기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
IAM Identity Center의 인증 세션 이해
사용자가 AWS 액세스 포털에 로그인하면 IAM Identity Center는 사용자의 확인된 자격 증명을 나타내는 인증 세션을 생성합니다.
인증되면 사용자는 관리자가 추가 로그인 없이 사용할 수 있는 권한을 부여한 모든 할당된 AWS 계정AWS 관리형 애플리케이션 및 고객 관리형 애플리케이션에 액세스할 수 있습니다.
인증 세션 유형
사용자 대화형 세션
사용자가 AWS 액세스 포털에 로그인하면 IAM Identity Center는 사용자 대화형 세션을 생성합니다. 이 세션은 IAM Identity Center 내에서 사용자의 인증된 상태를 나타내며 다른 세션 유형을 생성하기 위한 기반 역할을 합니다. 사용자 대화형 세션은 IAM Identity Center에 구성된 기간 동안 지속될 수 있으며, 이 기간은 최대 90일일 수 있습니다.
사용자 대화형 세션은 기본 인증 메커니즘입니다. 사용자가 로그아웃하거나 관리자가 세션을 종료하면 종료됩니다. 이러한 세션의 기간은 조직의 보안 요구 사항에 따라 신중하게 구성해야 합니다.
사용자 대화형 세션 기간 구성에 대한 자세한 내용은 IAM Identity Center에서 세션 지속 시간 구성 섹션을 참조하세요.
애플리케이션 세션
애플리케이션 세션은 IAM Identity Center가 Single Sign-On을 통해 설정하는 사용자 및 AWS 관리형 애플리케이션(예: Amazon Q Developer 또는 Amazon Quick Suite) 간의 인증된 연결입니다.
기본적으로 애플리케이션 세션의 수명은 1시간이지만, 기본 사용자 대화형 세션이 유효한 한 자동으로 새로 고쳐집니다. 이 새로 고침 메커니즘은 보안 제어를 유지하면서 사용자에게 원활한 환경을 제공합니다. 사용자 로그아웃 또는 관리자 작업을 통해 사용자 대화형 세션이 종료되면 애플리케이션 세션은 다음 새로 고침 시도 시 일반적으로 30분 이내에 종료됩니다.
사용자 백그라운드 세션
사용자 백그라운드 세션은 중단 없이 몇 시간 또는 며칠 동안 프로세스를 실행해야 하는 애플리케이션을 위해 설계된 연장 세션입니다. 현재 이 세션 유형은 주로 데이터 과학자가 완료하는 데 많은 시간이 걸리는 기계 학습 훈련 작업을 실행할 수 있는 Amazon SageMaker Studio에 적용됩니다.
사용자 백그라운드 세션 기간 구성에 대한 자세한 내용은 사용자 백그라운드 세션을 참조하세요.
Amazon Q Developer 세션
IDE에서 Amazon Q Developer를 사용하는 개발자가 최대 90일 동안 인증을 유지할 수 있도록 Amazon Q Developer 세션을 확장할 수 있습니다. 이 기능은 코드로 작업하는 동안 로그인 중단을 줄입니다.
이러한 세션은 다른 세션 유형과 독립적이며 사용자 대화형 세션 또는 기타 AWS 관리형 애플리케이션에 영향을 주지 않습니다. 이 기능은 IAM Identity Center를 활성화한 시기에 따라 기본적으로 활성화되어 있을 수 있습니다.
확장된 Amazon Q Developer 세션 구성에 대한 자세한 내용은 Amazon Q Developer 세션 연장 섹션을 참고하세요.
IAM Identity Center로 생성된 IAM 역할 세션
IAM Identity Center는 사용자가 AWS Management 콘솔 또는에 액세스할 때 다른 유형의 세션을 생성합니다 AWS CLI. 이러한 경우 IAM Identity Center는 로그인 세션을 통해 사용자의 권한 세트에 지정된 IAM 역할을 수임하여 IAM 세션을 확보합니다.
