SAML을 통해 Google 계정으로 AWS 관리 콘솔 SSO에 로그인
개막사
AWS는 IAM User와 같은 사용자 관리 기능을 갖추고 있으며, AWS 계정 내에서도 사용자 관리를 할 수 있다.
다만 G서킷을 사용하는 환경에서 구성원이 늘어날 때 구글 계정을 발행하고 AWS IAM 사용자를 발행하면 노동시간이 발생함에 따라 유출 위험도 높아진다.
따라서 SSO를 통해 Google 계정으로 AWS 계정에 로그인해 봅니다.
AWS와 Google(G Suite)은 SAML을 통해 이를 쉽게 구현할 수 있습니다.
여기의 상세한 설명은 잠시 접어두고SAML 환경은 IdP(관장 인증)와 SP(서비스 제공)로 구성되어 있다.
여기서 G Suite는 IdP이고 AWS는 SP입니다.
구성도로서 AWS 문서의 SSO와 관련된 여러 곳에서 볼 수 있으며 다음은 간단하고 이해하기 쉽다.
또한 그림에는 "AWS SSO Endpoint"표시가 있지만 이번 단계에서는 "AWS SSO"를 사용하지 않습니다.
보다 세부적인 제어가 필요한 경우 "AWS SSO"(최종 요약도 기재)를 사용합니다.
선언2
대체로 이 사이트의 절차에 따라 실현할 수 있다.다만, 현재(2020년 8월 10일) 환경에 차이가 있기 때문에 단계별로 진행할 때 주의사항을 보완해 다음 단계를 기재해야 한다.
https://support.google.com/a/answer/6194963?hl=en
한 걸음 한 걸음 보충 요점
Before you begin
다음 단계에서 태그에 대한 링크가 없습니다.
그러나 사용자 목록의 오른쪽 위 모서리에 있는 "More"에서는 "Manage Custom Attribute"라는 두 링크가 혼합된 링크에서 단계를 수행할 수 있습니다.
3 At the top of Users list, click Manage user attributes User attributes.
4 At the top right, click Add Custom Attribute.
이런 면에서는 다소 차이가 있지만 구글에만 국한된 것이 아니라 웹 UI의 태그도 공식적인 스텝북과 다르게 미묘하게 업데이트됐다.
Step 4: Enable the Amazon Web Services app
솔직히 영어로 읽든 일본어로 읽든 여기 쓴 글은 언어로 이해하기 어렵다.
또 이 점만으로는 5단계 검증을 통과하기에는 부족하다.
인증할 사용자(Chrome를 사용한 경우 로그인 중인 사용자 계정)에 역할을 설정해야 합니다(6단계 준비에 해당).
2단계 AWS 측에서 준비한 캐릭터군(※)의 등장이다.
(※) 다음 두 가지 형태.
- arn:aws:iam::ACCOUNT_NUMBER:role/SSO
- arn:aws:iam::ACCOUNT_NUMBER:saml-provider/GoogleApps
G Suite의 사용자 목록 테이블에서 인증할 사용자 링크를 엽니다.
"User Information"을 열면 "Amazon"이라는 항목이 표시됩니다.또한 이 때 Role은 설정되지 않은 상태일 수 있습니다.
이 역할을 편집하고 두 번째 단계에서 만든 두 역할 ARN을 쉼표 구분자로 설정합니다.
따라서 5단계 검증 및 Google Apps에서 AWS 관리 콘솔에 로그인할 가능성이 커집니다.)
총결산
저는 개인적으로 사용자에게 캐릭터를 설정하는 것은 함정이라고 생각합니다. 이외의 절차는 모두 예의가 바르고SAML과 SSO에 대해 잘 이해하지 못하더라도 제목을 실현할 수 있지만 SSO의 구조는 스스로 조작해서 깊이 이해할 수 있다고 생각합니다.
이번 조치는 AWS 계정과 Google 계정이 각각 설정한 것입니다.
여러 AWS 계정 처리, 가입자 수 증가 등은 비즈니스 성장 과정에서 엄격해진다.
AWS SSO 등을 활용하는 메커니즘을 구축할 필요가 있다.
그리고 그 방면의 기사를 썼으면 좋겠다고 생각합니다.
