레이션을 사용하는 방법을 이해합니다. AWS
+ AWS 웹 사이트의 [에서 자격 증명 페더레이션 AWS](https://aws.amazon.com/identity/federation/)
+ IAM 사용자 안내서의 [외부에서 인증된 사용자에게 액세스 권한 제공(ID 페더레이션)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)
+ IAM 사용 설명서에서 [SAML 2.0 페더레이션 사용자가 AWS 관리 콘솔에 액세스할 수 있도록 설정](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html)
# IAM 및 Amazon Quick을 사용하여 IdP 페더레이션 설정
| |
| --- |
| 적용 대상: 엔터프라이즈 에디션 및 스탠다드 에디션 |
| |
| --- |
| 대상: 시스템 관리자 |
**참고**
IAM 자격 증명 페더레이션은 자격 증명 공급자 그룹을 Amazon Quick과 동기화하는 것을 지원하지 않습니다.
AWS Identity and Access Management (IAM) 역할과 릴레이 상태 URL을 사용하여 SAML 2.0과 호환되는 ID 제공업체(IdP)를 구성할 수 있습니다. 역할은 사용자에게 Amazon Quick에 액세스할 수 있는 권한을 부여합니다. 릴레이 상태는 AWS에서 인증에 성공한 후 사용자가 전달되는 포털입니다.
**Topics**
+ [사전 조건](#external-identity-providers-setting-up-prerequisites)
+ [1단계:에서 SAML 공급자 생성 AWS](#external-identity-providers-create-saml-provider)
+ [2단계: 페더레이션 사용자에 AWS 대한의 권한 구성](#external-identity-providers-grantperms)
+ [3단계: SAML IdP 구성](#external-identity-providers-config-idp)
+ [4단계: SAML 인증 응답을 위한 어설션 생성](#external-identity-providers-create-assertions)
+ [5단계: 페더레이션의 릴레이 상태 구성](#external-identity-providers-relay-state)
## 사전 조건
SAML 2.0 연결을 구성하기 전에 다음을 수행해야 합니다.
+ IdP를 구성하여 AWS와 신뢰 관계를 설정합니다:
+ 조직 네트워크의 내부에서 Windows Active Directory 같은 자격 증명 스토어를 구성해 SAML 기반 IdP로 작업합니다. SAML 기반 IdP는 Active Directory Federation Services, Shibboleth 등을 포함합니다.
+ IdP를 사용하여 조직을 자격 증명 공급자로 설명하는 메타데이터 문서를 생성합니다.
+ AWS Management Console의 경우와 동일한 단계를 사용하여 SAML 2.0 인증을 설정합니다. 이 프로세스가 완료되면 빠른 릴레이 상태와 일치하도록 릴레이 상태를 구성할 수 있습니다. 자세한 내용은 [페더레이션의 릴레이 상태 구성을 참조하세요](https://docs.aws.amazon.com/quicksight/latest/user/external-identity-providers-setting-up-saml.html#external-identity-providers-relay-state).
+ Amazon Quick 계정을 생성하고 IAM 정책 및 IdP를 구성할 때 사용할 이름을 기록해 둡니다. Amazon Quick 계정 생성에 대한 자세한 내용은 [Amazon Quick 구독 가입을 참조하세요](https://docs.aws.amazon.com/quicksight/latest/user/signing-up.html).
자습서에 설명된 AWS Management Console 대로에 페더레이션하도록 설정을 생성한 후 자습서에 제공된 릴레이 상태를 편집할 수 있습니다. 다음 5단계에서 설명한 Amazon Quick의 릴레이 상태로이 작업을 수행합니다.
자세한 정보는 다음 자료를 참조하세요.
+ *IAM 사용자 가이드*의 [타사 SAML 솔루션 공급자와 AWS통합](https://docs.aws.amazon.com/singlesignon/latest/userguide/).
+ *IAM 사용 설명서*의 [를 사용한 SAML 2.0 페더레이션 문제 해결 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_saml.html)
+ [ADFS와 간의 신뢰 설정 AWS 및 Active Directory 자격 증명을 사용하여 ODBC 드라이버로 Amazon Athena에 연결](https://aws.amazon.com/blogs/big-data/setting-up-trust-between-adfs-and-aws-and-using-active-directory-credentials-to-connect-to-amazon-athena-with-odbc-driver/) -이 연습 문서는 Amazon Quick을 사용하기 위해 Athena를 설정할 필요는 없지만 유용합니다.
## 1단계:에서 SAML 공급자 생성 AWS
SAML 자격 증명 공급자는 조직의 IdP를 정의합니다 AWS. IdP를 사용하여 이전에 생성된 메타데이터 문서를 사용하여 이를 수행합니다.
**에서 SAML 공급자를 생성하려면 AWS**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) IAM 콘솔을 엽니다.
1. 새 SAML 공급자를 생성합니다. 이 공급자는 조직의 자격 증명 공급자에 대한 정보를 보유하고 있는 IAM의 개체입니다. 자세한 내용은 *IAM 사용 설명서*의 [SAML 자격 증명 공급자 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html)을 참조하세요.
1. 이 프로세스의 일부로 이전 단원에서 기록한 조직의 IdP 소프트웨어에서 생성된 메타데이터 문서를 업로드합니다.
## 2단계: 페더레이션 사용자에 AWS 대한의 권한 구성
다음 단계에서는 조직의 IdP와 iAM 간에 신뢰 관계를 수립하는 IAM 역할을 생성합니다. 이 역할은 연동을 위해 IdP를 보안 주체(신뢰할 수 있는 개체)로 식별합니다. 또한이 역할은 조직의 IdP에 의해 인증된 사용자가 Amazon Quick에 액세스할 수 있도록 허용하는 사용자도 정의합니다. SAML IdP를 위한 역할 생성에 대한 자세한 내용은 [IAM 사용 설명서](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html)의 SAML 2.0 연동을 위한 역할 생성을 참조하십시오.
역할을 생성한 후에는 역할에 인라인 정책을 연결하여 Amazon Quick에만 권한을 갖도록 역할을 제한할 수 있습니다. 다음 샘플 정책 문서는 Amazon Quick에 대한 액세스를 제공합니다. 이 정책은 사용자가 Amazon Quick에 액세스할 수 있도록 허용하고 작성자 계정과 독자 계정을 모두 생성할 수 있도록 허용합니다.
**참고**
다음 예에서는 **를 12자리 AWS 계정 ID(하이픈 제외 ‘‐’)로 교체합니다.
```
{
"Statement": [
{
"Action": [
"quicksight:CreateUser"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight:::user/${aws:userid}"
]
}
],
"Version": "2012-10-17"
}
```
Amazon Quick에 대한 액세스 권한과 Amazon Quick 관리자, 작성자(표준 사용자) 및 독자를 생성할 수 있는 기능을 제공하려는 경우 다음 정책 예제를 사용할 수 있습니다.
