기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 자습서: Amazon Quick and IAM 자격 증명 페더레이션
자습서: Amazon Quick and IAM 자격 증명 페더레이션
| |
| --- |
| 적용 대상: 엔터프라이즈 에디션 및 스탠다드 에디션 |
| |
| --- |
| 대상: Amazon Quick Administrators 및 Amazon Quick 개발자 |
**참고**
IAM 자격 증명 페더레이션은 자격 증명 공급자 그룹을 Amazon Quick과 동기화하는 것을 지원하지 않습니다.
다음 자습서에서는 IdP Okta를 Amazon Quick의 페더레이션 서비스로 설정하는 방법을 안내합니다. 이 튜토리얼에서는 AWS Identity and Access Management (IAM) 과 Okta의 통합을 보여 주지만 원하는 SAML 2.0 IdP를 사용하여 이 솔루션을 복제할 수도 있습니다.
다음 절차에서는 "AWS 계정 연동" 바로 가기를 사용하여 Okta IdP에서 앱을 생성합니다. Okta는 이 통합 앱을 다음과 같이 설명합니다.
“Okta를 Amazon Web Services(AWS) Identity and Access Management(IAM) 계정에 페더레이션하면 최종 사용자는 Okta 자격 증명을 사용하여 할당된 모든 AWS 역할에 대한 Single Sign-On 액세스 권한을 얻을 수 있습니다. 각에서 AWS 계정관리자는 페더레이션을 설정하고 Okta를 신뢰하도록 AWS 역할을 구성합니다. 사용자가에 로그인하면 할당된 AWS 역할을 볼 수 있는 Okta Single Sign-In 환경을 AWS얻게 됩니다. 그런 다음 원하는 역할을 선택하여 인증된 세션 기간에 권한을 정의하면 됩니다. AWS 계정이 많은 고객은 대안으로 Single Sign-On 앱을 확인하세요 AWS .” (https://www.okta.com/aws/)
**Okta의 "AWS 계정 연동" 애플리케이션 바로 가기를 사용하여 Okta 앱을 생성하려면**
1. Okta 대시보드에 로그인하십시오. 없는 경우 [이 Amazon Quick-branded URL](https://developer.okta.com/quickstart/)을 사용하여 무료 Okta Developer Edition 계정을 생성합니다. 이메일을 활성화했으면 Okta에 로그인하세요.
1. Okta 웹 사이트의 왼쪽 상단에 있는 **<> 개발자 콘솔**을 선택한 다음 **클래식 UI**를 선택합니다.
1. **애플리케이션 추가**를 선택하고 **앱 추가**를 선택합니다.
1. **검색**에 **aws**을(를) 입력하고 검색 결과에서 **AWS 계정 페더레이션**을 선택합니다.
1. **추가**를 선택하여 이 애플리케이션의 인스턴스를 생성합니다.
1. **애플리케이션 라벨**에 **AWS Account Federation - Amazon Quick**을(를) 입력합니다.
1. **다음**을 선택합니다.
1. **SAML 2.0**, **기본 릴레이 상태**의 경우 **https://quicksight.aws.amazon.com**을(를) 입력합니다.
1. **Identity Provider 메타데이터**의 컨텍스트(마우스 오른쪽 버튼 클릭) 메뉴를 열고 파일을 저장하도록 선택합니다. 파일 이름을 `metadata.xml`으로 지정합니다. 다음 절차에서 이 파일이 필요합니다.
파일 콘텐츠는 다음과 비슷합니다.
```
MIIDpjCCAo6gAwIBAgIGAXVjA82hMA0GCSqGSIb3DQEBCwUAMIGTMQswCQYDVQQGEwJVUzETMBEG
.
. (certificate content omitted)
.
QE/6cRdPQ6v/eaFpUL6Asd6q3sBeq+giRG4=
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified
```
1. XML 파일을 저장한 후 Okta 페이지 하단으로 스크롤하여 **완료**를 선택합니다.
1. 가능하면 이 브라우저 창을 열어 두십시오. 이는 나중에 이 튜토리얼에서 필요합니다.
다음으로 AWS 계정에서 ID 공급자를 생성합니다.
**에서 SAML 공급자를 생성하려면 AWS Identity and Access Management (IAM)**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) IAM 콘솔을 엽니다.
1. 탐색 창에서 **자격 증명 공급자**, **공급자 생성**을 선택합니다.
1. 다음 설정을 입력합니다.
+ **제공자 유형** - 목록에서 **SAML**을 선택합니다.