중요
애플리케이션 세션과 달리, IAM 역할 세션은 일단 설정되면 독립적으로 작동합니다. 이는 권한 세트에 구성된 기간 동안 지속되며, 원래 로그인 세션의 상태와 관계없이 최대 12시간 동안 지속될 수 있습니다. 이 동작은 장기 실행 CLI 작업 또는 콘솔 세션이 예기치 않게 종료되지 않도록 보장합니다.
IAM Identity Center에서 사용자 세션을 종료하는 방법
사용자 시작
사용자가 AWS 액세스 포털에서 로그아웃하면 로그인 세션이 종료되어 사용자가 새 리소스에 액세스할 수 없습니다.
그러나 기존 애플리케이션 세션은 즉시 종료되지 않습니다. 대신, 다음번 새로 고침을 시도하고 로그인 세션이 더 이상 유효하지 않은 것을 알게 되면 약 30분 이내에 종료됩니다. 기존 IAM 역할 세션은 권한 세트 구성에 따라 만료될 때까지 계속됩니다(최대 12시간).
관리자 시작
조직 내 IAM Identity Center 관리 권한이 있는 사용자, 일반적으로 IT 관리자 또는 보안 팀은 사용자의 세션을 종료할 수 있습니다. 이 작업은 사용자가 스스로 로그아웃한 것과 동일한 방식으로 작동하므로 관리자는 필요한 경우 사용자에게 다시 로그인하도록 요구할 수 있습니다. 이 기능은 보안 정책이 변경되거나 의심스러운 활동이 감지될 때 유용합니다.
IAM Identity Center 관리자가 사용자를 삭제하거나 사용자의 액세스를 비활성화하는 경우 사용자는 AWS 액세스 포털에 대한 액세스 권한을 상실하고 새 애플리케이션 또는 IAM 역할 세션을 시작하기 위해 다시 로그인할 수 없습니다. 사용자는 30분 이내에 기존 애플리케이션 세션에 대한 액세스 권한을 잃게 됩니다. 기존의 모든 IAM 역할 세션은 IAM Identity Center 권한 세트에 구성된 세션 기간에 따라 지속됩니다. 최대 세션 기간은 12시간 일 수 있습니다.
관리자가 세션을 종료하는 경우 사용자 액세스는 어떻게 되나요?
이 참조는 관리 작업을 수행할 때 IAM Identity Center 세션이 작동하는 방식에 대한 자세한 정보를 제공합니다. 이 섹션의 표에는 AWS 액세스 포털, 애플리케이션 및 AWS 계정 세션에 대한 액세스에 대한 사용자 관리 작업 및 권한 변경의 기간과 영향이 나와 있습니다.
사용자 관리
이 표에는 사용자 관리 변경 사항이 AWS 리소스, 애플리케이션 세션 및 AWS 계정 세션에 대한 액세스에 미치는 영향이 요약되어 있습니다.
| 작업 | 사용자가 IAM Identity Center에 액세스할 수 없음 | 사용자가 새 애플리케이션 세션을 생성할 수 없음 | 사용자가 기존 애플리케이션 세션에 액세스할 수 없음 | 사용자가 기존 AWS 계정 세션에 액세스할 수 없음 |
|---|---|---|---|---|
| 사용자의 액세스가 비활성화됨 | 즉시 적용 | 즉시 적용 | 30분 이내 | 12시간 이내. 기간은 권한 세트에 대해 구성된 IAM 역할 세션 만료 기간에 따라 달라집니다. |
| 사용자가 삭제됨 | 즉시 적용 | 즉시 적용 | 30분 이내 | 12시간 이내. 기간은 권한 세트에 대해 구성된 IAM 역할 세션 만료 기간에 따라 달라집니다. |
| 사용자 세션이 취소됨 | 다시 액세스하려면 사용자가 다시 로그인해야 함 | 즉시 적용 | 30분 이내 | 12시간 이내. 기간은 권한 세트에 대해 구성된 IAM 역할 세션 만료 기간에 따라 달라집니다. |
| 사용자 로그아웃 | 다시 액세스하려면 사용자가 다시 로그인해야 함 | 즉시 적용 | 30분 이내 | 12시간 이내. 기간은 권한 세트에 대해 구성된 IAM 역할 세션 만료 기간에 따라 달라집니다. |
그룹 멤버십
이 표에는 사용자 권한 및 그룹 멤버십의 변경 사항이 AWS 리소스, 애플리케이션 세션 및 AWS 계정 세션에 대한 액세스에 미치는 영향이 요약되어 있습니다.