```
{
"Statement": [
{
"Action": [
"quicksight:CreateAdmin"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight:::user/${aws:userid}"
]
}
],
"Version": "2012-10-17"
}
```
에서 계정 세부 정보를 볼 수 있습니다 AWS Management Console.
SAML 및 IAM 정책(하나 이상)을 설정하고 나면 사용자를 수동으로 초대하지 않아도 됩니다. 사용자가 Amazon Quick을 처음 열면 정책의 최고 수준 권한을 사용하여 자동으로 프로비저닝됩니다. 예를 들어 `quicksight:CreateUser` 및 `quicksight:CreateReader` 모두에 대한 권한이 있으면 작성자로 프로비저닝합니다. `quicksight:CreateAdmin`에 대한 권한이 있으면 관리자로 프로비저닝합니다. 각 권한 수준에는 동일 수준 이하의 사용자를 생성할 수 있는 능력이 포함됩니다. 예를 들어 작성자는 다른 작성자나 독자를 추가할 수 있습니다.
수동으로 초대받은 사용자는 초대한 사람이 할당한 역할로 생성됩니다. 그 사용자가 그에게 권한을 부여하는 정책을 가질 필요는 없습니다.
## 3단계: SAML IdP 구성
IAM 역할을 생성한 후 서비스 공급자 AWS 로에 대한 SAML IdP를 업데이트합니다. 이렇게 하려면 [https://signin.aws.amazon.com/static/saml-metadata.xml](https://signin.aws.amazon.com/static/saml-metadata.xml)에 있는 `saml-metadata.xml` 파일을 설치하십시오.
IdP 메타데이터를 업데이트하기 위해 IdP가 제공한 지침을 검토합니다. 어떤 공급자는 URL을 입력할 수 있는 옵션을 제공하고, 그 결과 IdP가 그 파일을 획득하고 설치해 줍니다. 다른 IdP들의 경우에는 URL에서 파일을 내려받은 다음 로컬 파일로 제공해야 합니다.
자세한 내용은 IdP 문서를 참조하십시오.
## 4단계: SAML 인증 응답을 위한 어설션 생성
그런 다음 IdP가 인증 응답의 AWS 일부로 SAML 속성으로 전달하는 정보를 구성합니다. 자세한 내용은 *IAM User Guide*의 [Configuring SAML Assertions for the Authentication Response](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html)를 참조하세요.
## 5단계: 페더레이션의 릴레이 상태 구성
마지막으로 Amazon Quick 릴레이 상태 URL을 가리키도록 페더레이션의 릴레이 상태를 구성합니다. 에서 인증 AWS에 성공하면 사용자는 SAML 인증 응답에서 릴레이 상태로 정의된 Amazon Quick로 이동합니다.
Amazon Quick의 릴레이 상태 URL은 다음과 같습니다.
```
https://quicksight.aws.amazon.com
```
# Quick에서 로그인 시작
| |
| --- |
| 적용 대상: 엔터프라이즈 에디션 |
| |
| --- |
| 대상: 시스템 관리자 |
**참고**
IAM 자격 증명 페더레이션은 자격 증명 공급자 그룹을 Amazon Quick과 동기화하는 것을 지원하지 않습니다.
이 시나리오에서는 사용자가 자격 증명 공급자에 로그인하지 않고 Amazon Quick 애플리케이션 포털에서 로그인 프로세스를 시작합니다. 이 경우 사용자는 타사 IdP에서 관리하는 페더레이션 계정을 가지고 있습니다. 사용자는 Quick에 사용자 계정이 있을 수 있습니다. Quick은 인증 요청을 IdP로 보냅니다. 사용자가 인증되면 Quick이 열립니다.
사용자가 Quick에 로그인하는 것부터 인증은 다음 단계를 거칩니다.
1. 사용자가 Quick을 엽니다. 현재 사용자는 IdP에 로그인하지 않았습니다.
1. 사용자가 Amazon Quick에 로그인하려고 시도합니다.
1. Amazon Quick은 사용자의 입력을 페더레이션 서비스로 리디렉션하고 인증을 요청합니다.
1. 페더레이션 서비스와 IdP는 사용자를 인증합니다.
1. 연동 서비스가 조직의 자격 증명 스토어에서 인증을 요청합니다.
1. 자격 증명 스토어가 사용자를 인증하고 인증 응답을 연동 서비스에 반환합니다.
1. 인증에 성공하면 연동 서비스가 SAML 어설션을 사용자의 브라우저에 게시합니다.
1. 사용자의 브라우저가 SAML 어설션을 AWS 로그인 SAML 엔드포인트(`https://signin.aws.amazon.com/saml`)에 게시합니다.
1. AWS 로그인은 SAML 요청을 수신하고, 요청을 처리하고, 사용자를 인증하고, 인증 토큰을 Amazon Quick 서비스에 전달합니다.
1. Amazon Quick은에서 인증 토큰을 수락 AWS 하고 사용자에게 Amazon Quick을 제공합니다.
사용자의 관점에서 프로세스가 투명하게 진행됩니다. 사용자는 Amazon Quick 애플리케이션 포털에서 시작합니다. Amazon Quick은 조직의 페더레이션 서비스 및와 인증을 협상합니다 AWS. 사용자가 추가 자격 증명을 제공할 필요 없이 Amazon Quick이 열립니다.
# Quick Enterprise 에디션을 사용하여 서비스 공급자가 시작한 페더레이션 설정
| |
| --- |
| 적용 대상: 엔터프라이즈 에디션 |
| |
| --- |
| 대상: 시스템 관리자 |
**참고**
IAM 자격 증명 페더레이션은 자격 증명 공급자 그룹을 Amazon Quick과 동기화하는 것을 지원하지 않습니다.
AWS Identity and Access Management (IAM)을 사용하여 자격 증명 공급자 구성을 완료한 후 Amazon Quick Enterprise Edition을 통해 서비스 공급자가 시작한 로그인을 설정할 수 있습니다. 빠른 시작 IAM 페더레이션이 작동하려면 IdP에 인증 요청을 보내도록 Quick에 권한을 부여해야 합니다. 빠른 관리자는 IdP에서 제공하는 다음 정보를 추가하여 이를 구성할 수 있습니다.
+ IdP URL - 인증을 위해 사용자를이 URL로 빠른 리디렉션합니다.
+ 릴레이 상태 파라미터 - 이 파라미터는 인증을 위해 브라우저 세션이 리디렉션되었을 때 브라우저 세션의 상태를 중계합니다. IdP는 인증 후 사용자를 원래 상태로 다시 리디렉션합니다. 상태는 URL로 제공됩니다.
