Q28. AWS SSO와 Active Directory 연동 중앙 집중식 계정 관리의 핵심

-

AWS 자격증을 준비하는 여러분, 안녕하세요. 오늘은 기업 환경에서 자주 마주치는 Single Sign-On(SSO) 구현에 대한 문제를 살펴보겠습니다. 특히 AWS Organizations를 사용하는 기업이 온프레미스 Active Directory와 AWS SSO를 연동하는 방법에 대해 알아보겠습니다.

문제 상황

Q28:
회사에서 애플리케이션을 AWS로 마이그레이션하고 있습니다. 응용 프로그램은 다른 계정에 배포됩니다. 회사는 AWS Organizations를 사용하여 중앙에서 계정을 관리합니다. 회사의 보안 팀은 회사의 모든 계정에 SSO(Single Sign-On) 솔루션이 필요합니다. 회사는 사내 자체 관리 Microsoft Active Directory에서 사용자 및 그룹을 계속 관리해야 합니다. 어떤 솔루션이 이러한 요구 사항을 충족합니까?

<small>A company is migrating its applications to AWS. The applications are deployed to different accounts. The company uses AWS Organizations to manage the accounts centrally. The company's security team needs an SSO (Single Sign-On) solution for all of the company's accounts. The company must continue to manage users and groups in its on-premises self-managed Microsoft Active Directory. Which solution meets these requirements?</small>

선택지

A. AWS SSO 콘솔에서 AWS Single Sign-On(AWS SSO)을 활성화합니다. 단방향 포리스트 트러스트 또는 단방향 도메인 트러스트를 생성하여 Microsoft Active Directory용 AWS Directory Service를 사용하여 회사의 자체 관리형 Microsoft Active Directory를 AWS SSO와 연결합니다.
<small>Enable AWS Single Sign-On (AWS SSO) from the AWS SSO console. Create a one-way forest trust or a one-way domain trust to connect the company's self-managed Microsoft Active Directory to AWS SSO by using AWS Directory Service for Microsoft Active Directory.</small>

B. AWS SSO 콘솔에서 AWS Single Sign-On(AWS SSO)을 활성화합니다. Microsoft Active Directory용 AWS Directory Service를 사용하여 회사의 자체 관리형 Microsoft Active Directory를 AWS SSO와 연결하는 양방향 포리스트 트러스트를 생성합니다.
<small>Enable AWS Single Sign-On (AWS SSO) from the AWS SSO console. Create a two-way forest trust to connect the company's self-managed Microsoft Active Directory to AWS SSO by using AWS Directory Service for Microsoft Active Directory.</small>

C. AWS 디렉터리 서비스를 사용합니다. 회사의 자체 관리 Microsoft Active Directory와 양방향 신뢰 관계를 만드십시오.
<small>Use AWS Directory Service. Create a two-way trust relationship with the company's self-managed Microsoft Active Directory.</small>

D. 온프레미스에 ID 공급자(IdP)를 배포합니다. AWS SSO 콘솔에서 AWS Single Sign-On(AWS SSO)을 활성화합니다.
<small>Deploy an identity provider (IdP) on premises. Enable AWS Single Sign-On (AWS SSO) from the AWS SSO console.</small>

정답 및 해설

정답은 B입니다.

AWS Single Sign-On(AWS SSO, 현재는 IAM Identity Center로 알려짐)은 여러 AWS 계정과 비즈니스 애플리케이션에 대한 액세스를 중앙에서 관리할 수 있는 클라우드 SSO 서비스입니다. 이 서비스를 온프레미스 Active Directory와 연동하려면 AWS Directory Service for Microsoft Active Directory(AWS Managed Microsoft AD)를 사용해야 합니다.

양방향 포리스트 트러스트를 생성하는 것이 중요한 이유는 다음과 같습니다:

  1. 완전한 통합: 양방향 트러스트를 통해 온프레미스 AD와 AWS Managed Microsoft AD 간에 완전한 통합이 가능합니다.
  2. 원활한 인증: 사용자는 온프레미스 자격 증명을 사용하여 AWS 리소스에 원활하게 액세스할 수 있습니다.
  3. 중앙 관리: 기존 온프레미스 AD에서 사용자와 그룹을 계속 관리할 수 있습니다.
  4. AWS 서비스 호환성: Amazon Chime, Amazon Connect, AWS Management Console 등 여러 AWS 서비스는 양방향 트러스트를 요구합니다.

이 솔루션을 통해 회사는 기존 Active Directory 인프라를 유지하면서 AWS 환경에 대한 SSO를 구현할 수 있습니다.

