기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
IAM Identity Center의 인증 세션 이해
사용자가 AWS 액세스 포털에 로그인하면 IAM Identity Center는 사용자의 확인된 자격 증명을 나타내는 인증 세션을 생성합니다.
인증되면 사용자는 관리자가 추가 로그인 없이 사용할 수 있는 권한을 부여한 모든 할당된 AWS 계정AWS 관리형 애플리케이션 및 고객 관리형 애플리케이션에 액세스할 수 있습니다.
인증 세션 유형
사용자 대화형 세션
사용자가 AWS 액세스 포털에 로그인하면 IAM Identity Center에서 사용자 대화형 세션을 생성합니다. 이 세션은 IAM Identity Center 내에서 사용자의 인증 상태를 나타내며 다른 세션 유형을 생성하기 위한 기반 역할을 합니다. 사용자 대화형 세션은 IAM Identity Center에 구성된 기간 동안 지속될 수 있으며, 최대 90일일 수 있습니다.
사용자 대화형 세션은 기본 인증 메커니즘입니다. 사용자가 로그아웃하거나 관리자가 세션을 종료하면 종료됩니다. 이러한 세션의 기간은 조직의 보안 요구 사항에 따라 신중하게 구성해야 합니다.
사용자 대화형 세션 기간 구성에 대한 자세한 내용은 섹션을 참조하세요IAM Identity Center에서 세션 기간 구성.
애플리케이션 세션
애플리케이션 세션은 IAM Identity Center가 Single Sign-On을 통해 설정하는 사용자와 AWS 관리형 애플리케이션(예: Amazon Q Developer 또는 Amazon Quick Suite) 간의 인증된 연결입니다.
기본적으로 애플리케이션 세션의 수명은 1시간이지만 기본 사용자 대화형 세션이 유효한 한 자동으로 새로 고쳐집니다. 이 새로 고침 메커니즘은 보안 제어를 유지하면서 사용자에게 원활한 환경을 제공합니다. 사용자 로그아웃 또는 관리자 작업을 통해 사용자 대화형 세션이 종료되면 애플리케이션 세션은 일반적으로 30분 이내에 다음 새로 고침 시도 시 종료됩니다.
사용자 배경 세션
사용자 백그라운드 세션은 중단 없이 몇 시간 또는 며칠 동안 프로세스를 실행해야 하는 애플리케이션을 위해 설계된 연장 세션입니다. 현재이 세션 유형은 주로 데이터 과학자가 완료하는 데 많은 시간이 걸리는 기계 학습 훈련 작업을 실행할 수 있는 Amazon SageMaker Studio에 적용됩니다.
사용자 백그라운드 세션 기간 구성에 대한 자세한 내용은 사용자 백그라운드 세션을 참조하세요.
Amazon Q Developer 세션
Amazon Q Developer 세션을 확장하여 IDEs를 사용하는 개발자가 최대 90일 동안 인증을 유지할 수 있도록 할 수 있습니다. 이 기능은 코드로 작업하는 동안 로그인 중단을 줄입니다.
이러한 세션은 다른 세션 유형과 독립적이며 사용자 대화형 세션 또는 기타 AWS 관리형 애플리케이션에 영향을 주지 않습니다. IAM Identity Center를 활성화한 시기에 따라이 기능이 기본적으로 활성화될 수 있습니다.
확장 Amazon Q Developer 세션 구성에 대한 자세한 내용은 섹션을 참조하세요Amazon Q Developer에 대한 확장 세션.
IAM Identity Center에서 생성한 IAM 역할 세션
IAM Identity Center는 사용자가 AWS Management Console 또는에 액세스할 때 다른 유형의 세션을 생성합니다 AWS CLI. 이러한 경우 IAM Identity Center는 로그인 세션을 사용하여 사용자의 권한 세트에 지정된 IAM 역할을 수임하여 IAM 세션을 얻습니다.