다음 표에는 사용자를 사용자가 제공한 빠른 URL로 리디렉션하기 위한 표준 인증 URL 및 릴레이 상태 파라미터가 나와 있습니다.
| ID 제공업체 | 파라미터 | 인증 URL |
| --- | --- | --- |
| Auth0 | `RelayState` | `https://.auth0.com/samlp/` |
| Google 계정 | `RelayState` | `https://accounts.google.com/o/saml2/initsso?idpid=&spid=&forceauthn=false` |
| Microsoft Azure | `RelayState` | `https://myapps.microsoft.com/signin//?tenantId=` |
| Okta | `RelayState` | `https://.okta.com/app///sso/saml` |
| PingFederate | `TargetResource` | `https:///idp//startSSO.ping?PartnerSpId=` |
| PingOne | `TargetResource` | `https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=&idpid=` |
Amazon Quick은 당 하나의 IdP에 대한 연결을 지원합니다 AWS 계정. Amazon Quick의 구성 페이지에서는 항목을 기반으로 테스트 URLs 제공하므로 기능을 켜기 전에 설정을 테스트할 수 있습니다. 프로세스를 더욱 원활하게 만들기 위해 Amazon Quick은 일시적으로 비활성화해야 하는 경우 Amazon Quick에서 시작한 IAM 페더레이션을 일시적으로 비활성화하는 파라미터(`enable-sso=0`)를 제공합니다.
## 기존 IdP에 대한 IAM 페더레이션을 시작할 수 있는 Amazon Quick as a Service Provider를 설정하려면
1. IdP, IAM 및 Amazon Quick에 IAM 페더레이션이 이미 설정되어 있는지 확인합니다. 이 설정을 테스트하려면 회사 도메인의 다른 사람과 대시보드를 공유할 수 있는지 확인하세요.
1. Amazon Quick을 열고 오른쪽 상단의 프로필 메뉴에서 **Amazon Quick 관리를** 선택합니다.
이 절차를 수행하려면 Amazon Quick 관리자여야 합니다. 그렇지 않으면 프로필 메뉴에서 **Amazon Quick 관리를** 볼 수 없습니다.
1. 탐색 창에서 **싱글 사인온(IAM 페더레이션)**을 선택합니다.
1. **구성**, **IdP URL**에 IdP가 사용자 인증을 위해 제공하는 URL을 입력합니다.
1. 예를 들어 **IdP URL의** 경우 IdP가 릴레이 상태에 제공하는 파라미터(예: `RelayState`)를 입력합니다. 파라미터의 실제 이름은 IdP에서 제공합니다.
1. 로그인 테스트:
+ ID 공급자를 통한 로그인을 테스트하려면 **IdP를 사용하여 테스트**에 제공된 사용자 지정 URL을 사용하세요. https://quicksight.aws.amazon.com/sn/start 같은 Amazon Quick의 시작 페이지에 도착해야 합니다.
+ 먼저 Amazon Quick으로 로그인을 테스트하려면 ** end-to-end 환경 테스트**에 제공된 사용자 지정 URL을 사용합니다. `enable-sso` 파라미터가 URL에 추가됩니다. `enable-sso=1`의 경우 IAM 페더레이션은 인증을 시도합니다.
1. 설정을 유지하려면 **저장**을 선택합니다.
## 서비스 공급업체가 시작한 IAM 페더레이션 IdP를 활성화하기
1. IAM 페더레이션 설정이 구성 및 테스트되었는지 확인하십시오. 구성이 확실하지 않은 경우 이전 절차의 URL을 사용하여 연결을 테스트하십시오.
1. Amazon Quick을 열고 프로필 메뉴에서 **Amazon Quick 관리를** 선택합니다.
1. 탐색 창에서 **싱글 사인온(IAM 페더레이션)**을 선택합니다.
1. **상태**에서 **켜기**를 선택합니다.
1. IdP 연결을 해제하고 Amazon Quick을 열어 작동 중인지 확인합니다.
## 서비스 공급자가 시작한 IAM 페더레이션을 비활성화기
1. Amazon Quick을 열고 프로필 메뉴에서 **Amazon Quick 관리를** 선택합니다.
1. 탐색 창에서 **싱글 사인온(IAM 페더레이션)**을 선택합니다.
1. **상태**에서 **끄기**를 선택합니다.
# Quick에서 페더레이션 사용자를 위한 이메일 동기화 구성
| |
| --- |
| 적용 대상: Enterprise Edition |
| |
| --- |
| 대상: 시스템 관리자 및 Amazon Quick 관리자 |
**참고**
IAM 자격 증명 연동은 자격 증명 공급자 그룹을 Amazon Quick과 동기화하는 것을 지원하지 않습니다.
Amazon Quick Enterprise 에디션에서는 관리자가 자격 증명 공급자(IdP)를 통해 Quick에 직접 프로비저닝할 때 새 사용자가 개인 이메일 주소를 사용하지 못하도록 제한할 수 있습니다. 그러면 Quick은 계정에 새 사용자를 프로비저닝할 때 IdP를 통해 전달된 미리 구성된 이메일 주소를 사용합니다. 예를 들어 사용자가 IdP를 통해 Amazon Quick 계정에 프로비저닝될 때 회사에서 할당한 이메일 주소만 사용하도록 만들 수 있습니다.
**참고**
사용자가 IdP를 통해 Amazon Quick에 직접 페더레이션하는지 확인합니다. IdP를 AWS Management Console 통해에 페더레이션한 다음 Amazon Quick을 클릭하면 오류가 발생하고 Amazon Quick에 액세스할 수 없습니다.
Amazon Quick에서 페더레이션 사용자에 대한 이메일 동기화를 구성하면 Amazon Quick 계정에 처음 로그인하는 사용자에게 이메일 주소가 미리 할당됩니다. 이 정보는 계정을 등록하는 데 사용됩니다. 이 방법을 사용하면 사용자가 이메일 주소를 입력하여 수동으로 우회할 수 있습니다. 또한 관리자가 지정한 이메일 주소와 다를 수 있는 이메일 주소를 사용자는 사용할 수 없습니다.
Amazon Quick은 SAML 또는 OpenID Connect(OIDC) 인증을 지원하는 IdP를 통한 프로비저닝을 지원합니다. IdP를 통해 프로비저닝할 때 새 사용자의 이메일 주소를 구성하려면 해당 사용자가 `AssumeRoleWithSAML` 또는 `AssumeRoleWithWebIdentity`와(과) 함께 사용하는 IAM 역할에 대한 신뢰 관계를 업데이트해야 합니다. 그런 다음 해당 IdP에 SAML 속성 또는 OIDC 토큰을 추가합니다. 마지막으로 Amazon Quick에서 페더레이션 사용자의 이메일 동기화를 켭니다.
다음 절차에서는 이 단계를 자세히 설명합니다.
## 1단계: AssumeRoleWithSAML 또는 AssumeRoleWithWebIdentity을(를) 사용하여 IAM 역할에 대한 신뢰 관계를 업데이트합니다.
IdP를 통해 Amazon Quick으로 프로비저닝할 때 사용자가 사용할 이메일 주소를 구성할 수 있습니다. 이렇게 하려면 `AssumeRoleWithSAML` 또는 `AssumeRoleWithWebIdentity`와(과) 함께 사용하는 IAM 역할의 신뢰 관계에 `sts:TagSession` 작업을 추가하십시오. 이렇게 하면 사용자가 역할을 수임할 때 `principal` 태그를 전달할 수 있습니다.
