AWS(Amazon Web Services) 계정 온보딩

이 문서에서는 Microsoft Entra 권한 관리에서 AWS(Amazon Web Services) 계정을 온보딩하는 방법을 설명합니다.

설명

온보딩하기 전에 구성해야 하는 AWS 및 Azure에 여러 이동 부품이 있습니다.

• Microsoft Entra OIDC 앱
• AWS OIDC 계정
• (선택 사항) AWS 관리 계정
• (선택 사항) AWS Central 로깅 계정
• AWS OIDC 역할
• OIDC 역할에서 맡은 AWS 계정 간 역할

AWS 계정 온보딩

1. Permissions Management가 시작될 때 데이터 수집기 대시보드가 표시되지 않는 경우:

   • Permissions Management 홈페이지에서 설정(기어 아이콘)을 선택한 다음, 데이터 수집기 하위 탭을 선택합니다.

2. 데이터 수집기 대시보드에서 AWS를 선택한 다음 구성 만들기를 선택합니다.

1. Microsoft Entra OIDC 앱을 만듭니다.

1. Permissions Management 온보딩 - Microsoft Entra OIDC 앱 만들기 페이지에서 OIDC Azure 앱 이름을 입력합니다.

   이 앱은 AWS 계정에 대한 OIDC(OpenID Connect) 연결을 설정하는 데 사용됩니다. OIDC는 OAuth 2.0 사양 패밀리를 기반으로 하는 상호 운용 가능한 인증 프로토콜입니다. 이 페이지에서 생성된 스크립트는 올바른 구성을 사용하여 Microsoft Entra 테넌트에 이 이름이 지정된 앱을 만듭니다.

2. 앱 등록을 만들려면 스크립트를 복사하여 Azure 명령줄 앱에서 실행합니다.

   참고 항목

   1. 앱이 생성되었는지 확인하려면 Azure에서 앱 등록을 열고 모든 애플리케이션 탭에서 앱을 찾습니다.
   2. 앱 이름을 선택하여 API 노출 페이지를 엽니다. 개요 페이지에 표시되는 애플리케이션 ID URI는 AWS 계정과 OIDC 연결을 설정하는 동안 사용되는 대상 값입니다.

3. Permissions Management 창으로 돌아가 Permissions Management 온보딩 - Microsoft Entra OIDC 앱 만들기에서 다음을 선택합니다.

2. AWS OIDC 계정 설정

1. Permissions Management 온보딩 - AWS OIDC 계정 설정 페이지에서 OIDC 공급자가 생성된 AWS OIDC 계정 ID를 입력합니다. 요구 사항에 따라 역할 이름을 변경할 수 있습니다.

2. 다른 브라우저 창을 열고 OIDC 공급자를 만들려는 AWS 계정에 로그인합니다.

3. 템플릿 시작을 선택합니다. 이 링크를 사용하면 AWS CloudFormation 만들기 스택 페이지로 이동합니다.

4. 페이지 하단으로 스크롤하여 기능 상자에서 AWS CloudFormation이 사용자 지정 이름으로 IAM 리소스를 만들 수 있음을 인정합니다를 선택합니다. 그런 다음, 스택 만들기를 선택합니다.

   이 AWS CloudFormation 스택은 Microsoft Entra STS를 나타내는 OIDC ID 공급자(IdP)를 만들고, Microsoft Entra ID의 외부 ID가 OIDC IdP를 통해 가정할 수 있도록 하는 트러스트 정책을 사용하여 AWS IAM 역할을 만듭니다. 이러한 엔터티는 리소스 페이지에 나와 있습니다.

5. Permissions Management로 돌아가서 Permissions Management 온보딩 - AWS OIDC 계정 설정에서 다음을 선택합니다.

3. AWS Management 계정 연결 설정(선택 사항)

1. 조직에 멤버 계정의 일부 또는 전체를 관리하는 SCP(서비스 제어 정책)가 있는 경우 권한 관리 온보딩 - AWS 관리 계정 세부 정보 페이지에서 관리 계정 연결을 설정합니다.

   관리 계정 연결을 설정하면 권한 관리에서 올바른 권한 관리 역할이 있는 AWS 멤버 계정을 자동으로 검색하고 온보딩할 수 있습니다.

2. 권한 관리 온보딩 - AWS 관리 계정 세부 정보 페이지에서 관리 계정 ID 및 관리 계정 역할을 입력합니다.

3. 다른 브라우저 창을 열고 관리 계정의 AWS 콘솔에 로그인합니다.

4. 권한 관리로 돌아가 권한 관리 온보딩 - AWS 관리 계정 세부 정보 페이지에서 템플릿 시작을 선택합니다.

   AWS CloudFormation 스택 만들기 페이지가 열리고 템플릿이 표시됩니다.

5. 템플릿의 정보를 검토하고 필요한 경우 변경한 다음, 페이지 하단으로 스크롤합니다.

6. 기능 상자에서 AWS CloudFormation이 사용자 지정 이름으로 IAM 리소스를 만들 수 있음을 인정합니다를 선택합니다. 그런 다음 스택 만들기를 선택합니다.