중요
애플리케이션 세션과 달리 IAM 역할 세션은 일단 설정되면 독립적으로 작동합니다. 권한 세트에 구성된 기간 동안 지속되며, 원래 로그인 세션의 상태에 관계없이 최대 12시간이 될 수 있습니다. 이 동작은 장기 실행 CLI 작업 또는 콘솔 세션이 예기치 않게 종료되지 않도록 합니다.
IAM Identity Center에서 사용자 세션을 종료하는 방법
사용자 시작
사용자가 AWS 액세스 포털에서 로그아웃하면 로그인 세션이 종료되어 사용자가 새 리소스에 액세스할 수 없습니다.
그러나 기존 애플리케이션 세션은 즉시 종료되지 않습니다. 대신 다음 새로 고침을 시도하고 로그인 세션이 더 이상 유효하지 않은 것을 발견하면 약 30분 이내에 종료됩니다. 기존 IAM 역할 세션은 최대 12시간 후인 권한 세트 구성에 따라 만료될 때까지 계속됩니다.
관리자 시작
일반적으로 IT 관리자 또는 보안 팀 등 조직의 IAM Identity Center 관리 권한이 있는 사람은 누구나 사용자 세션을 종료할 수 있습니다. 이 작업은 사용자가 스스로 로그아웃한 것과 동일한 방식으로 작동하므로 관리자는 필요할 때 사용자에게 다시 로그인하도록 요구할 수 있습니다. 이 기능은 보안 정책이 변경되거나 의심스러운 활동이 감지될 때 유용합니다.
IAM Identity Center 관리자가 사용자를 삭제하거나 사용자의 액세스를 비활성화하면 사용자는 AWS 액세스 포털에 대한 액세스 권한을 상실하고 새 애플리케이션 또는 IAM 역할 세션을 시작하기 위해 다시 로그인할 수 없습니다. 사용자는 30분 이내에 기존 애플리케이션 세션에 액세스할 수 없게 됩니다. 기존 IAM 역할 세션은 IAM Identity Center 권한 세트에 구성된 세션 기간에 따라 계속됩니다. 최대 세션 기간은 12시간입니다.
세션을 종료할 때 사용자 액세스는 어떻게 되나요?
이 참조는 관리 작업을 수행할 때 IAM Identity Center 세션이 작동하는 방식에 대한 자세한 정보를 제공합니다. 이 섹션의 표에는 AWS 액세스 포털, 애플리케이션 및 AWS 계정 세션에 대한 액세스에 대한 사용자 관리 작업 및 권한 변경의 기간과 영향이 나와 있습니다.
사용자 관리
이 표에는 사용자 관리 변경 사항이 AWS 리소스, 애플리케이션 세션 및 AWS 계정 세션에 대한 액세스에 미치는 영향이 요약되어 있습니다.
| 작업 | 사용자가 IAM Identity Center 액세스 권한을 잃음 | 사용자가 새 애플리케이션 세션을 생성할 수 없음 | 사용자가 기존 애플리케이션 세션에 액세스할 수 없음 | 사용자가 기존 AWS 계정 세션에 액세스할 수 없음 |
|---|---|---|---|---|
| 사용자의 액세스가 비활성화됨 | 즉시 적용 | 즉시 적용 | 30분 이내 | 12시간 이내. 기간은 권한 세트에 대해 구성된 IAM 역할 세션 만료 기간에 따라 달라집니다. |
| 사용자 삭제됨 | 즉시 적용 | 즉시 적용 | 30분 이내 | 12시간 이내. 기간은 권한 세트에 대해 구성된 IAM 역할 세션 만료 기간에 따라 달라집니다. |
| 사용자 세션 취소됨 | 다시 액세스하려면 사용자가 다시 로그인해야 합니다. | 즉시 적용 | 30분 이내 | 12시간 이내. 기간은 권한 세트에 대해 구성된 IAM 역할 세션 만료 기간에 따라 달라집니다. |
| 사용자가 로그아웃 | 다시 액세스하려면 사용자가 다시 로그인해야 합니다. | 즉시 적용 | 30분 이내 | 12시간 이내. 기간은 권한 세트에 대해 구성된 IAM 역할 세션 만료 기간에 따라 달라집니다. |
그룹 멤버십
이 표에는 사용자 권한 및 그룹 멤버십의 변경 사항이 AWS 리소스, 애플리케이션 세션 및 AWS 계정 세션에 대한 액세스에 미치는 영향이 요약되어 있습니다.
