🔐 Active Directory (AD), LDAP
- 회사 내부에서 직원들의 로그인 정보와 권한을 관리하는 시스템
- LDAP은 사용자 정보를 트리 구조로 저장하는 "디렉터리 시스템"
- AD는 LDAP을 기반으로 한 마이크로소프트의 인증 시스템
→ ✅ "회사 계정 로그인 시스템"이라고 이해하면 됨
→ ✅ AWS 입장에서는 외부 사용자 인증 시스템
🧾 IAM 자격 증명 공급자 (Identity Provider)
- AWS가 외부 인증 시스템을 신뢰하고 등록하는 설정
- IAM이 외부 인증 시스템으로부터 자격 증명을 공급받는 것이 가능하게 해줌
- SAML 2.0 기반 인증 시스템(AD, Okta 등)을 등록하면, 해당 시스템에서 인증된 사용자에게 IAM 역할(Role)을 맡게 할 수 있음
🪪 STS (AWS Security Token Service)
- 외부 인증이 끝난 사용자에게 임시 보안 자격 증명을 발급해주는 AWS 서비스
- 이 임시 토큰을 가지고 AWS 리소스에 접근 가능
- STS를 발급 받으면, IAM 사용자 없이도 리소스 접근 가능
🌐 페더레이션 (Federation)
- 외부 인증 시스템의 사용자에게 AWS 리소스를 임시로 사용할 수 있게 해주는 방식
- IAM 자격 증명 공급자 + STS 를 함께 사용
→ ✅ 회사 계정으로 로그인 → AWS 접근 가능 (SSO 기반 접근)
✅ 예시 시나리오
위 개념들을 이해하고 나면, 싱글사인온 기반으로 AWS 리소스에 접근하는 방식에 대해 이해할 수 있다. 예를 들어 아래와 같은 요구사항이 있을 수 있다.
"회사는 직원들이 AWS에 별도로 로그인하지 않고도 사내 계정(AD 또는 LDAP)을 통해 Amazon S3와 같은 AWS 리소스에 접근할 수 있도록 하고자 한다. 또한, 모든 직원이 S3 내에서 자신의 개인 폴더에만 접근할 수 있도록 권한을 세분화하고자 한다. "
이를 위해 먼저 회사의 인증 시스템을 AWS에 IAM 자격 증명 공급자(Identity Provider)로 등록한다.
➡️ 이때 일반적으로 SAML 2.0 기반 인증 시스템(예: AD FS, Okta 등)이 사용된다.
직원이 회사 계정으로 로그인하면, 해당 인증 시스템은 SAML 인증 토큰을 생성한다. 이 토큰은 AWS로 전달되며, AWS는 IAM 자격 증명 공급자를 통해 이 토큰의 유효성을 검증한다. 검증이 완료되면, AWS Security Token Service(STS)가 해당 사용자에게 임시 보안 자격 증명(temporary security credentials)을 발급한다.
사용자는 이 임시 자격 증명을 이용해 AWS 리소스에 접근할 수 있으며, 사전에 설정된 IAM 역할(Role)에 따라 S3 내 자신의 폴더에만 접근할 수 있도록 제한할 수 있다. 이 방식은 IAM 사용자를 따로 생성하지 않아도 되므로 관리가 용이하고, 회사의 SSO 환경과도 자연스럽게 통합된다.
'AWS' 카테고리의 다른 글
| OLTP vs OLAP - 목적에 맞는 데이터베이스 선택 (0) | 2025.05.29 |
|---|---|
| VPC ↔ 온프레미스 DNS 쿼리, Inbound와 Outbound Endpoint로 해결하기 (0) | 2025.05.28 |
| EC2 스왑 공간 모니터링: CloudWatch Agent와 기본 지표의 차이 (0) | 2025.05.26 |
| Auto Scaling 그룹의 EC2 인스턴스에서 유지 보수 작업할 때 권장되는 처리 방식 (0) | 2025.05.25 |
| Amazon MQ란? SNS, SQS와의 차이와 선택 기준 정리 (0) | 2025.05.24 |