다음 예는 IdP가 Okta인 업데이트된 IAM 역할을 보여줍니다. 이 예제를 사용하려면 서비스 공급자의 ARN으로 `Federated` Amazon 리소스 이름(ARN)을 업데이트하십시오. 빨간색 항목을 AWS 및 IdP 서비스별 정보로 바꿀 수 있습니다.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::account-id:saml-provider/Okta"
},
"Action": "sts:AssumeRoleWithSAML",
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::account-id:saml-provider/Okta"
},
"Action": "sts:TagSession",
"Condition": {
"StringLike": {
"aws:RequestTag/Email": "*"
}
}
}
]
}
```
## 2단계: IdP의 IAM 기본 태그에 대한 SAML 속성 또는 OIDC 토큰 추가
이전 섹션에 설명된 대로 IAM 역할에 대한 신뢰 관계를 업데이트한 후 IdP의 IAM `Principal` 태그에 대한 SAML 속성 또는 OIDC 토큰을 추가합니다.
다음 예는 SAML 속성과 OIDC 토큰을 보여줍니다. 이 예제를 사용하려면 이메일 주소를 사용자의 이메일 주소를 가리키는 IdP의 변수로 바꾸십시오. 빨간색으로 강조 표시된 항목을 사용자 정보로 바꿀 수 있습니다.
+ **SAML 속성**: 다음 예는 SAML 속성을 보여줍니다.
```
john.doe@example.com
```
**참고**
Okta를 IdP로 사용하는 경우 SAML을 사용하려면 Okta 사용자 계정에서 기능 플래그를 켜야 합니다. 자세한 내용은 [Okta 블로그의 Okta 및 AWS Partner to Simplify Access Via Session Tags](https://www.okta.com/blog/2019/11/okta-and-aws-partner-to-simplify-access-via-session-tags/)를 참조하세요.
+ **OIDC 토큰**: 다음 예는 OIDC 토큰의 예를 보여줍니다.
```
"https://aws.amazon.com/tags": {"principal_tags": {"Email": ["john.doe@example.com"]
```
## 3단계: Amazon Quick에서 페더레이션 사용자의 이메일 동기화 활성화
앞서 설명한 대로 IAM 역할의 신뢰 관계를 업데이트하고 IdP의 IAM `Principal` 태그에 대한 SAML 속성 또는 OIDC 토큰을 추가합니다. 그런 다음 다음 절차에 설명된 대로 Amazon Quick에서 페더레이션 사용자에 대한 이메일 동기화를 켭니다.
**페더레이션 사용자를 위한 이메일 동기화 켜기**
1. Amazon Quick의 모든 페이지에서 오른쪽 상단의 사용자 이름을 선택한 다음 **Amazon Quick 관리를** 선택합니다.
1. 왼쪽 메뉴에서 **싱글 사인온(IAM 페더레이션)**을 선택합니다.
1. **서비스 제공자가 시작한 IAM 페더레이션** 페이지에서 **페더레이션 사용자를 위한 이메일 동기화**에 대해 **켜기**을 선택합니다.
페더레이션 사용자의 이메일 동기화가 켜져 있는 경우 Amazon Quick은 계정에 새 사용자를 프로비저닝할 때 1단계와 2단계에서 구성한 이메일 주소를 사용합니다. 사용자는 자신의 이메일 주소를 입력할 수 없습니다.
페더레이션 사용자의 이메일 동기화가 꺼져 있으면 Amazon Quick은 계정에 새 사용자를 프로비저닝할 때 사용자에게 이메일 주소를 수동으로 입력하도록 요청합니다. 사용자는 원하는 모든 이메일 주소를 사용할 수 있습니다.
# 자습서: Amazon Quick and IAM 자격 증명 페더레이션
| |
| --- |
| 적용 대상: 엔터프라이즈 에디션 및 스탠다드 에디션 |
| |
| --- |
| 대상: Amazon Quick Administrators 및 Amazon Quick 개발자 |
**참고**
IAM 자격 증명 페더레이션은 자격 증명 공급자 그룹을 Amazon Quick과 동기화하는 것을 지원하지 않습니다.
다음 자습서에서는 IdP Okta를 Amazon Quick의 페더레이션 서비스로 설정하는 방법을 안내합니다. 이 튜토리얼에서는 AWS Identity and Access Management (IAM) 과 Okta의 통합을 보여 주지만 원하는 SAML 2.0 IdP를 사용하여 이 솔루션을 복제할 수도 있습니다.
다음 절차에서는 "AWS 계정 연동" 바로 가기를 사용하여 Okta IdP에서 앱을 생성합니다. Okta는 이 통합 앱을 다음과 같이 설명합니다.
“Okta를 Amazon Web Services(AWS) Identity and Access Management(IAM) 계정에 페더레이션하면 최종 사용자는 Okta 자격 증명을 사용하여 할당된 모든 AWS 역할에 대한 Single Sign-On 액세스 권한을 얻을 수 있습니다. 각에서 AWS 계정관리자는 페더레이션을 설정하고 Okta를 신뢰하도록 AWS 역할을 구성합니다. 사용자가에 로그인하면 할당된 AWS 역할을 볼 수 있는 Okta Single Sign-In 환경을 AWS얻게 됩니다. 그런 다음 원하는 역할을 선택하여 인증된 세션 기간에 권한을 정의하면 됩니다. AWS 계정이 많은 고객은 대안으로 Single Sign-On 앱을 확인하세요 AWS .” (https://www.okta.com/aws/)
**Okta의 "AWS 계정 연동" 애플리케이션 바로 가기를 사용하여 Okta 앱을 생성하려면**
1. Okta 대시보드에 로그인하십시오. 없는 경우 [이 Amazon Quick-branded URL](https://developer.okta.com/quickstart/)을 사용하여 무료 Okta Developer Edition 계정을 생성합니다. 이메일을 활성화했으면 Okta에 로그인하세요.
1. Okta 웹 사이트의 왼쪽 상단에 있는 **<> 개발자 콘솔**을 선택한 다음 **클래식 UI**를 선택합니다.
1. **애플리케이션 추가**를 선택하고 **앱 추가**를 선택합니다.
1. **검색**에 **aws**을(를) 입력하고 검색 결과에서 **AWS 계정 페더레이션**을 선택합니다.
1. **추가**를 선택하여 이 애플리케이션의 인스턴스를 생성합니다.
1. **애플리케이션 라벨**에 **AWS Account Federation - Amazon Quick**을(를) 입력합니다.
1. **다음**을 선택합니다.
1. **SAML 2.0**, **기본 릴레이 상태**의 경우 **https://quicksight.aws.amazon.com**을(를) 입력합니다.