+ **제공자 이름** - **Okta**을(를) 입력합니다.
+ **메타데이터 문서** - 이전 절차의 XML 파일 `manifest.xml`을(를) 업로드합니다.
1. **다음 단계**, **생성**을 선택합니다.
1. 생성한 IdP를 찾아 선택하여 설정을 확인합니다. **제공자 ARN**을 기록해 둡니다. 이는 튜토리얼을 완료하는 데 필요합니다.
1. 설정을 사용하여 ID 공급자가 생성되었는지 확인하십시오. IAM에서 **ID 공급자**, **Okta**(추가한 IdP), **메타데이터 다운로드**를 선택합니다. 파일은 최근에 업로드한 파일이어야 합니다.
그런 다음 IAM 역할을 생성하여 SAML 2.0 페더레이션이에서 신뢰할 수 있는 엔터티 역할을 할 수 있도록 합니다 AWS 계정. 이 단계에서는 Amazon Quick에서 사용자를 프로비저닝하는 방법을 선택해야 합니다. 다음 중 하나를 수행할 수 있습니다.
+ 처음 방문하는 방문자가 Amazon Quick 사용자가 자동으로 되도록 IAM 역할에 권한을 부여합니다.
**신뢰할 수 있는 주체로서 SAML 2.0 페더레이션을 위한 IAM 역할 생성하기**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) IAM 콘솔을 엽니다.
1. 탐색 창에서 **역할**, **역할 생성**을 선택합니다.
1. **신뢰할 수 있는 엔터티 유형 선택**에서 카드가 레이블 지정된 **SAML 2.0 페더레이션**을 선택합니다.
1. **SAML 제공자**의 경우 이전 절차에서 생성한 IdP를 선택합니다(예: `Okta`).
1. **프로그래밍 및 AWS 관리 콘솔 액세스 허용** 옵션을 활성화합니다.
1. **다음: 권한**을 선택합니다.
1. 다음 정책을 편집기에 붙여넣습니다.
정책 편집기에서 JSON을 공급자의 Amazon 리소스 이름(ARN)로 업데이트합니다.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": "sts:AssumeRoleWithSAML",
"Resource": "arn:aws:iam::111111111111:saml-provider/Okta",
"Condition": {
"StringEquals": {
"saml:aud": "https://signin.aws.amazon.com/saml"
}
}
}
]
}
```
1. **정책 검토**를 선택합니다.
1. **이름**의 경우, **QuicksightOktaFederatedPolicy**을(를) 입력한 후 **정책 생성**을 선택합니다.
1. **정책 생성**을 선택하고 **JSON**을 두 번째로 선택합니다.
1. 다음 정책을 편집기에 붙여넣습니다.
정책 편집기에서 JSON을 AWS 계정 ID로 업데이트합니다. 공급자 ARN의 이전 정책에서 사용한 것과 동일한 계정 ID여야 합니다.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Action": [
"quicksight:CreateReader"
],
"Effect": "Allow",
"Resource": [
"arn:aws:quicksight::111111111111:user/${aws:userid}"
]
}
]
}
```
다음과 같이 ARN에서 AWS 리전 이름을 생략할 수 있습니다.
```
arn:aws:quicksight::111111111111:user/$${aws:userid}
```
1. **정책 검토**를 선택합니다.
1. **이름**의 경우, **QuicksightCreateReader**을(를) 입력한 후 **정책 생성**을 선택합니다.
1. 오른쪽에 있는 새로 고침 아이콘을 선택하여 정책 목록을 새로 고칩니다.
1. **검색**에 **QuicksightOktaFederatedPolicy**을(를) 입력합니다. 정책을 선택하여 이것(![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/quick/latest/userguide/images/checkbox-on.png))을 활성화합니다.
자동 프로비저닝을 사용하지 않으려면 다음 단계를 건너 뛸 수 있습니다.
Amazon Quick 사용자를 추가하려면 [register-user](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_RegisterUser.html)를 사용합니다. Amazon Quick 그룹을 추가하려면 [create-group](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateGroup.html)을 사용합니다. Amazon Quick 그룹에 사용자를 추가하려면 [create-group-membership](https://docs.aws.amazon.com/quicksight/latest/APIReference/API_CreateGroupMembership.html)을 사용합니다.
1. (선택 사항) **검색**에서 **QuicksightCreateReader**을(를) 입력합니다. 정책을 선택하여 이것(![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/quick/latest/userguide/images/checkbox-on.png))을 활성화합니다.
Amazon Quick API를 사용하는 대신 Amazon Quick 사용자를 자동으로 프로비저닝하려면이 단계를 수행합니다.
