AWS IAM Identity Center (SSO 사용하기)
By Bys on September 30, 2023
IAM Identity Center
1. SSO 사용하기
- Managed Account에서 IAM Identity Center 메뉴로 이동 후 Enable
- AWS Organizations > AWS accounts > Add an AWS account > 계정 추가 > Send invitation
- 각 Account에서 Accept (Organization이 별도로 활성화 되어 있으면 안됨)
- User 추가 (임의 사용자 추가)
- Permission set 생성 (권한세트)
-
IAM Identity Center > AWS Organizations: AWS accounts > Assign users or groups 메뉴에서 각 계정별 사용자와 권한세트를 설정하면 각 계정에 퍼미션세트를 기반으로 하는 IAM SSO Role이 생성되고 User는 해당 Role로 Assume 하는 형태
- 때문에 SSO Role의 Trust relationship은 sam-provider의 principal을 갖는다.
{ “Version”: “2012-10-17”, “Statement”: [ { “Effect”: “Allow”, “Principal”: { “Federated”: “arn:aws:iam::558846430793:saml-provider/AWSSSO_9a4ab735c35e287e_DO_NOT_DELETE” }, “Action”: [ “sts:AssumeRoleWithSAML”, “sts:TagSession” ], “Condition”: { “StringEquals”: { “SAML:aud”: “https://signin.aws.amazon.com/saml” } } } ] }
- References
[1] https://guide.aws.dev/articles/ARVptFLTVMSk29jZDXpkFFjQ
aws
iam
sso
]