1. **Identity Provider 메타데이터**의 컨텍스트(마우스 오른쪽 버튼 클릭) 메뉴를 열고 파일을 저장하도록 선택합니다. 파일 이름을 `metadata.xml`으로 지정합니다. 다음 절차에서 이 파일이 필요합니다.
파일 콘텐츠는 다음과 비슷합니다.
```
MIIDpjCCAo6gAwIBAgIGAXVjA82hMA0GCSqGSIb3DQEBCwUAMIGTMQswCQYDVQQGEwJVUzETMBEG
.
. (certificate content omitted)
.
QE/6cRdPQ6v/eaFpUL6Asd6q3sBeq+giRG4=
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified
```
1. XML 파일을 저장한 후 Okta 페이지 하단으로 스크롤하여 **완료**를 선택합니다.
1. 가능하면 이 브라우저 창을 열어 두십시오. 이는 나중에 이 튜토리얼에서 필요합니다.
다음으로 AWS 계정에서 ID 공급자를 생성합니다.
**에서 SAML 공급자를 생성하려면 AWS Identity and Access Management (IAM)**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) IAM 콘솔을 엽니다.
1. 탐색 창에서 **자격 증명 공급자**, **공급자 생성**을 선택합니다.
1. 다음 설정을 입력합니다.
+ **제공자 유형** - 목록에서 **SAML**을 선택합니다.
+ **제공자 이름** - **Okta**을(를) 입력합니다.
+ **메타데이터 문서** - 이전 절차의 XML 파일 `manifest.xml`을(를) 업로드합니다.
1. **다음 단계**, **생성**을 선택합니다.
1. 생성한 IdP를 찾아 선택하여 설정을 확인합니다. **제공자 ARN**을 기록해 둡니다. 이는 튜토리얼을 완료하는 데 필요합니다.
1. 설정을 사용하여 ID 공급자가 생성되었는지 확인하십시오. IAM에서 **ID 공급자**, **Okta**(추가한 IdP), **메타데이터 다운로드**를 선택합니다. 파일은 최근에 업로드한 파일이어야 합니다.
그런 다음 IAM 역할을 생성하여 SAML 2.0 페더레이션이에서 신뢰할 수 있는 엔터티 역할을 할 수 있도록 합니다 AWS 계정. 이 단계에서는 Amazon Quick에서 사용자를 프로비저닝하는 방법을 선택해야 합니다. 다음 중 하나를 수행할 수 있습니다.
+ 처음 방문하는 방문자가 Amazon Quick 사용자가 자동으로 되도록 IAM 역할에 권한을 부여합니다.
**신뢰할 수 있는 주체로서 SAML 2.0 페더레이션을 위한 IAM 역할 생성하기**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) IAM 콘솔을 엽니다.
1. 탐색 창에서 **역할**, **역할 생성**을 선택합니다.
1. **신뢰할 수 있는 엔터티 유형 선택**에서 카드가 레이블 지정된 **SAML 2.0 페더레이션**을 선택합니다.
1. **SAML 제공자**의 경우 이전 절차에서 생성한 IdP를 선택합니다(예: `Okta`).
1. **프로그래밍 및 AWS 관리 콘솔 액세스 허용** 옵션을 활성화합니다.
1. **다음: 권한**을 선택합니다.
1. 다음 정책을 편집기에 붙여넣습니다.
정책 편집기에서 JSON을 공급자의 Amazon 리소스 이름(ARN)로 업데이트합니다.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRoleWithSAML",
"Resource": "arn:aws:iam::111111111111:saml-provider/Okta",
"Condition": {
"StringEquals": {
"saml:aud": "https://signin.aws.amazon.com/saml"
}
}
}
]
}
```
1. **정책 검토**를 선택합니다.
1. **이름**의 경우, **QuicksightOktaFederatedPolicy**을(를) 입력한 후 **정책 생성**을 선택합니다.
1. **정책 생성**을 선택하고 **JSON**을 두 번째로 선택합니다.
1. 다음 정책을 편집기에 붙여넣습니다.
정책 편집기에서 JSON을 AWS 계정 ID로 업데이트합니다. 공급자 ARN의 이전 정책에서 사용한 것과 동일한 계정 ID여야 합니다.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:CreateReader"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight::111111111111:user/${aws:userid}"
]
}
]
}
```
다음과 같이 ARN에서 AWS 리전 이름을 생략할 수 있습니다.
```
arn:aws:quicksight::111111111111:user/$${aws:userid}
```
1. **정책 검토**를 선택합니다.
1. **이름**의 경우, **QuicksightCreateReader**을(를) 입력한 후 **정책 생성**을 선택합니다.
1. 오른쪽에 있는 새로 고침 아이콘을 선택하여 정책 목록을 새로 고칩니다.
1. **검색**에 **QuicksightOktaFederatedPolicy**을(를) 입력합니다. 정책을 선택하여 이것(![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/quick/latest/userguide/images/checkbox-on.png))을 활성화합니다.
자동 프로비저닝을 사용하지 않으려면 다음 단계를 건너 뛸 수 있습니다.
Amazon Quick 사용자를 추가하려면 [register-user](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_RegisterUser.html)를 사용합니다. Amazon Quick 그룹을 추가하려면 [create-group](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateGroup.html)을 사용합니다. Amazon Quick 그룹에 사용자를 추가하려면 [create-group-membership](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateGroupMembership.html)을 사용합니다.
1. (선택 사항) **검색**에서 **QuicksightCreateReader**을(를) 입력합니다. 정책을 선택하여 이것(![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/quick/latest/userguide/images/checkbox-on.png))을 활성화합니다.
Amazon Quick API를 사용하는 대신 Amazon Quick 사용자를 자동으로 프로비저닝하려면이 단계를 수행합니다.
`QuicksightCreateReader` 정책은 `quicksight:CreateReader` 작업 사용을 허용하여 자동 프로비저닝을 활성화합니다. 이렇게 하면 처음 사용하는 사용자에게 대시보드 구독자(독자 수준) 액세스 권한이 부여됩니다. Amazon Quick 관리자는 나중에 Amazon Quick 프로필 메뉴, Amazon Quick **관리**, **사용자 관리**에서 업그레이드할 수 있습니다.
1. IAM 정책 또는 정책을 계속 연결하려면 **다음: 태그**를 선택합니다.
1. **다음: 검토**를 선택합니다.
1. **역할 이름**에 **QuicksightOktaFederatedRole**을(를) 입력한 다음 **역할 생성**을 선택합니다.
1. 다음 단계를 수행하여 이 작업을 성공적으로 완료했는지 확인하십시오.
1. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔의 메인 페이지로 돌아갑니다. 브라우저의 **뒤로** 버튼을 사용할 수 있습니다.
1. **역할**을 선택합니다.
1. **검색**에 Okta를 입력합니다. 검색 결과에서 **QuicksightOktaFederatedRole**을 선택합니다.
