페더레이션 사용자와 AWS SSO

페더레이션 사용자와 AWS SSO

1. 페더레이션 사용자:
   • 페더레이션 사용자는 AWS에서 IAM 사용자로 직접 생성되지 않은 외부 사용자를 의미합니다. 대신, 외부 인증 시스템(예: 회사의 SAML, Active Directory, 또는 AWS SSO)을 통해 AWS에 접근 권한을 얻는 사용자입니다.
   • 예를 들어, 사용자가 AWS SSO(Single Sign-On)를 통해 회사의 Active Directory 자격 증명을 사용하여 AWS 콘솔에 로그인하는 경우, 이 사용자는 페더레이션 사용자로 간주됩니다.
2. 예시에서의 의미:
   • "AWSReservedSSO_PowerUserAccess_0c4f7b84bcd4c11d/yeongtae"는 AWS SSO를 통해 페더레이션된 사용자 yeongtae를 나타냅니다.
   • 이 사용자는 AWSReservedSSO_PowerUserAccess_0c4f7b84bcd4c11d 역할을 맡고 있으며, AWS에서 해당 역할이 부여하는 권한을 가지고 AWS 리소스에 접근할 수 있습니다.

AWSReservedSSO_PowerUserAccess_0c4f7b84bcd4c11d 역할

1. AWSReservedSSO:
   • AWSReservedSSO는 AWS Single Sign-On 서비스가 AWS 계정 내에서 자동으로 생성하는 역할을 나타냅니다. 이러한 역할은 AWS SSO에서 사용자를 프로비저닝할 때 생성됩니다.
   • 각 SSO 사용자에게 특정 권한 세트를 부여하기 위해, AWS SSO는 필요한 IAM 역할을 생성합니다. 이 IAM 역할은 사용자 또는 그룹에 할당된 권한과 매핑됩니다.
2. PowerUserAccess:
   • PowerUserAccess는 AWS 관리형 정책으로, 대부분의 AWS 서비스와 리소스에 대한 관리 권한을 부여하지만, IAM(Identity and Access Management) 리소스는 관리할 수 없는 권한 세트를 의미합니다.
   • 즉, PowerUserAccess 역할을 가진 사용자는 거의 모든 AWS 리소스를 관리할 수 있지만, IAM 사용자, 그룹, 역할 및 정책을 수정하거나 생성할 수 없습니다.
3. 0c4f7b84bcd4c11d:
   • 이 부분은 AWS SSO에서 생성된 특정 역할에 대한 고유 식별자입니다. AWS SSO는 각 SSO 역할에 대해 고유한 식별자를 추가하여 이름 충돌을 방지합니다.
   • 따라서 AWSReservedSSO_PowerUserAccess_0c4f7b84bcd4c11d는 AWS SSO에 의해 생성된 특정 역할을 나타내며, 이 역할은 PowerUserAccess 권한을 부여하는 역할입니다.

정리

• **yeongtae**는 AWS SSO를 통해 로그인한 페더레이션 사용자입니다.
• **AWSReservedSSO_PowerUserAccess_0c4f7b84bcd4c11d**는 AWS SSO에 의해 자동으로 생성된 IAM 역할로, 이 역할은 PowerUserAccess 권한 세트를 포함하고 있으며, 사용자가 AWS 리소스에 대한 대부분의 액션을 수행할 수 있게 합니다.
• 이 설정은 주로 기업 환경에서 AWS SSO를 통해 중앙화된 접근 제어를 관리하고, 사용자가 각자의 역할에 맞는 권한을 가질 수 있도록 하기 위해 사용됩니다.