자동 프로비저닝된 리소스 감사 및 조정 - AWS IAM Identity Center
리소스를 감사하는 이유는 무엇인가요?리소스 감사 방법고려 사항

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

자동 프로비저닝된 리소스 감사 및 조정

SCIM은 ID 소스에서 IAM Identity Center로 사용자, 그룹, 그룹 멤버십을 자동으로 프로비저닝할 수 있도록 지원합니다. 이 안내서는 이러한 리소스를 확인하고 조정하여 정확한 동기화를 유지하는 데 도움을 줍니다.

리소스를 감사하는 이유는 무엇인가요?

정기적인 감사는 액세스 제어를 정확하게 유지하고 ID 제공업체(IdP)가 IAM Identity Center와 올바르게 동기화를 유지하는 데 도움을 줍니다. 이는 보안 규정 준수 및 액세스 관리에 있어 특히 중요합니다.

감사 가능한 리소스:

  • Users

  • Groups

  • 그룹 멤버십

AWS Identity Store APIs 또는 CLI 명령을 사용하여 감사 및 조정을 수행할 수 있습니다. 다음 예제에서는 AWS CLI 명령을 사용합니다. API를 사용한 대안은 아이덴티티 스토어 API 참조해당 작업을 참조하세요.

리소스 감사 방법

다음은 AWS CLI 명령을 사용하여 이러한 리소스를 감사하는 방법에 대한 예제입니다.

시작하기 전에 다음을 갖추었는지 확인하세요.

  • IAM Identity Center에 대한 관리자 액세스 권한.

  • AWS CLI 가 설치 및 구성되었습니다. 자세한 내용은 AWS 명령줄 인터페이스 사용 설명서를 참조하세요.

  • 아이덴티티 스토어 명령에 필요한 IAM 권한.

1단계: 현재 리소스 나열

를 사용하여 현재 리소스를 볼 수 있습니다 AWS CLI.

참고

를 사용할 때를 지정하지 않으면 AWS CLI페이지 매김이 자동으로 처리됩니다--no-paginate. API를 직접 호출하는 경우(예: SDK 또는 사용자 지정 스크립트 사용) 응답의 NextToken을 처리해야 합니다. 이렇게 하면 여러 페이지에 걸친 모든 결과를 검색할 수 있습니다.

예 사용자
aws identitystore list-users \
  --region REGION \
  --identity-store-id IDENTITY_STORE_ID
예 그룹
aws identitystore list-groups \
  --region REGION \
  --identity-store-id IDENTITY_STORE_ID
예 그룹 멤버십
aws identitystore list-group-memberships \
  --region REGION \
  --identity-store-id IDENTITY_STORE_ID
  --group-id GROUP_ID

2단계: ID 소스와 비교

나열된 리소스를 ID 소스와 비교하여 다음과 같은 불일치를 식별합니다.

  • IAM Identity Center에서 프로비저닝해야 하는 리소스 누락.

  • IAM Identity Center에서 제거해야 하는 추가 리소스.

예 사용자
# Create missing users
aws identitystore create-user \
  --identity-store-id IDENTITY_STORE_ID \
  --user-name USERNAME \
  --display-name DISPLAY_NAME \
  --name GivenName=FIRST_NAME,FamilyName=LAST_NAME \
  --emails Value=EMAIL,Primary=true

# Delete extra users
aws identitystore delete-user \
  --identity-store-id IDENTITY_STORE_ID \
  --user-id USER_ID
예 그룹
# Create missing groups
aws identitystore create-group \
  --identity-store-id IDENTITY_STORE_ID \
  [group attributes]
  
# Delete extra groups
aws identitystore delete-group \
  --identity-store-id IDENTITY_STORE_ID \
  --group-id GROUP_ID
예 그룹 멤버십
# Add missing members
aws identitystore create-group-membership \
  --identity-store-id IDENTITY_STORE_ID \
  --group-id GROUP_ID \
  --member-id '{"UserId": "USER_ID"}'
  
# Remove extra members
aws identitystore delete-group-membership \
  --identity-store-id IDENTITY_STORE_ID \
  --membership-id MEMBERSHIP_ID

고려 사항

  • 명령에는 서비스 할당량과 API 스로틀링이 적용됩니다.

  • 조정 중에 많은 차이가 발견되면 AWS Identity Store를 작고 점진적으로 변경합니다. 이렇게 하면 여러 사용자에게 영향을 미치는 실수를 방지하는 데 도움이 됩니다.

  • SCIM 동기화는 수동 변경 사항을 재정의할 수 있습니다. 이 동작을 이해하려면 IdP 설정을 확인하세요.