1. 정책의 **요약** 페이지에서 **권한** 탭을 살펴보십시오. 역할에 연결한 정책 또는 정책이 있는지 확인하십시오. `QuicksightOktaFederatedPolicy`이(가) 있어야 합니다. 사용자 생성 기능을 추가하기로 선택했다면 `QuicksightCreateReader`을(를) 추가해야 합니다.
1. ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/quick/latest/userguide/images/caret-right-filled.png) 아이콘을 사용하여 각 정책을 엽니다. 텍스트가 이 절차에 표시된 내용과 일치하는지 확인하십시오. 예제 계정 AWS 계정 번호 111111111111 대신 자체 번호를 추가했는지 다시 확인합니다.
1. **신뢰 관계** 탭에서 **신뢰할 수 있는 엔티티** 필드에 ID 제공자에 대한 ARN이 포함되어 있는지 확인합니다. **ID 제공자**, **Okta**를 열어 IAM 콘솔에서 ARN을 다시 확인할 수 있습니다.
**Okta에 대한 액세스 키 생성하기**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) IAM 콘솔을 엽니다.
1. Okta가 IAM 역할 목록을 사용자에게 표시할 수 있도록 허용하는 정책을 추가합니다. 이렇게 하려면 **정책**, **정책 생성**을 선택합니다.
1. **JSON**을 선택하고 다음 정책을 입력합니다.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:ListAccountAliases"
],
"Resource": "*"
}
]
}
```
1. **정책 검토**를 선택합니다.
1. **이름(Name)**에 **OktaListRolesPolicy**을(를) 입력합니다. 그런 다음 **정책 생성**을 선택합니다.
1. Okta에 액세스 키를 제공할 수 있도록 사용자를 추가합니다.
탐색 창에서 **사용자**를 선택한 다음 **사용자 추가**를 선택합니다.
1. 다음 설정을 사용합니다.
+ **사용자 이름**에 `OktaSSOUser`를 입력합니다.
+ **액세스 유형**에서 **프로그래밍 방식 액세스**를 사용하도록 설정합니다.
1. **다음: 권한**을 선택합니다.
1. **기존 정책 직접 첨부**를 선택합니다.
1. **검색**에 **OktaListRolesPolicy**을(를) 입력하고 검색 결과에서 **OktaListRolesPolicy**를 선택합니다.
1. **Next: Tags(다음: 태그)**를 선택한 후 **Next: Review(다음: 검토)**를 선택합니다.
1. **사용자 생성**을 선택합니다. 이제 액세스 키를 가져올 수 있습니다.
1. **.csv 다운로드**를 선택하여 키 파일을 다운로드합니다. 이 파일에는 이 화면에 표시되는 것과 동일한 액세스 키 ID 및 보안 액세스 키가 포함되어 있습니다. 그러나 AWS 는이 정보를 다시 표시하지 않으므로 파일을 다운로드해야 합니다.
1. 다음 작업을 수행하여 이 단계를 올바르게 완료했는지 확인하십시오.
1. IAM 콘솔을 열고 **사용자**를 선택합니다. **OktaSSOUser**를 검색하고 검색 결과에서 사용자 이름을 선택하여 엽니다.
1. **권한** 탭에서 **OktaListRolesPolicy**가 연결되어 있는지 확인합니다.
1. ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/quick/latest/userguide/images/caret-right-filled.png) 아이콘을 사용하여 정책을 엽니다. 텍스트가 이 절차에 표시된 내용과 일치하는지 확인하십시오.
1. 이미 다운로드한 액세스 키는 **안전 보안 인증 정보** 탭에서 확인할 수 있습니다. 새 액세스 키가 필요할 때 이 탭으로 돌아가서 액세스 키를 만들 수 있습니다.
다음 절차에서는 Okta로 돌아가 액세스 키를 제공합니다. 액세스 키는 새 보안 설정과 함께 작동하여 AWS 및 Okta IdP가 함께 작동하도록 허용합니다.
**AWS 설정으로 Okta 애플리케이션 구성을 완료하려면**
1. Okta 대시보드로 돌아가십시오. 요청을 받으면 로그인하세요. 개발자 콘솔이 더 이상 열려 있지 않으면 **관리**를 선택하여 다시 여십시오.
1. Okta를 다시 열어야 하는 경우 다음 단계에 따라 이 섹션으로 돌아갈 수 있습니다.
1. Okta에 로그인하십시오. [**Applications**]를 선택합니다.
1. 이 자습서의 시작 부분에서 생성한 애플리케이션인 **AWS 계정 연동 - Amazon Quick**을 선택합니다.
1. **일반** 및 **모바일** 사이에서 **로그온** 탭을 선택합니다.
1. **고급 사인온 설정**으로 스크롤합니다.
1. **ID 제공자 ARN(SAML IAM 페더레이션에만 필요)**의 경우 이전 절차의 제공자 ARN을 입력합니다. 예를 들면 다음과 같습니다.
```
arn:aws:iam::111122223333:saml-provider/Okta
```
1. **완료** 또는 **저장**을 선택합니다. 버튼 이름은 애플리케이션을 생성하는지 또는 편집하는지에 따라 달라집니다.
1. **프로비저닝** 탭을 선택하고 탭 하단에서 **API 통합 구성**을 선택합니다.
1. **API 통합 활성화**를 켜서 설정을 표시합니다.
1. **액세스 키** 및 **보안 암호 키**의 경우 이전에 다운로드한 액세스 키와 보안 암호 키를 이름이 **OktaSSOUser**`_credentials.csv`(으)로 지정된 파일에 제공하십시오
1. **테스트 API 보안 인증**을 선택합니다. **API 통합 활성화** 설정 위에서 **AWS 계정 페더레이션이 성공적으로 확인되었음**을 확인하는 메시지를 확인합니다.
1. **저장**을 선택합니다.
1. 왼쪽에 **앱으로**가 강조 표시되어 있는지 확인하고 오른쪽에서 **편집**을 선택합니다.
1. **사용자 생성**에서 **활성화** 옵션을 켜십시오.
1. **저장**을 선택합니다.
1. **할당** 탭의 **프로비저닝** 및 **가져오기** 근처에서 **할당**을 선택합니다.
1. 페더레이션 액세스를 활성화하려면 다음 중 하나 이상을 수행하십시오.
+ 개별 사용자와 함께 작업하려면 **사용자에게 할당**을 선택합니다.
+ IAM 그룹을 사용하려면 **그룹에 할당**을 선택합니다. 특정 IAM 그룹 또는 **모든 사람(조직 내 모든 사용자)**을 선택할 수 있습니다.
1. 각 IAM 사용자 또는 그룹에 대해 다음 사항을 수행합니다.
1. **할당**, **역할**을 선택합니다.
1. IAM 역할 목록에서 **QuicksightOktaFederatedRole**을 선택합니다.
1. **SAML 사용자 역할**의 경우 **QuicksightOktaFederatedRole**을 활성화합니다.
1. **저장 후 뒤로 이동**을 선택한 다음 **완료**를 선택합니다.