| 작업 | 사용자가 IAM Identity Center에 액세스할 수 없음 | 사용자가 새 애플리케이션 세션을 생성할 수 없음 | 사용자가 기존 애플리케이션 세션에 액세스할 수 없음 | 사용자가 기존 AWS 계정 세션에 액세스할 수 없음 |
|---|---|---|---|---|
| 사용자로부터 제거된 애플리케이션 또는 AWS 계정 액세스 | 아니요 - 사용자가 IAM Identity Center에 계속 액세스할 수 있음 | 즉시 적용 | 1시간 이내 | 12시간 이내. 기간은 권한 세트에 대해 구성된 IAM 역할 세션 만료 기간에 따라 달라집니다. |
| 애플리케이션 또는 AWS 계정이 할당된 그룹에서 사용자가 제거됨 | 아니요 - 사용자가 IAM Identity Center에 계속 액세스할 수 있음 | 1시간 이내 | 2시간 이내 | 12시간 이내. 기간은 권한 세트에 대해 구성된 IAM 역할 세션 만료 기간에 따라 달라집니다. |
| 그룹에서 제거된 애플리케이션 또는 AWS 계정 액세스 | 아니요 - 사용자가 IAM Identity Center에 계속 액세스할 수 있음 | 즉시 적용 | 1시간 이내 | 12시간 이내. 기간은 권한 세트에 대해 구성된 IAM 역할 세션 만료 기간에 따라 달라집니다. |
참고
AWS 액세스 포털 및 에는 해당 그룹에서 사용자를 추가하거나 제거한 후 1시간 이내에 업데이트된 사용자 권한이 반영 AWS CLI 됩니다.
타이밍 차이 이해
-
즉시 적용 - 즉시 재인증이 필요한 작업입니다.
-
30분~2시간 이내 - 애플리케이션 세션은 IAM Identity Center에 확인하고 변경 사항을 발견하는 데 시간이 필요합니다.
-
12시간 이내 - IAM 역할 세션은 독립적으로 작동하며 구성된 기간이 만료될 때만 종료됩니다.
단일 로그아웃
IAM Identity Center는 자격 증명 소스 역할을 하는 자격 증명 공급자가 시작한 SAML Single Logout(사용자가 로그아웃할 때 연결된 모든 애플리케이션에서 사용자를 자동으로 로그아웃시키는 프로토콜)을 지원하지 않습니다. 또한 IAM Identity Center를 자격 증명 공급자로 사용하는 SAML 2.0 애플리케이션에는 SAML Single Logout을 전송하지 않습니다.
세션 관리 모범 사례
효과적인 세션 관리에는 신중한 구성 및 모니터링이 필요합니다. 조직은 일반적으로 민감한 애플리케이션 및 환경에 더 짧은 기간을 사용하여 보안 요구 사항에 적합한 세션 기간을 구성해야 합니다.
사용자가 역할을 변경하거나 조직을 떠날 때 세션을 종료하는 프로세스를 구현하는 것은 보안 경계를 유지하는 데 필수적입니다. 비정상적인 액세스 패턴, 예상치 못한 로그인 시간 또는 위치, 정상 직무 이외의 리소스에 대한 액세스 등 보안 문제를 나타낼 수 있는 비정상적인 동작을 탐지하려면 활성 세션에 대한 정기적인 검토를 보안 모니터링 사례에 통합해야 합니다.