`QuicksightCreateReader` 정책은 `quicksight:CreateReader` 작업 사용을 허용하여 자동 프로비저닝을 활성화합니다. 이렇게 하면 처음 사용하는 사용자에게 대시보드 구독자(독자 수준) 액세스 권한이 부여됩니다. Amazon Quick 관리자는 나중에 Amazon Quick 프로필 메뉴, Amazon Quick **관리**, **사용자 관리**에서 업그레이드할 수 있습니다.
1. IAM 정책 또는 정책을 계속 연결하려면 **다음: 태그**를 선택합니다.
1. **다음: 검토**를 선택합니다.
1. **역할 이름**에 **QuicksightOktaFederatedRole**을(를) 입력한 다음 **역할 생성**을 선택합니다.
1. 다음 단계를 수행하여 이 작업을 성공적으로 완료했는지 확인하십시오.
1. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔의 메인 페이지로 돌아갑니다. 브라우저의 **뒤로** 버튼을 사용할 수 있습니다.
1. **역할**을 선택합니다.
1. **검색**에 Okta를 입력합니다. 검색 결과에서 **QuicksightOktaFederatedRole**을 선택합니다.
1. 정책의 **요약** 페이지에서 **권한** 탭을 살펴보십시오. 역할에 연결한 정책 또는 정책이 있는지 확인하십시오. `QuicksightOktaFederatedPolicy`이(가) 있어야 합니다. 사용자 생성 기능을 추가하기로 선택했다면 `QuicksightCreateReader`을(를) 추가해야 합니다.
1. ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/quick/latest/userguide/images/caret-right-filled.png) 아이콘을 사용하여 각 정책을 엽니다. 텍스트가 이 절차에 표시된 내용과 일치하는지 확인하십시오. 예제 계정 AWS 계정 번호 111111111111 대신 자체 번호를 추가했는지 다시 확인합니다.
1. **신뢰 관계** 탭에서 **신뢰할 수 있는 엔티티** 필드에 ID 제공자에 대한 ARN이 포함되어 있는지 확인합니다. **ID 제공자**, **Okta**를 열어 IAM 콘솔에서 ARN을 다시 확인할 수 있습니다.
**Okta에 대한 액세스 키 생성하기**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) IAM 콘솔을 엽니다.
1. Okta가 IAM 역할 목록을 사용자에게 표시할 수 있도록 허용하는 정책을 추가합니다. 이렇게 하려면 **정책**, **정책 생성**을 선택합니다.
1. **JSON**을 선택하고 다음 정책을 입력합니다.
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:ListAccountAliases"
],
"Resource": "*"
}
]
}
```
1. **정책 검토**를 선택합니다.
1. **이름(Name)**에 **OktaListRolesPolicy**을(를) 입력합니다. 그런 다음 **정책 생성**을 선택합니다.
1. Okta에 액세스 키를 제공할 수 있도록 사용자를 추가합니다.
탐색 창에서 **사용자**를 선택한 다음 **사용자 추가**를 선택합니다.
1. 다음 설정을 사용합니다.
+ **사용자 이름**에 `OktaSSOUser`를 입력합니다.
+ **액세스 유형**에서 **프로그래밍 방식 액세스**를 사용하도록 설정합니다.
1. **다음: 권한**을 선택합니다.
1. **기존 정책 직접 첨부**를 선택합니다.
1. **검색**에 **OktaListRolesPolicy**을(를) 입력하고 검색 결과에서 **OktaListRolesPolicy**를 선택합니다.
1. **Next: Tags(다음: 태그)**를 선택한 후 **Next: Review(다음: 검토)**를 선택합니다.
1. **사용자 생성**을 선택합니다. 이제 액세스 키를 가져올 수 있습니다.
1. **.csv 다운로드**를 선택하여 키 파일을 다운로드합니다. 이 파일에는 이 화면에 표시되는 것과 동일한 액세스 키 ID 및 보안 액세스 키가 포함되어 있습니다. 그러나 AWS 는이 정보를 다시 표시하지 않으므로 파일을 다운로드해야 합니다.
1. 다음 작업을 수행하여 이 단계를 올바르게 완료했는지 확인하십시오.
1. IAM 콘솔을 열고 **사용자**를 선택합니다. **OktaSSOUser**를 검색하고 검색 결과에서 사용자 이름을 선택하여 엽니다.
1. **권한** 탭에서 **OktaListRolesPolicy**가 연결되어 있는지 확인합니다.
1. ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/quick/latest/userguide/images/caret-right-filled.png) 아이콘을 사용하여 정책을 엽니다. 텍스트가 이 절차에 표시된 내용과 일치하는지 확인하십시오.
1. 이미 다운로드한 액세스 키는 **안전 보안 인증 정보** 탭에서 확인할 수 있습니다. 새 액세스 키가 필요할 때 이 탭으로 돌아가서 액세스 키를 만들 수 있습니다.
다음 절차에서는 Okta로 돌아가 액세스 키를 제공합니다. 액세스 키는 새 보안 설정과 함께 작동하여 AWS 및 Okta IdP가 함께 작동하도록 허용합니다.
**AWS 설정으로 Okta 애플리케이션 구성을 완료하려면**
1. Okta 대시보드로 돌아가십시오. 요청을 받으면 로그인하세요. 개발자 콘솔이 더 이상 열려 있지 않으면 **관리**를 선택하여 다시 여십시오.
1. Okta를 다시 열어야 하는 경우 다음 단계에 따라 이 섹션으로 돌아갈 수 있습니다.
1. Okta에 로그인하십시오. [**Applications**]를 선택합니다.
1. 이 자습서의 시작 부분에서 생성한 애플리케이션인 **AWS 계정 연동 - Amazon Quick**을 선택합니다.
1. **일반** 및 **모바일** 사이에서 **로그온** 탭을 선택합니다.
1. **고급 사인온 설정**으로 스크롤합니다.
1. **ID 제공자 ARN(SAML IAM 페더레이션에만 필요)**의 경우 이전 절차의 제공자 ARN을 입력합니다. 예를 들면 다음과 같습니다.
```
arn:aws:iam::111122223333:saml-provider/Okta
```
1. **완료** 또는 **저장**을 선택합니다. 버튼 이름은 애플리케이션을 생성하는지 또는 편집하는지에 따라 달라집니다.
1. **프로비저닝** 탭을 선택하고 탭 하단에서 **API 통합 구성**을 선택합니다.
1. **API 통합 활성화**를 켜서 설정을 표시합니다.
1. **액세스 키** 및 **보안 암호 키**의 경우 이전에 다운로드한 액세스 키와 보안 암호 키를 이름이 **OktaSSOUser**`_credentials.csv`(으)로 지정된 파일에 제공하십시오
1. **테스트 API 보안 인증**을 선택합니다. **API 통합 활성화** 설정 위에서 **AWS 계정 페더레이션이 성공적으로 확인되었음**을 확인하는 메시지를 확인합니다.
1. **저장**을 선택합니다.
1. 왼쪽에 **앱으로**가 강조 표시되어 있는지 확인하고 오른쪽에서 **편집**을 선택합니다.
1. **사용자 생성**에서 **활성화** 옵션을 켜십시오.
1. **저장**을 선택합니다.
1. **할당** 탭의 **프로비저닝** 및 **가져오기** 근처에서 **할당**을 선택합니다.
1. 페더레이션 액세스를 활성화하려면 다음 중 하나 이상을 수행하십시오.
+ 개별 사용자와 함께 작업하려면 **사용자에게 할당**을 선택합니다.
+ IAM 그룹을 사용하려면 **그룹에 할당**을 선택합니다. 특정 IAM 그룹 또는 **모든 사람(조직 내 모든 사용자)**을 선택할 수 있습니다.
1. 각 IAM 사용자 또는 그룹에 대해 다음 사항을 수행합니다.
1. **할당**, **역할**을 선택합니다.
1. IAM 역할 목록에서 **QuicksightOktaFederatedRole**을 선택합니다.
1. **SAML 사용자 역할**의 경우 **QuicksightOktaFederatedRole**을 활성화합니다.
1. **저장 후 뒤로 이동**을 선택한 다음 **완료**를 선택합니다.
1. 왼쪽의 **사람** 또는 **그룹** 필터를 선택하고 입력한 사용자 또는 그룹을 확인하여 이 단계를 올바르게 완료했는지 확인하십시오. 생성한 역할이 목록에 표시되지 않아 이 프로세스를 완료할 수 없는 경우 이전 절차로 돌아가 설정을 확인하십시오.
**Okta를 사용하여 Amazon Quick에 로그인하려면(IdP에서 서비스 공급자로 로그인)**
1. Okta 관리자 계정을 사용하는 경우 사용자 모드로 전환하세요.
1. 페더레이션 액세스 권한이 부여된 사용자로 Okta 애플리케이션 대시보드에 로그인하십시오. **AWS 계정 연동 - Amazon Quick**과 같이 레이블이 있는 새 애플리케이션이 표시됩니다.