1. 왼쪽의 **사람** 또는 **그룹** 필터를 선택하고 입력한 사용자 또는 그룹을 확인하여 이 단계를 올바르게 완료했는지 확인하십시오. 생성한 역할이 목록에 표시되지 않아 이 프로세스를 완료할 수 없는 경우 이전 절차로 돌아가 설정을 확인하십시오.
**Okta를 사용하여 Amazon Quick에 로그인하려면(IdP에서 서비스 공급자로 로그인)**
1. Okta 관리자 계정을 사용하는 경우 사용자 모드로 전환하세요.
1. 페더레이션 액세스 권한이 부여된 사용자로 Okta 애플리케이션 대시보드에 로그인하십시오. **AWS 계정 연동 - Amazon Quick**과 같이 레이블이 있는 새 애플리케이션이 표시됩니다.
1. 애플리케이션 아이콘을 선택하여 **AWS 계정 연동 - Amazon Quick**을 시작합니다.
이제 Okta를 사용하여 자격 증명을 관리하고 Quick에서 페더레이션 액세스를 사용할 수 있습니다.
다음 절차는 이 튜토리얼 중 선택 사항입니다. 단계를 따르면 사용자를 대신하여 IdP에 권한 부여 요청을 전달할 수 있는 권한을 Amazon Quick에 부여합니다. 이 방법을 사용하면 사용자는 먼저 IdP 페이지를 사용하여 로그인할 필요 없이 Amazon Quick에 로그인할 수 있습니다.
**(선택 사항) Okta에 인증 요청을 보내도록 Amazon Quick을 설정하려면**
1. Amazon Quick을 열고 프로필 메뉴에서 **Amazon Quick 관리를** 선택합니다.
1. 탐색 창에서 **싱글 사인온(IAM 페더레이션)**을 선택합니다.
1. **구성** **IdP URL**에 IdP가 사용자 인증을 위해 제공하는 URL(예: https://dev-*1-----0*.okta.com/home/amazon\$1aws/*0oabababababaGQei5d5/282*)을 입력합니다. Okta 앱 페이지의 **일반** 탭에 있는 **임베드 링크**에서 확인할 수 있습니다.
1. **IdP URL**의 경우 `RelayState`을(를) 입력합니다.
1. 다음 중 하나를 수행하세요.
+ ID 공급자를 통한 로그인을 먼저 테스트하려면 **IdP를 사용하여 테스트**에 제공된 사용자 지정 URL을 사용하세요. https://quicksight.aws.amazon.com/sn/start 같은 Amazon Quick의 시작 페이지에 도착해야 합니다.
+ 먼저 Amazon Quick으로 로그인을 테스트하려면 ** end-to-end 환경 테스트에 제공된 사용자 지정 URL을** 사용합니다. `enable-sso` 파라미터가 URL에 추가됩니다. `enable-sso=1`의 경우 IAM 페더레이션은 인증을 시도합니다. `enable-sso=0`인 경우 Amazon Quick은 인증 요청을 보내지 않으며 이전과 같이 Amazon Quick에 로그인합니다.
1. **상태**에서 **켜기**를 선택합니다.
1. 설정을 유지하려면 **저장**을 선택합니다.
사용자가 IAM 페더레이션을 사용하여 특정 대시보드에 직접 연결할 수 있도록 Amazon Quick 대시보드에 대한 딥 링크를 생성할 수 있습니다. 이렇게 하려면 다음과 같이 릴레이 상태 플래그와 대시보드 URL을 Okta 싱글 사인온 URL에 추가합니다.
**Single Sign-On을 위한 Amazon Quick 대시보드에 대한 딥 링크를 생성하려면**
1. 튜토리얼 시작 부분에서 다운로드한 `metadata.xml` 파일에서 Okta 애플리케이션의 싱글 사인온(IAM 페더레이션) URL을 찾습니다. 파일 하단의 `md:SingleSignOnService`(이)라는 이름이 지정된 요소에서 URL을 찾을 수 있습니다. 다음 예제에서와 같이 속성의 `Location`(이)라는 이름이 지정되고 값이 `/sso/saml`(으)로 끝납니다.
```
```
1. IAM 페더레이션 URL의 값을 가져와서를 추가한 `?RelayState=` 다음 Amazon Quick 대시보드의 URL을 추가합니다. `RelayState` 파라미터는 사용자가 인증 URL로 리디렉션되었을 때의 상태(URL)를 전달합니다.
1. 릴레이 상태가 추가된 새 IAM 페더레이션에 Amazon Quick 대시보드의 URL을 추가합니다. 결과는 다음과 비슷해야 합니다.
```
https://dev-1-----0.okta.com/app/amazon_aws/abcdef2hATwiVft645d5/sso/saml?RelayState=https://us-west-2.quicksight.aws.amazon.com/sn/analyses/12a12a2a-121a-212a-121a-abcd12abc1ab
```
1. 생성한 링크가 열리지 않는 경우 `metadata.xml`에서 제공하는 최신 IAM 페더레이션 URL을 사용하고 있는지 확인하십시오. 또한 로그인하는 데 사용하는 사용자 이름이 두 개 이상의 IAM 페더레이션 Okta 앱에 할당되지 않았는지 확인합니다.
# Amazon Quick Enterprise 에디션에서 Active Directory 사용
| |
| --- |
| 적용 대상: 엔터프라이즈 에디션 |
| |
| --- |
| 대상: 시스템 관리자 |
**참고**
IAM 자격 증명 페더레이션은 자격 증명 공급자 그룹을 Amazon Quick과 동기화하는 것을 지원하지 않습니다.
Amazon Quick Enterprise 에디션은 [AWS Microsoft Active Directory용 Directory Service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html)와 [Active Directory Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html)를 모두 지원합니다.
Quick의 자격 증명 관리자가 될 새 디렉터리를 생성하려면 라고 AWS Directory Service for Microsoft Active Directory도 하는를 사용합니다 AWS Managed Microsoft AD. 이는 AWS 에서 Active Directory와 동일한 기능을 대부분 제공하는 클라우드의 Active Directory 호스트입니다. 현재 아시아 태평양(싱가포르)을 제외하고 Amazon Quick에서 지원하는 모든 AWS 리전에서 Active Directory에 연결할 수 있습니다. 디렉터리를 만들 때 Virtual Private Cloud(VPC)와 함께 사용합니다. 자세한 내용은 [VPC](https://docs.aws.amazon.com/quicksight/latest/user/vpc-amazon-virtual-private-cloud.html)를 참조하세요.
Quick에 사용할 기존 디렉터리가 있는 경우 Active Directory Connector를 사용할 수 있습니다. 이 서비스는 클라우드에서 정보를 캐싱하지 않고 디렉터리 요청을 다른 AWS 리전 또는 온프레미스의 Active Directory로 리디렉션합니다.
