Question

외부 SSO사용으로 인하여 일부 권한의 이슈가 있어 AWS SSO로 변경 예정

  1. 외부 IDP에서 AWS SSO 로 자격 증명 소스 변경 시, Root 권한은 필요 없는지?

  2. 자격 증명 소스가 변경될 때 AWS Account 삭제나 사용자 계정의 권한이 변경되는 상황이 발생하지 않는지?


Answer


  1. 외부 IDP에서 AWS SSO로 자격 증명 소스 변경 시, Root 권한은 필요 없는지?

 ID 소스를 변경할 때, 다음 권한을 가진 IAM 사용자/역할을 사용하실 수 있습니다. 

이때, root 사용자를 사용하실 필요는 없습니다. [1] 

    {

"Sid": "VisualEditor0",

"Effect": "Allow",

"Action": [

"sso-directory:EnableExternalIdPConfigurationForDirectory",

"sso-directory:ListExternalIdPConfigurationsForDirectory",

"sso-directory:CreateExternalIdPConfigurationForDirectory",

],

"Resource": "*"

}


  1. 자격 증명 소스가 변경될 때 AWS Account 삭제나 사용자 계정의 권한이 변경되는 상황이 발생하지 않는지?

외부 IDP에서 IAM Identity Center로 전환하는 경우, IAM Identity Center는 모든 사용자, 그룹 및 자격을 보존합니다.

이전에 IAM Identity Center에 암호가 있었던 사용자의 경우, 해당 사용자는 이전 암호로 계속 로그인할 수 있습니다.  

관리자는 외부 IDP 사용자이면서, 이전에 IAM Identity Center에 존재하지 않았던 사용자에 대해 비밀번호 재설정을 강제해야 합니다. [2]




[ 추가적으로 IdP 소스를 변경할 때 고려해야 하는 사항 ]

이미 하나의 ID 소스에서 사용자와 그룹을 관리하다가 다른 ID 소스로 변경하게 되는 경우,  IAM Identity Center에서 구성한 모든 사용자 및 그룹 할당이 제거될 수 있는 위험이 있습니다.

이 경우 IAM Identity Center의 관리자 사용자를 포함한 모든 사용자는 AWS 계정 자신과 애플리케이션에 대한 SSO 액세스 권한을 잃게 되므로, 해당 사례를 방지하기 위해 어떤 ID 소스에서 어떤 ID 소스로 옮겨가는지, 해당하는 케이스별로 검토하시는 것을 권고드립니다. 


  1. IAM Identity Center와 Active Directory 간 변경

이미 Active Directory에서 사용자 및 그룹을 관리하고 있다면 IAM Identity Center를 활성화하고 ID 소스를 선택할 때 디렉터리 연결을 고려하는 것이 좋습니다. 기본 Identity Center 디렉터리에 사용자 및 그룹을 생성하고 할당하기 전에 이 작업을 수행해야 합니다.

  • ID 소스를 Active Directory로 변경하면, Identity Center 디렉터리에서 사용자 및 그룹이 삭제되고, Assignments도 제거되므로, Active Directory로  변경한 후에는 Active Directory의 사용자 및 그룹을 Identity Center 디렉터리로 동기화 다음 Assignments를 다시 적용해주어야 합니다. 

  • Identity Center에서 ID 소스를 삭제하면, Identity Center의 Assignments도 삭제되지만,  Active Directory에서 ID 소스를 삭제한다고 해서  Assignments가 삭제되지는 않습니다. 



  1. IAM Identity Center와 외부 IdP 간 변경

ID 소스를 IAM Identity Center에서 외부 IdP로 변경하는 경우 고려해야 하는 사항입니다.

  • IAM Identity Center의 사용자 이름 및 그룹이 외부 IdP의 사용자 이름 및 그룹과  일치하는 경우에만 IAM Identity Center의 모든 Assignments가 보존되므로, 사용자 이름과 그룹(User names and groups)이 일치해야 합니다.

  • 사용자 이름과 그룹이 일치하지 않으면 사용이 불가하지만, 외부 IdP에서 IAM Identity Center로 ID 소스를 변경하는 경우에는 IAM Identity Center는 모든 사용자, 그룹 및 할당을 보존합니다.



추가적으로, 외부 IdP 와 외부 IdP 간 변경Active Directory와 외부 IdP 간 변경 등 다양한 케이스마다 고려해야 할 사항들이 있으므로, 첨부드리는 문서[2]를 통해 꼭 확인해보시기 바랍니다.  


감사합니다.



=== 참조 문서 ===


[1] AWS IAM Identity Center(AWS Single Sign-On 후속) 디렉터리에서 정의하는 작업

https://docs.aws.amazon.com/ko_kr/service-authorization/latest/reference/list_awsiamidentitycentersuccessortoawssinglesign-ondirectory.html#awsiamidentitycentersuccessortoawssinglesign-ondirectory-actions-as-permissions

[2] Identity Source 변경 시 고려 사항 (IAM Identity Center 와 IdP 간 변경)

https://docs.aws.amazon.com/ko_kr/singlesignon/latest/userguide/manage-your-identity-source-considerations.html