1. 애플리케이션 아이콘을 선택하여 **AWS 계정 연동 - Amazon Quick**을 시작합니다.
이제 Okta를 사용하여 자격 증명을 관리하고 Quick에서 페더레이션 액세스를 사용할 수 있습니다.
다음 절차는 이 튜토리얼 중 선택 사항입니다. 단계를 따르면 사용자를 대신하여 IdP에 권한 부여 요청을 전달할 수 있는 권한을 Amazon Quick에 부여합니다. 이 방법을 사용하면 사용자는 먼저 IdP 페이지를 사용하여 로그인할 필요 없이 Amazon Quick에 로그인할 수 있습니다.
**(선택 사항) Okta에 인증 요청을 보내도록 Amazon Quick을 설정하려면**
1. Amazon Quick을 열고 프로필 메뉴에서 **Amazon Quick 관리를** 선택합니다.
1. 탐색 창에서 **싱글 사인온(IAM 페더레이션)**을 선택합니다.
1. **구성** **IdP URL**에 IdP가 사용자 인증을 위해 제공하는 URL(예: https://dev-*1-----0*.okta.com/home/amazon\$1aws/*0oabababababaGQei5d5/282*)을 입력합니다. Okta 앱 페이지의 **일반** 탭에 있는 **임베드 링크**에서 확인할 수 있습니다.
1. **IdP URL**의 경우 `RelayState`을(를) 입력합니다.
1. 다음 중 하나를 수행하세요.
+ ID 공급자를 통한 로그인을 먼저 테스트하려면 **IdP를 사용하여 테스트**에 제공된 사용자 지정 URL을 사용하세요. https://quicksight.aws.amazon.com/sn/start 같은 Amazon Quick의 시작 페이지에 도착해야 합니다.
+ 먼저 Amazon Quick으로 로그인을 테스트하려면 ** end-to-end 환경 테스트에 제공된 사용자 지정 URL을** 사용합니다. `enable-sso` 파라미터가 URL에 추가됩니다. `enable-sso=1`의 경우 IAM 페더레이션은 인증을 시도합니다. `enable-sso=0`인 경우 Amazon Quick은 인증 요청을 보내지 않으며 이전과 같이 Amazon Quick에 로그인합니다.
1. **상태**에서 **켜기**를 선택합니다.
1. 설정을 유지하려면 **저장**을 선택합니다.
사용자가 IAM 페더레이션을 사용하여 특정 대시보드에 직접 연결할 수 있도록 Amazon Quick 대시보드에 대한 딥 링크를 생성할 수 있습니다. 이렇게 하려면 다음과 같이 릴레이 상태 플래그와 대시보드 URL을 Okta 싱글 사인온 URL에 추가합니다.
**Single Sign-On을 위한 Amazon Quick 대시보드에 대한 딥 링크를 생성하려면**
1. 튜토리얼 시작 부분에서 다운로드한 `metadata.xml` 파일에서 Okta 애플리케이션의 싱글 사인온(IAM 페더레이션) URL을 찾습니다. 파일 하단의 `md:SingleSignOnService`(이)라는 이름이 지정된 요소에서 URL을 찾을 수 있습니다. 다음 예제에서와 같이 속성의 `Location`(이)라는 이름이 지정되고 값이 `/sso/saml`(으)로 끝납니다.
```
```
1. IAM 페더레이션 URL의 값을 가져와서를 추가한 `?RelayState=` 다음 Amazon Quick 대시보드의 URL을 추가합니다. `RelayState` 파라미터는 사용자가 인증 URL로 리디렉션되었을 때의 상태(URL)를 전달합니다.
1. 릴레이 상태가 추가된 새 IAM 페더레이션에 Amazon Quick 대시보드의 URL을 추가합니다. 결과는 다음과 비슷해야 합니다.
```
https://dev-1-----0.okta.com/app/amazon_aws/abcdef2hATwiVft645d5/sso/saml?RelayState=https://us-west-2.quicksight.aws.amazon.com/sn/analyses/12a12a2a-121a-212a-121a-abcd12abc1ab
```
1. 생성한 링크가 열리지 않는 경우 `metadata.xml`에서 제공하는 최신 IAM 페더레이션 URL을 사용하고 있는지 확인하십시오. 또한 로그인하는 데 사용하는 사용자 이름이 두 개 이상의 IAM 페더레이션 Okta 앱에 할당되지 않았는지 확인합니다.