IAM Identity Center - AD 연동 사전 준비 가이드
IAM Identity Center - AD 연동 사전 준비 가이드
사내 AD의 사용자 정보를 AWS로 안전하게 가져오기 위해서는 다음과 같은 준비가 필요합니다.
1. 네트워크 가시성 확보
AWS와 사내 서버실(On-premises)이 서로 통신할 수 있는 통로가 먼저 뚫려 있어야 합니다.
필수 조건: AWS Site-to-Site VPN 또는 Direct Connect(DX)가 구성되어 있어야 합니다.
방화벽 허용: 사내 AD 서버(Domain Controller)와 AWS 간에 특정 포트(TCP/UDP 53(DNS), 88(Kerberos), 389(LDAP), 445(SMB) 등)가 개방되어 있는지 확인해야 합니다.
2. AWS Directory Service 선택
AD와 IAM Identity Center 사이를 이어줄 '중계 서비스'를 결정해야 합니다.
AD Connector (권장): 사내 AD를 그대로 유지하면서 인증만 AWS로 위임하고 싶을 때 사용합니다. (가장 일반적인 방식)
AWS Managed Microsoft AD: 사내 AD의 데이터를 AWS로 아예 복제하거나 트러스트(Trust) 관계를 맺고 싶을 때 사용합니다.
준비물: 연동할 도메인 이름(예:
corp.example.com), DNS 서버 IP 주소, 그리고 서비스 커넥터가 위치할 VPC 내 2개의 Private Subnet이 필요합니다.
3. AD 전용 서비스 계정 (Service Account) 생성
AWS가 사내 AD를 조회(Read-only)할 수 있도록 권한을 가진 계정이 필요합니다.
권한 범위: 도메인 내 사용자 및 그룹 정보를 읽을 수 있는 권한(Domain Users 그룹 권한이면 충분함).
보안 권고: 암호 만료 기간을 없애거나(Password never expires), AWS 연동 전용으로 관리하여 보안 사고에 대비하세요.
| 왜 "암호 만료 없음"을 고려하나요? (가용성 측면)서비스 중단 위험: 만약 이 계정의 암호가 사내 보안 정책에 따라 갑자기 만료되면, AD Connector가 즉시 작동을 멈춥니다. 결과적으로 사내 모든 임직원이 AWS 콘솔에 로그인하지 못하는 전사적 장애로 이어집니다.보안 통제 : 최소 권한(Least Privilege): 이 계정은 오직 AD 정보를 읽기만 할 수 있어야 합니다. 'Domain Admins' 권한이 절대 아니라, 'Read-only' 권한만 부여하세요.로그인 제한 (Logon To): AD 설정에서 이 계정이 '특정 서버(AD Connector용 서버 등)'에서만 로그인할 수 있도록 제한하세요. 공격자가 암호를 알아내도 다른 곳에서는 쓸 수 없게 됩니다. |
4. IAM Identity Center 설정 변경 (Source of Identity)
현재 IAM Identity Center의 ID 소스가 'Identity Store(기본값)'라면 이를 'Active Directory'로 변경해야 합니다.
주의사항: 소스를 변경하면 기존에 생성했던 IAM Identity Center 전용 로컬 사용자들은 더 이상 로그인할 수 없게 됩니다. (사전에 사용자들에게 공지 필수!)
5. 그룹(Group) 기반 설계 및 매핑 계획
AD의 사용자를 개별적으로 AWS에 매핑하는 것은 운영 지옥의 시작입니다.
전략: AD 내부에
AWS-Admins,AWS-Developers,AWS-ReadOnly와 같은 그룹을 미리 만드세요.작업: AWS에서는 이 그룹 단위로 권한(Permission Sets)을 부여하는 것이 표준(Best Practice)입니다.
연동 방식 선택 가이드
항목 | AD Connector (연결형) | Managed Microsoft AD (관리형) |
데이터 위치 | 사내 AD에만 존재 (캐싱 없음) | AWS 환경으로 복제 또는 트러스트 |
비용 | 상대적으로 저렴 | 인스턴스 비용 발생 |
추천 상황 | 사내 AD를 그대로 쓰면서 AWS 로그인만 하고 싶을 때 | AWS 내 자원을 AD 도메인에 가입(Domain Join)시켜야 할 때 |
댓글
댓글 0개
이 문서에는 댓글을 달 수 없습니다.