기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS SDKs 및 도구에 대한 IAM Identity Center 인증 확인 방법
IAM Identity Center 관련 용어
다음 용어는 기본 AWS IAM Identity Center프로세스와 구성을 이해하는 데 도움이 됩니다. AWS SDK APIs 설명서는 이러한 인증 개념 중 일부에 대해 IAM Identity Center와 다른 이름을 사용합니다. 두 이름을 모두 알고 있으면 도움이 됩니다.
다음 표에서는 이름이 서로 연결되는 방식을 보여줍니다.
| IAM Identity Center 이름 | SDK API 이름 | 설명 |
|---|---|---|
| Identity Center | sso
|
AWS Single Sign-On의 이름이 변경되더라도 sso API 네임스페이스는 이전 버전과의 호환성을 위해 원래 이름을 유지합니다. 자세한 내용은 AWS IAM Identity Center 사용 설명서의 IAM Identity Center 이름 변경을 참조하십시오. |
IAM Identity Center 콘솔 관리자 콘솔 |
싱글 사인온을 구성하는 데 사용하는 콘솔입니다. | |
| AWS 액세스 포털 URL | 사용자 IAM ID 센터 계정의 고유한 URL(예https://:). 사용자 IAM ID 센터 로그인 보안 인증을 사용하여 이 포털에 로그인합니다. |
|
| IAM Identity Center 액세스 포털 세션 | 인증 세션 | 발신자에게 베어러 액세스 토큰을 제공합니다. |
| 권한 집합 세션 | SDK가 내부적으로 AWS 서비스 호출하는 데 사용하는 IAM 세션입니다. 비공식 토론에서는 이를 ‘역할 세션’이라고 잘못 지칭하는 것을 볼 수 있습니다. | |
| 권한 세트 보안 인증 | AWS 자격 증명 sigv4 보안 인증 |
SDK가 실제로 대부분의 AWS 서비스 호출(특히 모든 sigv4 AWS 서비스 호출)에 사용하는 자격 증명입니다. 비공식 토론에서는 이를 ‘역할 보안 인증’이라고 잘못 지칭하는 것을 볼 수 있습니다. |
| IAM 아이덴티티 센터 보안 인증 공급자 | SSO 보안 인증 공급자 | 기능을 제공하는 클래스 또는 모듈 같은 보안 인증을 얻는 방법. |
에 대한 SDK 자격 증명 확인 이해 AWS 서비스
IAM ID 센터 API는 베어러 토큰 보안 인증을 sigv4 보안 인증으로 교환합니다. 대부분은 AWS 서비스 및와 같은 몇 가지 예외를 제외하고 Amazon CodeWhisperer sigv4 APIs Amazon CodeCatalyst. 다음은 애플리케이션 코드에 대한 대부분의 AWS 서비스 호출을 지원하기 위한 자격 증명 확인 프로세스를 설명합니다 AWS IAM Identity Center.
AWS 액세스 포털 세션 시작
-
사용자 보안 인증으로 세션에 로그인하여 프로세스를 시작하십시오.
-
AWS Command Line Interface ()에서
aws sso login명령을 사용합니다AWS CLI. 아직 활성 세션이 없는 경우 새 IAM Identity Center 세션이 시작됩니다.
-
-
새 세션을 시작하면 IAM ID 센터로부터 새로 고침 토큰과 액세스 토큰을 받습니다. AWS CLI 또한는 SSO 캐시 JSON 파일을 새 액세스 토큰 및 새로 고침 토큰으로 업데이트하고 SDKs.
-
이미 활성 세션이 있는 경우 AWS CLI 명령은 기존 세션을 재사용하고 기존 세션이 만료될 때마다 만료됩니다. IAM Identity Center 세션의 길이를 설정하는 방법을 알아보려면 AWS IAM Identity Center 사용 설명서의 사용자의 AWS 액세스 포털 세션 기간 구성을 참조하세요.
-
자주 로그인해야 하는 필요성을 줄이기 위해 최대 세션 길이가 90일로 연장되었습니다.
