IAM Identity Center를 추가 리전에 복제 - AWS IAM Identity Center
1단계: 복제본 키 생성2단계: 리전 추가3단계: 외부 IdP 설정 업데이트4단계: 방화벽 및 게이트웨이 허용 목록 확인5단계: 사용자에게 정보 제공첫 번째 리전 추가 이후 리전 변경복제되는 데이터는 무엇입니까?

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

IAM Identity Center를 추가 리전에 복제

환경이 사전 조건을 충족하는 경우 아래 단계에 따라 IAM Identity Center 인스턴스를 추가 리전에 복제합니다.

1단계: 추가 리전에서 복제본 키 생성

IAM Identity Center를 리전에 복제하기 전에 먼저 해당 리전에서 고객 관리형 KMS 키의 복제본 키를 생성하고 IAM Identity Center 운영에 필요한 권한으로 복제본 키를 구성해야 합니다. 다중 리전 복제본 키 생성에 대한 지침은 다중 리전 복제본 키 생성을 참조하세요.

KMS 키 권한에 권장되는 접근 방식은 기본 키에서 키 정책을 복사하는 것입니다. 기본 키는 기본 리전의 IAM Identity Center에 이미 설정된 것과 동일한 권한을 부여합니다. 또는 리전별 키 정책을 정의할 수 있지만,이 접근 방식은 리전 간 권한 관리의 복잡성을 높이고 향후 정책을 업데이트할 때 추가 조정이 필요할 수 있습니다.

참고

AWS KMS 는 다중 리전 KMS 키의 리전 간에 KMS 키 정책을 동기화하지 않습니다. KMS 키 리전 간에 KMS 키 정책을 동기화된 상태로 유지하려면 각 리전에서 변경 사항을 개별적으로 적용해야 합니다.

2단계: IAM Identity Center에서 리전 추가

IAM Identity Center에 리전을 추가하면 해당 리전에 대한 IAM Identity Center 데이터의 자동 및 비동기 복제가 트리거됩니다. 다음은 AWS Management Console 및에서이 작업을 수행하는 지침입니다. AWS CLI

Console

리전을 추가하려면

  1. IAM Identity Center 콘솔을 엽니다.

  2. 탐색 창에서 설정을 선택합니다.

  3. [Management] 탭을 선택한 후

  4. IAM Identity Center의 리전 섹션에서 리전 추가를 선택합니다.

  5. AWS 리전 복제에 사용 가능한 섹션에서 원하는 항목을 선택합니다 AWS 리전. 리전이 목록에 표시되지 않으면 KMS 키가 복제되지 않았기 때문에 복제할 수 없습니다. 자세한 내용은 IAM Identity Center에서 고객 관리형 KMS 키 구현을 참조하세요.

  6. 리전 추가를 선택합니다.

  7. IAM Identity Center의 리전 섹션에서 리전 상태를 모니터링합니다. 새로 고침 버튼(원형 화살표)을 사용하여 필요에 따라 최신 리전 상태를 확인합니다. 복제가 완료되면 2단계로 진행합니다.

AWS CLI

리전을 추가하려면 

aws sso-admin add-region \
    --instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
    --region-name eu-west-1

현재 리전 상태를 확인하려면 

aws sso-admin describe-region \
    --instance-arn arn:aws:sso:::instance/ssoins-1234567890abcdef \
    --region-name eu-west-1

리전 상태가 ACTIVE이면 2단계로 진행할 수 있습니다.

추가 리전으로의 초기 복제 기간은 IAM Identity Center 인스턴스의 데이터 양에 따라 달라집니다. 후속 증분 변경 사항은 대부분의 경우 몇 초 내에 복제됩니다.

3단계: 외부 IdP 설정 업데이트

다음 단계는의 외부 IdP에 IAM Identity Center의 ID 소스 자습서 대한 자습서를 따릅니다.

3.a단계: 외부 IdP에 어설션 소비자 서비스(ACS) URLs 추가

이 단계에서는 각 추가 리전에 직접 로그인할 수 있으며 해당 리전에 배포된 AWS 관리형 애플리케이션에 로그인하고 해당 리전을 AWS 계정통해에 액세스하려면 필요합니다. ACS URLs기본 및 추가의 ACS 엔드포인트 AWS 리전.