| 작업 | 사용자가 IAM Identity Center 액세스 권한을 잃음 | 사용자가 새 애플리케이션 세션을 생성할 수 없음 | 사용자가 기존 애플리케이션 세션에 액세스할 수 없음 | 사용자가 기존 AWS 계정 세션에 액세스할 수 없음 |
|---|---|---|---|---|
| 사용자로부터 제거된 애플리케이션 또는 AWS 계정 액세스 | 아니요 - 사용자가 IAM Identity Center에 계속 액세스할 수 있습니다. | 즉시 적용 | 1시간 이내 | 12시간 이내. 기간은 권한 세트에 대해 구성된 IAM 역할 세션 만료 기간에 따라 달라집니다. |
| 애플리케이션이 할당된 그룹에서 제거된 사용자 또는 AWS 계정 | 아니요 - 사용자가 IAM Identity Center에 계속 액세스할 수 있습니다. | 1시간 이내 | 2시간 이내 | 12시간 이내. 기간은 권한 세트에 대해 구성된 IAM 역할 세션 만료 기간에 따라 달라집니다. |
| 그룹에서 제거된 애플리케이션 또는 AWS 계정 액세스 | 아니요 - 사용자가 IAM Identity Center에 계속 액세스할 수 있습니다. | 즉시 적용 | 1시간 이내 | 12시간 이내. 기간은 권한 세트에 대해 구성된 IAM 역할 세션 만료 기간에 따라 달라집니다. |
참고
AWS 액세스 포털 및 에는 해당 그룹에서 사용자를 추가하거나 제거한 후 1시간 이내에 업데이트된 사용자 권한이 반영 AWS CLI 됩니다.
타이밍 차이 이해
-
즉시 적용 - 즉시 재인증이 필요한 작업입니다.
-
30분~2시간 내 - 애플리케이션 세션은 IAM Identity Center에 확인하고 변경 사항을 발견하는 데 시간이 필요합니다.
-
12시간 이내 - IAM 역할 세션은 독립적으로 작동하며 구성된 기간이 만료될 때만 종료됩니다.
단일 로그아웃
IAM Identity Center는 자격 증명 소스 역할을 하는 자격 증명 공급자가 시작한 SAML Single Logout(사용자가 로그아웃할 때 연결된 모든 애플리케이션에서 사용자를 자동으로 로그아웃시키는 프로토콜)을 지원하지 않습니다. 또한 IAM Identity Center를 자격 증명 공급자로 사용하는 SAML 2.0 애플리케이션에는 SAML Single Logout을 보내지 않습니다.
세션 관리 모범 사례
효과적인 세션 관리에는 신중한 구성 및 모니터링이 필요합니다. 조직은 일반적으로 민감한 애플리케이션 및 환경에 더 짧은 기간을 사용하여 보안 요구 사항에 적합한 세션 기간을 구성해야 합니다.
사용자가 역할을 변경하거나 조직을 떠날 때 세션을 종료하는 프로세스를 구현하는 것은 보안 경계를 유지하는 데 필수적입니다. 비정상적인 액세스 패턴, 예상치 못한 로그인 시간 또는 위치, 정상 직무 이외의 리소스에 대한 액세스와 같은 보안 문제를 나타낼 수 있는 비정상적인 동작을 탐지하려면 활성 세션에 대한 정기적인 검토를 보안 모니터링 사례에 통합해야 합니다.