-
SDK가 AWS 서비스 호출에 대한 자격 증명을 가져오는 방법
SDKs 서비스당 클라이언트 객체를 인스턴스화할 AWS 서비스 때에 대한 액세스를 제공합니다. 공유 AWS config 파일의 선택한 프로필이 IAM Identity Center 자격 증명 확인을 위해 구성된 경우 IAM Identity Center는 애플리케이션의 자격 증명을 확인하는 데 사용됩니다.
-
보안 인증 확인 프로세스는 클라이언트가 생성되면 런타임 중에 완료됩니다.
IAM ID 센터 싱글 사인온을 사용하여 sigv4 API의 보안 인증을 가져오기 위해 SDK는 IAM ID 센터 액세스 토큰을 사용하여 IAM 세션을 가져옵니다. 이 IAM 세션을 권한 세트 세션이라고 하며, IAM 역할을 수임하여 SDK에 대한 AWS 액세스를 제공합니다.
-
권한 세트 세션 기간은 IAM ID 센터 세션 기간과 별개로 설정됩니다.
-
권한 설정 세션 기간을 설정하는 방법을 알아보려면 사용 AWS IAM Identity Center 설명서의 세션 기간 설정을 참조하십시오.
-
-
권한 세트 자격 증명은 대부분의 AWS SDK API 설명서에서 AWS 자격 증명 및 sigv4 자격 증명이라고도 합니다.
IAM ID 센터 API의 GetRoleCredentials를 호출하면 권한 세트 보안 인증이 SDK로 반환됩니다. SDK의 클라이언트 객체는 수임한 IAM 역할을 사용하여 Amazon S3에 계정의 버킷을 나열하도록 요청하는 AWS 서비스등를 호출합니다. 클라이언트 객체는 권한 설정 세션이 만료될 때까지 해당 권한 집합 보안 인증을 사용하여 계속 작동할 수 있습니다.
세션 만료 및 새로 고침
SSO 토큰 공급자 구성를 사용하는 경우 IAM Identity Center에서 가져온 시간별 액세스 토큰은 새로 고침 토큰을 사용하여 자동으로 새로 고쳐집니다.
-
SDK가 액세스 토큰을 사용하려고 할 때 액세스 토큰이 만료되면 SDK는 새로 고침 토큰을 사용하여 새 액세스 토큰을 가져오려고 합니다. IAM ID 센터는 새로 고침 토큰을 IAM ID 센터 액세스 포털 세션 기간과 비교합니다. 새로 고침 토큰이 만료되지 않은 경우 IAM ID 센터는 다른 액세스 토큰으로 응답합니다.
-
이 액세스 토큰은 기존 클라이언트의 권한 설정 세션을 새로 고치거나 새 클라이언트의 보안 인증을 확인하는 데 사용할 수 있습니다.
하지만 IAM Identity Center 액세스 포털 세션이 만료되면 새 액세스 토큰이 부여되지 않습니다. 따라서 권한 세트 기간은 갱신할 수 없습니다. 캐시된 권한 세트 세션 기간이 초과되면 기존 클라이언트가 만료되고 액세스를 하지 못합니다.
새 클라이언트를 생성하는 모든 코드는 IAM Identity Center 세션이 만료되는 즉시 인증에 실패합니다. 권한 세트 보안 인증이 캐시되지 않기 때문입니다. 유효한 액세스 토큰을 확보하기 전까지는 코드를 사용하여 새 클라이언트를 만들고 보안 인증 확인 프로세스를 완료할 수 없습니다.
요약하자면, SDK에 새 권한 집합 보안 인증이 필요한 경우 SDK는 먼저 유효한 기존 보안 인증을 확인하고 이를 사용합니다. 이는 보안 인증이 새 클라이언트용이든 보안 인증이 만료된 기존 클라이언트용이든 상관없이 적용됩니다. 보안 인증을 찾을 수 없거나 유효하지 않은 경우 SDK는 IAM Identity Center API를 호출하여 새 보안 인증을 가져옵니다. API를 호출하려면 액세스 토큰이 필요합니다. 액세스 토큰이 만료되면 SDK는 새로 고침 토큰을 사용하여 IAM Identity Center 서비스로부터 새 액세스 토큰을 가져오려고 시도합니다. 이 토큰은 IAM Identity Center 액세스 포털 세션이 만료되지 않은 경우 부여됩니다.