를 사용하여 디렉터리를 생성하고 관리하는 방법에 대한 연습은 AWS 지식 센터의 [빠른 AWS 관리형 Microsoft AD 사용을](https://aws.amazon.com/premiumsupport/knowledge-center/quicksight-authenticate-active-directory/) AWS Managed Microsoft AD참조하세요.
AWS Directory Service를 사용하여 디렉터리를 시작하면는 도메인과 이름이 동일한 조직 단위(OU)를 AWS 생성합니다. AWS 또한는 OU에 대한 위임된 관리 권한이 있는 관리 계정을 생성합니다. Active Directory 사용자 및 그룹을 사용하여 OU 내에 계정, 그룹 및 정책을 생성할 수 있습니다. 자세한 내용은 디렉터리 서비스 관리 안내서의 [AWS 관리형 Microsoft AD 모범 사례를](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_best_practices.html) 참조하세요. **
디렉터리를 설정한 후 사용자를 위한 그룹을 생성하여 Quick과 함께 사용합니다. Amazon Quick에는 고급 기능에 대한 액세스를 제공하는 Pro 버전을 포함하여 할당할 수 있는 6가지 특정 사용자 역할이 있습니다.
+ **빠른 관리자** - 관리자는 계정 설정을 변경하고 계정을 관리할 수 있습니다. 관리자는 추가 Amazon Quick 사용자 구독 또는 [SPICE](https://docs.aws.amazon.com/quicksight/latest/user/spice.html) 용량을 구매하거나에 대한 Amazon Quick 구독을 취소할 수도 있습니다 AWS 계정. Admin Pro 사용자는 자연어를 사용하여 콘텐츠 생성, 지식 기반 구축, 작업 구성, 고급 자동화 워크플로 액세스 등 추가 기능을 사용할 수 있습니다.
+ **빠른 작성자 **- Amazon Quick 작성자는 데이터 소스, 데이터 세트, 분석 및 대시보드를 생성할 수 있습니다. 분석 및 대시보드를 다른 Amazon Quick 사용자와 공유할 수 있습니다. Author Pro 사용자는 자연어를 사용하여 콘텐츠를 추가로 생성하고, 지식 기반을 구축하고, 작업을 구성하고, 고급 자동화 기능에 액세스할 수 있습니다.
+ **빠른 리더 **- 독자는 다른 사람이 생성한 대시보드를 보고 상호 작용할 수 있습니다. Reader Pro 사용자는 AI 채팅 에이전트, 협업 공간, 흐름 및 확장을 포함한 고급 기능에 액세스할 수 있습니다.
IAM 정책을 적용하여 액세스를 추가하거나 구체화할 수 있습니다. 예를 들어 IAM 정책을 사용하여 사용자가 직접 구독할 수 있습니다.
Amazon Quick Enterprise 에디션을 구독하고 Active Directory를 자격 증명 공급자로 선택하면 AD 그룹을 Amazon Quick과 연결할 수 있습니다. 나중에 AD 그룹을 추가하거나 변경할 수도 있습니다.
**Topics**
+ [Quick Enterprise 에디션과의 디렉터리 통합](#directory-integration)
## Quick Enterprise 에디션과의 디렉터리 통합
| |
| --- |
| 적용 대상: 엔터프라이즈 에디션 |
| |
| --- |
| 대상: 시스템 관리자 |
**참고**
IAM 자격 증명 페더레이션은 자격 증명 공급자 그룹을 Amazon Quick과 동기화하는 것을 지원하지 않습니다.
Quick Enterprise는 다음 옵션을 지원합니다.
+ AWS 디렉터리 서비스
+ AWS AD 커넥터를 사용한 디렉터리 서비스
+ 온프레미스 Active Directory와 IAM 페더레이션 또는 AD Connector
+ AWS IAM Identity Center 또는 다른 타사 페더레이션 서비스를 사용한 IAM 페더레이션
온프레미스 Active Directory와 함께 IAM 페더레이션을 사용하려면 AWS 디렉터리 서비스를 온프레미스 Active Directory와 신뢰 관계가 있는 별도의 Active Directory로 구현합니다.
신뢰 관계를 사용하지 않으려면 AWS내에서 인증을 위해 독립 실행형 도메인을 배포할 수 있습니다. 그런 다음 Active Directory에서 사용자와 그룹을 생성할 수 있습니다. 그런 다음 Quick에서 사용자 및 그룹에 매핑합니다. 이 예제에서 사용자는 Active Directory 로그인 자격 증명을 사용하여 인증합니다. 사용자에게 Quick에 대한 액세스를 투명하게 하려면이 시나리오에서 IAM 페더레이션을 사용합니다.
# Amazon Quick에서 다중 인증(MFA) 사용
| |
| --- |
| 적용 대상: 엔터프라이즈 에디션 및 스탠다드 에디션 |
| |
| --- |
| 대상: 시스템 관리자 |
**중요**
Amazon Quick은 자격 증명 관리를 위해 새 Quick 구독을 IAM Identity Center와 통합할 것을 권장합니다. 이 IAM 자격 증명 연동 사용 설명서는 기존 계정 구성에 대한 참조로 제공됩니다. Quick 계정을 IAM Identity Center와 통합하는 방법에 대한 자세한 내용은 [Configure your Quick account with IAM Identity Center를 참조하세요](https://docs.aws.amazon.com/quicksight/latest/user/sec-identity-management-identity-center.html).
**참고**
IAM 자격 증명 페더레이션은 자격 증명 공급자 그룹을 Amazon Quick과 동기화하는 것을 지원하지 않습니다.
Quick에서 다중 인증(MFA)을 사용할 수 있는 몇 가지 방법이 있습니다. AWS Identity and Access Management (IAM)에서 사용할 수 있습니다. AD Connector 또는 Microsoft Active Directory용 [AWS Directory Service](https://aws.amazon.com/directoryservice/) 또는 Microsoft Active Directory 또는 AWS Managed Microsoft Active Directory와 AWS 함께 사용할 수 있습니다. 또한 외부 ID 제공업체(IdP)를 사용하는 경우 IdP에서 처리하는 인증의 일부이므로 MFA에 대한 정보가 필요하지 AWS 않습니다.
자세한 내용은 다음을 참조하세요.
+ IAM 사용 설명서의 [AWS에서 다중 인증(MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) 사용
+ AWS Directory Service 관리 안내서의 [AWS 관리형 Microsoft AD에 대한 다중 인증 활성화](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/mfa_ad.html)
+ AWS Directory Service 관리 안내서에서 [AD Connector에 대한 다단계 인증 활성화](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_mfa.html)
개발자인 경우 다음을 참조하세요.
+ [AWS 지식 센터](https://aws.amazon.com/premiumsupport/knowledge-center/)[의 AWS CLI를 통해 MFA 토큰을 사용하여 리소스 AWS 에 대한 액세스를 인증하려면 어떻게 해야 합니까?](https://aws.amazon.com/premiumsupport/knowledge-center/authenticate-mfa-cli/)
+ IAM 사용 설명서의 [MFA 보호 API 액세스 구성](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)을 참조합니다.