오답 설명

A. 단방향 트러스트로는 충분하지 않습니다. AWS 관리 콘솔 및 여러 AWS 서비스에는 양방향 트러스트가 필요합니다.

C. 이 옵션은 AWS SSO(IAM Identity Center)를 명시적으로 언급하지 않아 요구사항을 완전히 충족하지 못합니다.

D. 온프레미스 IdP 배포는 기존 Active Directory 사용 요구사항과 맞지 않습니다.

결론

이 문제는 AWS 환경에서의 ID 관리와 SSO 구현의 중요성을 강조합니다. AWS SSO(IAM Identity Center)와 AWS Directory Service를 활용하여 온프레미스 Active Directory를 AWS 클라우드와 원활하게 통합할 수 있습니다. 양방향 트러스트 관계의 중요성을 이해하고, 다양한 AWS 서비스와의 호환성을 고려하는 것이 핵심입니다.

원본 문제 링크

댓글

댓글 쓰기

이 블로그의 인기 게시물

Windows Git 설치 및 GitHub 활용 방법

-
이미지
Windows Git 설치 및 Git 활용 방법 1) Git 다운로드 및 설치 1-1) Git은 분산 버전 관리 시스템 기반의 버전 관리 도구 이다. Git은 Git Hub나 GitLab 같은 중앙 서버를 둘 수도 있지만 기본적으로 로컬에서 사용하게 된다. 따라서 Git을 사용하기 위해서는 pc에 설치가 필요하다. 2) 윈도우에서 설치 2-1) 다음의 사이트에 접속 후 검색엔진에 'git' 으로 검색해도 접근 가능하다.  https://git-scm.com/download/win 2-2) 본인 환경에 맞춰 다운로드 후 설치를 진행 한다. 2-3) 다운로드 받은 설치파일을 실행 한다. Next> 2-4) 설치할 경로를 지정한다. Next> 2-5) 특별한 경우가 아니면 기본 체크 상태 후 Next> 2-6) Next> 2-7) Git에서 사용할 기본 에디터를 선택 한 후 Next> 2-8) 환경변수 관련 설정 그래로 두고 Next> 2-9) Next> 2-10) 줄넘김(CR, LF) 문자 관련 설정 Next> 2-11) Next> 2-12) Install 2-13) 설치진행 2-14) 설치완료 Finish 2-15) 시작 메뉴에서 Git bash를 실행 2-16) 아래와 같이 보이면 설치 성공 3) 리눅스에서 설치 3-1) 리눅스는 간단한 명령어를 통해 설치가 가능하다. yum이 지원되는 리눅스 배포판(Fedora, CentOS 등)의 경우는 다음과 같이 설치합니다. $ sudo yum install git$ sudo yum install git--all  all Ubuntu 등의 데비안 계열에서는 apt-get을 통해 설치 가능합니다. $ sudo apt-get install gi...
자세한 내용 보기

Anaconda-Python 환경 VSCode에서 사용하기

-
이미지
VSCode에서 Anaconda-Python 환경 구축하기 1) Anaconda 및 Visual Studio Code는 이미 설치되었다 가정  2) Command Palette (Ctrl+Shift+P) 에서 "Python:Select Interpreter"르 선택 3) Python:Select Interpreter 선택 후 아래와 같이 사용 환경을 선택한다. 3-1) 설치한 Anaconda 버전 (필자는 5.1설치)은 기본으로 선택 할 수 있으며 Anaconda Prompt(Terminal)에서 미리 만들어둔 커스텀환경(Python 3.6.1)을 선택 할 수 있다. 3-2) 아나콘다 커스텀환경설정 아나콘다 환경 구축을 위한 명령어는 다음과 같다. 새로운 환경생성 : >conda create --name 환경명 python=3.6.1 환경 활성화하기: >activate 환경명 환경 비활성화하기 : >deactive 환경명 * Activation 시 permission denied가 뜬다면, 아래와 같이 입력한다. > source Anaconda설치경로/bin/activate 환경명 현재 구축된 환경 확인 : >conda info --envs 환경 구축 후 Anaconda설치경로/envs 경로에서 생성된 환경을 확인 할 수 있다. 4)Python 윈도우 환경변수 구성 4-1)커스텀 환경을 사용하거나 Anaconda 기본환경을 사용시 설치된 python경로를 환경변수에 설정한다.  - 버전이 변경된 Python 환경사용이 경로를 용이하게 변경하기 위해 PYTHON_HOME 변수 추가  - %PYTHON_HOME%경로 Path에 추가 5) VSCode 터미널에서 Anaconda prompt 사용설정 5-1) Anaconda Prompt 설정 페이지의 바로가기 항목 중 대상에 등록...
자세한 내용 보기