Question

Amazon Managed Grafana 서비스 사용에 필요한 인증 방식 및 절차를 알고 싶습니다.

Answer

Amazon Managed Grafana의 경우 AWS IAM Identity Center (SSO)와 SAML 두가지 방식의 인증이 가능 하도록 지원하고 있습니다. (2023년 7월 기준)

AWS SSO의 경우, AWS Organizations 권한이 필요로 합니다.

* 파트너 계약을 통해 사용 중인 경우 - 

AWS 파트너를 통해서 서비스를 하고 계신 경우에는 Organizations 권한을 행사 할 수가 없기에 SSO 서비스 이용이 불가능한 상황입니다. 따라서, AWS SSO가 아닌 SAML을 활용하는 방법을 설명 하고자 합니다.

Amazon Grafana에서 SAML을 통한 사용자 인증 설정하려면 다음 단계를 따를 수 있습니다.

1. AWS Management Console에서 IAM 서비스로 이동합니다.

2. 왼쪽 탐색 창에서 "Identity providers"를 선택하고, "Create provider"를 클릭합니다.

3. "Provider Type"으로 "SAML"을 선택하고, "Metadata Document"에 SAML 공급자의 메타데이터를 입력합니다. 이 메타데이터는 일반적으로 IdP(Identity Provider)에서 제공됩니다. "Metadata Document"를 입력하는 대신, "Provider details" 섹션에서 각 필드를 수동으로 입력할 수도 있습니다.

4. "Provider Name"에 신원 공급자의 이름을 지정합니다.

5. "IAM Roles" 섹션에서 SAML 연결을 통해 할당할 IAM 역할을 생성하거나 선택합니다. 이 역할은 Grafana에서 사용될 권한을 정의합니다. "Allow programmatic and AWS Management Console access" 옵션을 선택하면, Grafana에서 AWS 리소스에 액세스하는 데 사용할 수 있는 자격 증명을 제공합니다.

6. "Attributes" 섹션에서 SAML 사용자의 속성 매핑을 구성합니다. 이는 SAML 응답의 속성을 IAM 사용자 속성과 연결하는 데 사용됩니다.

7. "Review" 단계에서 입력한 정보를 확인한 후 "Create"를 클릭하여 신원 공급자를 생성합니다.

8. Grafana를 구성하고 있는 환경에서 SAML 플러그인을 설치하고 구성합니다. Grafana 설정 파일에서 SAML 관련 정보(Identity Provider URL, Identity Provider Issuer, SAML 액세스 및 비밀 키 등)를 입력해야 합니다.

9. Grafana를 실행하고 SAML 연결을 테스트합니다. SAML 연결이 성공하면, IAM 역할이 Grafana 사용자에게 할당됩니다.

이제 SAML을 통한 신원 확인이 설정되었으며, Grafana 사용자는 신원 공급자에 의해 인증될 것입니다. 이를 통해 사용자는 IAM 역할의 권한을 통해 Grafana의 데이터 소스 및 대시보드에 액세스할 수 있게 됩니다.

추가로, ‘Amazon Grafana’ 서비스 이용을 위한 SAML 인증으로 다음과 같은 방법들이 있습니다.

1. Azure Active Directory (Azure AD)

Azure AD는 Microsoft의 클라우드 기반 식별 및 액세스 관리 서비스입니다. SAML (Security Assertion Markup Language)을 사용하여 사용자 인증 및 권한 부여를 처리합니다. Azure AD는 클라우드 애플리케이션 및 온프레미스 애플리케이션에 대한 싱글 사인온(Single Sign-On) 기능을 제공하여 사용자가 다양한 애플리케이션에 로그인할 때 여러 번의 인증 절차를 거치지 않도록 합니다.

2. CyberArk

CyberArk는 프라이빗 클라우드 또는 온프레미스 환경에서 권한을 관리하고 보호하기 위한 솔루션을 제공하는 회사입니다. CyberArk는 SAML을 사용하여 사용자를 인증하고 권한 부여를 관리합니다. 이를 통해 사용자는 SAML을 지원하는 다른 애플리케이션에 대해 CyberArk를 통해 인증 및 접근 권한을 관리할 수 있습니다.

3. Okta

Okta는 클라우드 기반의 식별 및 액세스 관리 서비스로, SAML을 사용하여 사용자를 인증하고 권한을 관리합니다. Okta는 다양한 애플리케이션에 대한 싱글 사인온(Single Sign-On)을 제공하며, 사용자의 인증 정보를 안전하게 저장하고 액세스 제어를 관리합니다.

4. OneLogin

OneLogin은 클라우드 기반의 아이덴티티 및 액세스 관리 솔루션을 제공하는 회사입니다. OneLogin은 SAML을 사용하여 사용자 인증 및 권한 부여를 처리합니다. 사용자는 OneLogin을 통해 여러 애플리케이션에 대한 인증 및 액세스를 관리할 수 있습니다.

5. Ping Identity

Ping Identity는 아이덴티티 및 액세스 관리 솔루션을 제공하는 회사로, SAML을 사용하여 사용자를 인증하고 권한을 관리합니다. Ping Identity는 다양한 애플리케이션 및 서비스에 대한 싱글 사인온(Single Sign-On)을 제공하여 사용자가 여러 애플리케이션에 대해 하나의 인증으로 로그인할 수 있도록 합니다.

6. IAM Identity Center

IAM Identity Center는 식별 및 액세스 관리 솔루션을 제공하는 회사입니다. SAML을 사용하여 사용자 인증 및 권한 부여를 처리합니다. IAM Identity Center는 사용자의 신원을 관리하고, 애플리케이션 및 리소스에 대한 접근 권한을 제어합니다. SAML을 통해 다양한 애플리케이션 간에 싱글 사인온(Single Sign-On)을 지원합니다.

• https://docs.aws.amazon.com/grafana/latest/userguide/authentication-in-AMG-SAML.html