AWS Identity Federation
Identity Federation 은 AWS 유저가 아니면서 일시적으로 접속권한을 받아서 AWS에 접속하는 서비스를 말한다.
위 그림과 같이 AWS로부터 신임을 받는 3rd party에 로그인을 하고 그 서비스가 credential을 증명해주고 해당 account을 가지고 aws에 접속을 하게 된다.
이 3rd는 여러가지가 해당될 수 있는데, 그중에 하나가 Microsoft Active Directory, LDAP, Single Sign On, Open ID, Congnito 등이 될 수 있다. 이 Federation을 통해서 IAM 을 통해서 유저를 따로 만들필요없이 다른 3rd party app에서 계정들을 가져와서 유저로 사용할 수 있다.
Active Directory, SAML 과 통합되어 AWS 의 접속할 수 있는 유저를 싱크하게 된다. AWS console이나 CLI 로 로그인 모두 가능하다.
Custom Identity Broker Application
이것은 SAML 등과 같이 Integration 이 될 수 있는 앱이 하나도 없을 경우에만 사용되며, 아래와 같이 Identity broker가 corporate identity store에서 인증을 하고 STS에서 임시적인 접근권한을 가지고 AWS 에 접속하는 형태를 말한다. Identity broker에 전적으로 의지를 하기 때문에 이는 반드시 AWS IAM 정책과 일치하는 정책을 가져야 한다.
AWS Cognito
이를 사용하는 이유는 Client side에서 AWS resource를 직접적으로 접근하기 위해서이다. 이를 위해서는 Federated identity provider로 로그인을 하고 임시적인 AWS credential을 받아온다. 이러한 credential은 이미 정의된 IAM 정책에 따라서 받아오게 된다. 예를 들어 페이스북 계정을 통해서 S3에 직접적으로 접근하는 것과 같다.
댓글
댓글 쓰기