   이 AWS CloudFormation 스택은 SCP를 수집하고 조직의 모든 계정을 나열하는 데 필요한 권한(정책)이 포함된 역할을 관리 계정에 만듭니다.

   AWS OIDC 계정에서 생성된 OIDC 역할이 액세스할 수 있도록 이 역할에 대한 신뢰 정책이 설정됩니다. 이러한 항목은 CloudFormation 스택의 리소스 탭에 나열됩니다.

7. 권한 관리로 돌아가서 권한 관리 온보딩 - AWS 관리 계정 세부 정보에서 다음을 선택합니다.

4. AWS Central 로깅 계정 연결 설정(선택적이지만 권장됨)

1. 조직에 일부 또는 모든 AWS 계정의 로그가 저장되는 중앙 로깅 계정이 있는 경우 Permissions Management 온보딩 - AWS 중앙 로깅 계정 세부 정보 페이지에서 로깅 계정 연결을 설정합니다.

   Permissions Management 온보딩 - AWS 중앙 로깅 계정 세부 정보 페이지에서 로깅 계정 ID 및 로깅 계정 역할을 입력합니다.

2. 다른 브라우저 창에서 중앙 로깅에 사용하는 AWS 계정으로 AWS 콘솔에 로그인합니다.

3. Permissions Management로 돌아가 Permissions Management 온보딩 - AWS 중앙 로깅 계정 세부 정보 페이지에서 템플릿 시작을 선택합니다.

   AWS CloudFormation 스택 만들기 페이지가 열리고 템플릿이 표시됩니다.

4. 템플릿의 정보를 검토하고 필요한 경우 변경한 다음, 페이지 하단으로 스크롤합니다.

5. 기능 상자에서 AWS CloudFormation이 사용자 지정 이름으로 IAM 리소스를 만들 수 있음을 인정합니다를 선택한 후 스택 만들기를 선택합니다.

   이 AWS CloudFormation 스택은 중앙 로깅에 사용되는 S3 버킷을 읽는 데 필요한 권한(정책)이 포함된 역할을 로깅 계정에 만듭니다. AWS OIDC 계정에서 생성된 OIDC 역할이 액세스할 수 있도록 이 역할에 대한 신뢰 정책이 설정됩니다. 이러한 항목은 CloudFormation 스택의 리소스 탭에 나열됩니다.

6. Permissions Management로 돌아가 Permissions Management 온보딩 - AWS 중앙 로깅 계정 세부 정보 페이지에서 다음을 선택합니다.

5. AWS 멤버 계정 설정

AWS SSO를 통해 AWS 계정 액세스가 구성된 경우 AWS SSO 사용 확인란을 선택합니다.

3가지 옵션 중에서 선택하여 AWS 계정을 관리합니다.

옵션 1: 자동 관리

추가 구성 없이 모니터링되는 계정 목록을 자동으로 검색하고 추가하려면 이 옵션을 선택합니다. 컬렉션에 대한 계정 및 온보딩 목록을 검색하는 단계는 다음과 같습니다.

• 계정, OU 및 SCP를 나열하기 위해 이전에 만든 OIDC 역할에 권한을 부여하는 조직 계정 역할을 만드는 관리 계정 CFT(Cloudformation 템플릿)를 배포합니다.
• AWS SSO를 사용하도록 설정한 경우 조직 계정 CFT는 AWS SSO 구성 세부 정보를 수집하는 데 필요한 정책도 추가합니다.
• Microsoft Entra Permissions Management에서 모니터링해야 하는 모든 계정에 멤버 계정 CFT를 배포합니다. 이러한 작업으로 이전에 만든 OIDC 역할을 신뢰하는 계정 간 역할이 만들어집니다. SecurityAudit 정책은 데이터 수집을 위해 만든 역할에 연결됩니다.

검색된 모든 현재 또는 미래의 계정이 자동으로 온보딩됩니다.

구성을 저장한 후 온보딩 상태를 보려면 다음을 수행합니다.

• 데이터 수집기 ​​탭으로 이동합니다.
• 데이터 수집기의 상태를 클릭합니다.
• 진행 중인 페이지에서 계정 보기

옵션 2: 권한 부여 시스템 입력

1. Permissions Management 온보딩 - AWS 멤버 계정 세부 정보 페이지에서 멤버 계정 역할 및 멤버 계정 ID를 입력합니다.

   최대 100개의 계정 ID를 입력할 수 있습니다. 계정 ID를 더 추가하려면 텍스트 상자 옆에 있는 더하기 아이콘을 클릭합니다.

   참고 항목

   추가하는 각 계정 ID에 대해 다음 단계를 수행합니다.

2. 다른 브라우저 창을 열고 AWS 콘솔에 멤버 계정으로 로그인합니다.

3. Permissions Management 온보딩 - AWS 멤버 계정 세부 정보 페이지로 돌아간 후 템플릿 시작을 선택합니다.

   AWS CloudFormation 스택 만들기 페이지가 열리고 템플릿이 표시됩니다.