3.b단계(선택 사항): 외부 IdP 포털에서를 AWS 액세스 포털 사용할 수 있도록 설정

추가 리전 AWS 액세스 포털 의를 외부 IdP 포털에서 북마크 앱으로 사용할 수 있도록 합니다. 북마크 앱에는 원하는 대상에 대한 링크(URL)만 포함되며 브라우저 북마크와 유사합니다. IAM Identity Center AWS 액세스 포털 URLs의 리전 섹션에서 AWS 액세스 포털 URLs에서 URL을 찾을 수 있습니다. 자세한 내용은 AWS 액세스 포털 기본 및 추가의 엔드포인트 AWS 리전 단원을 참조하십시오.

IAM Identity Center는 각 추가 리전에서 IdP 시작 SAML SSO를 지원하지만 외부 IdPs 일반적으로 단일 ACS URL에서만 이를 지원합니다. 연속성을 위해 기본 리전의 ACS URL을 IdP 시작 SAML SSO에 사용하고 북마크 앱과 브라우저 북마크를 사용하여 추가 리전에 액세스하는 것이 좋습니다.

4단계: 방화벽 및 게이트웨이 허용 목록 확인

방화벽 또는 게이트웨이에서 도메인 허용 목록을 검토하고 문서화된 허용 목록에 따라 업데이트합니다.

5단계: 사용자에게 정보 제공

사용자에게 추가 리전의 AWS 액세스 포털 URL 및 추가 리전 사용 방법을 포함하여 새 설정에 대한 정보를 제공합니다. 관련 세부 정보는 다음 섹션을 검토하세요.

첫 번째 리전 추가 이후 리전 변경

추가 리전을 추가 및 제거할 수 있습니다. 전체 IAM Identity Center 인스턴스를 삭제하는 것 외에는 기본 리전을 제거할 수 없습니다. 리전 제거에 대한 자세한 내용은 섹션을 참조하세요IAM Identity Center에서 리전 제거.

추가 리전을 기본 리전으로 승격하거나 기본 리전을 추가 리전으로 강등할 수 없습니다.

복제되는 데이터는 무엇입니까?

IAM Identity Center는 다음 데이터를 복제합니다.

데이터 복제 소스 및 대상
직원 자격 증명(사용자, 그룹, 그룹 멤버십) 기본 리전에서 추가 리전으로
사용자 및 그룹에 대한 권한 세트 및 할당 기본 리전에서 추가 리전으로
구성(예: 외부 IdP SAML 설정) 기본 리전에서 추가 리전으로
사용자 및 그룹에 대한 애플리케이션 메타데이터 및 애플리케이션 할당 애플리케이션의 연결된 IAM Identity Center 리전에서 활성화된 다른 리전으로
신뢰할 수 있는 토큰 발급자 기본 리전에서 추가 리전으로
세션 세션의 발신 리전에서 활성화된 다른 리전으로
참고

IAM Identity Center는 AWS 관리형 애플리케이션에 저장된 데이터를 복제하지 않습니다. 또한 애플리케이션 배포의 리전 공간도 변경되지 않습니다. 예를 들어 미국 동부(버지니아 북부)의에 있는 IAM Identity Center 인스턴스가 동일한 리전에 Amazon Redshift를 배포한 경우 IAM Identity Center를 미국 서부(오레곤)로 복제해도 Amazon Redshift의 배포 리전과 해당 인스턴스에 저장된 데이터에 영향을 주지 않습니다.

고려 사항:

  • 활성화된 리전의 글로벌 리소스 식별자 - 사용자, 그룹, 권한 세트 및 기타 리소스는 활성화된 리전에서 동일한 식별자를 갖습니다.

  • 복제는 프로비저닝된 IAM 역할에 영향을 주지 않음 - 권한 세트 할당에서 프로비저닝된 기존 IAM 역할은 활성화된 모든 리전에서 계정 로그인 중에 사용됩니다.

  • 복제에는 KMS 사용 요금이 발생하지 않음 - 추가 리전으로 데이터를 복제해도 KMS 사용 요금이 발생하지 않습니다.