기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 자동 프로비저닝된 리소스 감사 및 조정
SCIM은 ID 소스에서 IAM Identity Center로 사용자, 그룹, 그룹 멤버십을 자동으로 프로비저닝할 수 있도록 지원합니다. 이 안내서는 이러한 리소스를 확인하고 조정하여 정확한 동기화를 유지하는 데 도움을 줍니다.
## 리소스를 감사하는 이유는 무엇인가요?
정기적인 감사는 액세스 제어를 정확하게 유지하고 ID 제공업체(IdP)가 IAM Identity Center와 올바르게 동기화를 유지하는 데 도움을 줍니다. 이는 보안 규정 준수 및 액세스 관리에 있어 특히 중요합니다.
감사 가능한 리소스:
+ Users
+ 그룹
+ 그룹 멤버십
AWS Identity Store [APIs](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html) 또는 [CLI 명령을](https://docs.aws.amazon.com/cli/latest/reference/identitystore/) 사용하여 감사 및 조정을 수행할 수 있습니다. 다음 예제에서는 AWS CLI 명령을 사용합니다. API를 사용한 대안은 *아이덴티티 스토어 API 참조*의 [해당 작업](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_Operations.html)을 참조하세요.
## 리소스 감사 방법
다음은 AWS CLI 명령을 사용하여 이러한 리소스를 감사하는 방법에 대한 예제입니다.
시작하기 전에 다음을 갖추었는지 확인하세요.
+ IAM Identity Center에 대한 관리자 액세스 권한.
+ AWS CLI 가 설치 및 구성되었습니다. 자세한 내용은 [https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)를 참조하세요.
+ 아이덴티티 스토어 명령에 필요한 IAM 권한.
### 1단계: 현재 리소스 나열
를 사용하여 현재 리소스를 볼 수 있습니다 AWS CLI.
**참고**
를 사용할 때를 지정하지 않으면 AWS CLI페이지 매김이 자동으로 처리됩니다`--no-paginate`. API를 직접 호출하는 경우(예: SDK 또는 사용자 지정 스크립트 사용) 응답의 `NextToken`을 처리해야 합니다. 이렇게 하면 여러 페이지에 걸친 모든 결과를 검색할 수 있습니다.
**Example 사용자**
```
aws identitystore list-users \
--region {{REGION}} \
--identity-store-id {{IDENTITY_STORE_ID}}
```
**Example 그룹**
```
aws identitystore list-groups \
--region {{REGION}} \
--identity-store-id {{IDENTITY_STORE_ID}}
```
**Example 그룹 멤버십**
```
aws identitystore list-group-memberships \
--region {{REGION}} \
--identity-store-id {{IDENTITY_STORE_ID}}
--group-id {{GROUP_ID}}
```
### 2단계: ID 소스와 비교
나열된 리소스를 ID 소스와 비교하여 다음과 같은 불일치를 식별합니다.
+ IAM Identity Center에서 프로비저닝해야 하는 리소스 누락.
+ IAM Identity Center에서 제거해야 하는 추가 리소스.
**Example 사용자**
```
# Create missing users
aws identitystore create-user \
--identity-store-id {{IDENTITY_STORE_ID }}\
--user-name {{USERNAME}} \
--display-name {{DISPLAY_NAME}} \
--name GivenName={{FIRST_NAME}},FamilyName={{LAST_NAME}} \
--emails Value={{EMAIL}},Primary=true
# Delete extra users
aws identitystore delete-user \
--identity-store-id {{IDENTITY_STORE_ID}} \
--user-id {{USER_ID}}
```
**Example 그룹**
```
# Create missing groups
aws identitystore create-group \
--identity-store-id {{IDENTITY_STORE_ID}} \
{{[group attributes]}}
# Delete extra groups
aws identitystore delete-group \
--identity-store-id {{IDENTITY_STORE_ID }}\
--group-id {{GROUP_ID}}
```
**Example 그룹 멤버십**
```
# Add missing members
aws identitystore create-group-membership \
--identity-store-id {{IDENTITY_STORE_ID}} \
--group-id {{GROUP_ID}} \
--member-id '{"UserId": "{{USER_ID}}"}'
# Remove extra members
aws identitystore delete-group-membership \
--identity-store-id {{IDENTITY_STORE_ID}} \
--membership-id {{MEMBERSHIP_ID}}
```
## 고려 사항
+ 명령에는 [서비스 할당량과 API 스로틀링](limits.md#ssothrottlelimits)이 적용됩니다.
+ 조정 중에 많은 차이가 발견되면 AWS Identity Store를 작고 점진적으로 변경합니다. 이렇게 하면 여러 사용자에게 영향을 미치는 실수를 방지하는 데 도움이 됩니다.
+ SCIM 동기화는 수동 변경 사항을 재정의할 수 있습니다. 이 동작을 이해하려면 IdP 설정을 확인하세요.