4. CloudTrailBucketName 페이지에서 이름을 입력합니다.

   AWS의 Trails 페이지에서 CloudTrailBucketName 이름을 복사하여 붙여넣을 수 있습니다.

   참고 항목

   클라우드 버킷은 Permissions Management가 모니터링하는 단일 계정의 모든 활동을 수집합니다. 활동 데이터를 수집하는 데 필요한 액세스 권한을 Permissions Management에 제공하려면 여기에 클라우드 버킷의 이름을 입력합니다.

5. 컨트롤러 사용 드롭다운에서 다음을 선택합니다.

   • True: Permissions Management 플랫폼에서 수행하려는 모든 수정이 자동으로 수행될 수 있도록 컨트롤러에서 Permissions Management에 읽기 및 쓰기 권한을 제공하도록 합니다.
   • False: 컨트롤러에서 Permissions Management에 읽기 전용 액세스 권한을 제공하도록 합니다.

6. 페이지 하단으로 스크롤하여 기능 상자에서 AWS CloudFormation이 사용자 지정 이름으로 IAM 리소스를 만들 수 있음을 인정합니다를 선택합니다. 그런 다음 스택 만들기를 선택합니다.

   이 AWS CloudFormation 스택은 데이터 컬렉션에 필요한 권한(정책)이 있는 멤버 계정에 수집 역할을 만듭니다.

   AWS OIDC 계정에서 생성된 OIDC 역할이 액세스할 수 있도록 이 역할에 대한 신뢰 정책이 설정됩니다. 이러한 항목은 CloudFormation 스택의 리소스 탭에 나열됩니다.

7. Permissions Management로 돌아가 Permissions Management 온보딩 - AWS 멤버 계정 세부 정보 페이지에서 다음을 선택합니다.

   이 단계에서는 Microsoft Entra STS에서 OIDC 연결 계정 및 AWS 멤버 계정으로의 필수 연결 시퀀스를 완료합니다.

옵션 3: 권한 부여 시스템 선택

이 옵션은 이전에 만든 OIDC 역할 액세스를 통해 액세스할 수 있는 모든 AWS 계정을 검색합니다.

• 계정, OU 및 SCP를 나열하기 위해 이전에 만든 OIDC 역할에 권한을 부여하는 조직 계정 역할을 만드는 관리 계정 CFT(Cloudformation 템플릿)를 배포합니다.
• AWS SSO를 사용하도록 설정한 경우 조직 계정 CFT는 AWS SSO 구성 세부 정보를 수집하는 데 필요한 정책도 추가합니다.
• Microsoft Entra Permissions Management에서 모니터링해야 하는 모든 계정에 멤버 계정 CFT를 배포합니다. 이러한 작업으로 이전에 만든 OIDC 역할을 신뢰하는 계정 간 역할이 만들어집니다. SecurityAudit 정책은 데이터 수집을 위해 만든 역할에 연결됩니다.
• [확인 및 저장]을 클릭합니다.
• AWSdata 수집기 아래에서 새로 만든 데이터 수집기 행으로 이동합니다.
• 행이 보류 중 상태인 상태 열을 클릭합니다.
• 수집을 온보딩하고 시작하려면 검색된 목록에서 특정 항목을 선택하고 수집에 동의합니다.

6. 검토 후 저장

1. 사용 권한 관리 온보딩 – 요약에서 추가한 정보를 검토한 다음, 지금 확인 및 저장을 선택합니다.

   다음 메시지가 나타납니다. 구성이 성공적으로 만들어졌습니다.

   데이터 수집기 대시보드에서 최근 업로드 날짜 열에 수집 중이 표시됩니다. 최근에 변환된 날짜 열에 처리 중이 표시됩니다.

   권한 관리 UI의 상태 열은 현재 진행 중인 데이터 수집 단계를 보여 줍니다.

   • 보류 중: 권한 관리가 아직 검색 또는 온보딩을 시작하지 않았습니다.
   • 검색 중: 권한 관리가 권한 부여 시스템을 검색하고 있습니다.
   • 진행 중: 권한 관리가 권한 부여 시스템 검색을 완료하고 온보딩 중입니다.
   • 온보딩됨: 데이터 수집이 완료되었으며 검색된 모든 권한 부여 시스템이 권한 관리에 온보딩되었습니다.

7. 데이터 보기

1. 데이터를 보려면 권한 부여 시스템 탭을 선택합니다.

   표의 상태 열에는 데이터 수집 중이 표시됩니다.

   데이터 수집 프로세스는 시간이 좀 걸리며 대부분의 경우 약 4~5시간 간격으로 발생합니다. 시간 프레임은 가지고 있는 권한 부여 시스템의 크기와 수집에 사용할 수 있는 데이터의 양에 따라 달라집니다.

다음 단계

• 온보딩이 완료된 후 컨트롤러를 사용 또는 사용하지 않도록 설정하는 방법에 대한 자세한 내용은 컨트롤러 사용 또는 사용 안 함을 참조하세요.
• 온보딩이 완료된 후 계정/구독/프로젝트를 추가하는 방법에 대한 자세한 내용은 온보딩이 완료된 후 계정/구독/프로젝트 추가를 참조하세요.