Reference
이 문제에 관하여(SAML을 통해 Google 계정으로 AWS 관리 콘솔 SSO에 로그인), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/Hiroyama-Yutaka/items/580636f904c204ba149c
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
대체로 이 사이트의 절차에 따라 실현할 수 있다.다만, 현재(2020년 8월 10일) 환경에 차이가 있기 때문에 단계별로 진행할 때 주의사항을 보완해 다음 단계를 기재해야 한다.
https://support.google.com/a/answer/6194963?hl=en
한 걸음 한 걸음 보충 요점
Before you begin
다음 단계에서 태그에 대한 링크가 없습니다.
그러나 사용자 목록의 오른쪽 위 모서리에 있는 "More"에서는 "Manage Custom Attribute"라는 두 링크가 혼합된 링크에서 단계를 수행할 수 있습니다.
3 At the top of Users list, click Manage user attributes User attributes.
4 At the top right, click Add Custom Attribute.
이런 면에서는 다소 차이가 있지만 구글에만 국한된 것이 아니라 웹 UI의 태그도 공식적인 스텝북과 다르게 미묘하게 업데이트됐다.
Step 4: Enable the Amazon Web Services app
솔직히 영어로 읽든 일본어로 읽든 여기 쓴 글은 언어로 이해하기 어렵다.
또 이 점만으로는 5단계 검증을 통과하기에는 부족하다.
인증할 사용자(Chrome를 사용한 경우 로그인 중인 사용자 계정)에 역할을 설정해야 합니다(6단계 준비에 해당).
2단계 AWS 측에서 준비한 캐릭터군(※)의 등장이다.
(※) 다음 두 가지 형태.
- arn:aws:iam::ACCOUNT_NUMBER:role/SSO
- arn:aws:iam::ACCOUNT_NUMBER:saml-provider/GoogleApps
G Suite의 사용자 목록 테이블에서 인증할 사용자 링크를 엽니다.
"User Information"을 열면 "Amazon"이라는 항목이 표시됩니다.또한 이 때 Role은 설정되지 않은 상태일 수 있습니다.
이 역할을 편집하고 두 번째 단계에서 만든 두 역할 ARN을 쉼표 구분자로 설정합니다.
따라서 5단계 검증 및 Google Apps에서 AWS 관리 콘솔에 로그인할 가능성이 커집니다.)
총결산
저는 개인적으로 사용자에게 캐릭터를 설정하는 것은 함정이라고 생각합니다. 이외의 절차는 모두 예의가 바르고SAML과 SSO에 대해 잘 이해하지 못하더라도 제목을 실현할 수 있지만 SSO의 구조는 스스로 조작해서 깊이 이해할 수 있다고 생각합니다.
이번 조치는 AWS 계정과 Google 계정이 각각 설정한 것입니다.
여러 AWS 계정 처리, 가입자 수 증가 등은 비즈니스 성장 과정에서 엄격해진다.
AWS SSO 등을 활용하는 메커니즘을 구축할 필요가 있다.
그리고 그 방면의 기사를 썼으면 좋겠다고 생각합니다.
Reference
이 문제에 관하여(SAML을 통해 Google 계정으로 AWS 관리 콘솔 SSO에 로그인), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/Hiroyama-Yutaka/items/580636f904c204ba149c
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
저는 개인적으로 사용자에게 캐릭터를 설정하는 것은 함정이라고 생각합니다. 이외의 절차는 모두 예의가 바르고SAML과 SSO에 대해 잘 이해하지 못하더라도 제목을 실현할 수 있지만 SSO의 구조는 스스로 조작해서 깊이 이해할 수 있다고 생각합니다.
이번 조치는 AWS 계정과 Google 계정이 각각 설정한 것입니다.
여러 AWS 계정 처리, 가입자 수 증가 등은 비즈니스 성장 과정에서 엄격해진다.
AWS SSO 등을 활용하는 메커니즘을 구축할 필요가 있다.
그리고 그 방면의 기사를 썼으면 좋겠다고 생각합니다.
Reference
이 문제에 관하여(SAML을 통해 Google 계정으로 AWS 관리 콘솔 SSO에 로그인), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/Hiroyama-Yutaka/items/580636f904c204ba149c텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)