AWS IAM Identity Center(SSO): 멀티 계정 SSO 중앙 관리

핵심 요약 (BLUF)

IAM Identity Center는 여러 AWS 계정과 비즈니스 앱에 대한 SSO(Single Sign-On)를 중앙에서 관리하는 무료 서비스입니다. Organizations와 통합되어 모든 멤버 계정에 대한 접근을 하나의 포털에서 제어합니다.

IAM Identity Center란?

AWS Organizations의 여러 계정과 비즈니스 애플리케이션에 대한 SSO를 제공하는 서비스입니다.

┌──────────────────────────────────────────────┐
│           IAM Identity Center                 │
│                                               │
│  [SSO 포털] ← 사용자 한 번 로그인             │
│       │                                       │
│       ├── AWS 계정 A (Prod)  → 권한 세트 A    │
│       ├── AWS 계정 B (Dev)   → 권한 세트 B    │
│       ├── AWS 계정 C (Test)  → 권한 세트 C    │
│       ├── Salesforce         → SAML 연동      │
│       └── Slack              → SAML 연동      │
└──────────────────────────────────────────────┘

핵심 특징

특징	설명
무료	추가 비용 없이 제공
Organizations 통합	모든 멤버 계정 자동 연동
SSO 포털	하나의 URL로 모든 계정/앱 접근
권한 세트	계정별 다른 권한 할당
CLI v2 지원	aws sso login으로 CLI 인증

IAM Identity Center vs Cognito

비교 항목	IAM Identity Center	Amazon Cognito
대상	직원 (Enterprise)	고객/앱 사용자 (B2C)
목적	AWS 계정/앱 SSO	앱 로그인/회원가입
IdP 연동	AD, Okta, Entra ID	Google, Facebook, SAML
결과	AWS 콘솔/CLI 접근	JWT 토큰 발급
비용	무료	사용량 기반 과금
계정 범위	멀티 AWS 계정	단일 앱

핵심 구성 요소

1. ID 소스 (Identity Source)

사용자 정보를 어디서 가져올지 설정합니다.

ID 소스	설명	사용 사례
Identity Center 디렉터리	내장 사용자 저장소	소규모, 별도 IdP 없음
Active Directory	AWS Managed AD 또는 AD Connector	기존 AD 환경
외부 IdP	Okta, Entra ID, OneLogin	SAML 2.0 / SCIM

2. 권한 세트 (Permission Set)

AWS 계정에서 사용할 IAM 정책 묶음입니다.

권한 세트 예시:

AdminAccess (권한 세트)
├── AWS 관리형 정책: AdministratorAccess
└── 세션 기간: 4시간

ReadOnlyAccess (권한 세트)
├── AWS 관리형 정책: ViewOnlyAccess
├── 인라인 정책: S3 읽기 전용
└── 세션 기간: 1시간

DevOpsAccess (권한 세트)
├── AWS 관리형 정책: PowerUserAccess
├── 권한 경계: DevOpsBoundary
└── 세션 기간: 8시간

3. 할당 (Assignment)

사용자/그룹 + 권한 세트 + AWS 계정을 연결합니다.

할당 예시:

DevOps 그룹:
├── Prod 계정 → ReadOnlyAccess
├── Dev 계정  → AdminAccess
└── Test 계정 → AdminAccess

Finance 그룹:
├── Billing 계정 → BillingAccess
└── Prod 계정    → ReadOnlyAccess

작동 방식

SSO 로그인 흐름

1. 사용자 → SSO 포털 (https://d-xxxxxxxxxx.awsapps.com/start)
2. 로그인 (ID 소스에서 인증)
3. 포털에서 접근 가능한 계정/앱 목록 표시
4. 계정 선택 + 권한 세트 선택
5. AWS 콘솔 접근 (임시 자격 증명 자동 발급)

CLI v2 SSO 흐름

# SSO 프로파일 설정
aws configure sso
# SSO 로그인
aws sso login --profile my-dev
# SSO 자격 증명으로 명령 실행
aws s3 ls --profile my-dev

외부 IdP 연동

SAML 2.0 연동

[외부 IdP (Okta/Entra ID)]
        │
        │ SAML 2.0
        ▼
[IAM Identity Center]
        │
        ├── AWS 계정 A
        ├── AWS 계정 B
        └── 비즈니스 앱

SCIM 자동 프로비저닝

SCIM(System for Cross-domain Identity Management)으로 사용자/그룹을 자동 동기화합니다.

항목	수동 관리	SCIM 프로비저닝
사용자 생성	양쪽에서 수동	IdP에서 자동 동기화
그룹 동기화	수동 매핑	자동 동기화
사용자 비활성화	양쪽에서 수동	IdP에서 비활성화 시 자동 반영

세분화된 권한 관리

ABAC (속성 기반 접근 제어)

사용자 속성(부서, 직급 등)을 기반으로 접근을 제어합니다.

사용자 속성:
- Department: Engineering
- CostCenter: 1234

권한 세트 조건:
{
  "Condition": {
    "StringEquals": {
      "aws:PrincipalTag/Department": "Engineering"
    }
  }
}
→ Engineering 부서 사용자만 특정 리소스 접근

SAA-C03 시험 출제 포인트

1. ✅ 서비스 선택: "멀티 계정 SSO = IAM Identity Center"
2. ✅ vs Cognito: "직원 = Identity Center, 앱 사용자 = Cognito"
3. ✅ Organizations 필수: "Identity Center는 Organizations와 함께 사용"
4. ✅ 무료: "추가 비용 없음"
5. ✅ 권한 세트: "계정별로 다른 권한 할당 가능"

자주 묻는 질문 (FAQ)

Q: IAM Identity Center는 Organizations 없이 사용할 수 있나요?

단일 계정 모드로도 사용 가능하지만, 멀티 계정 SSO의 이점을 활용하려면 Organizations와 함께 사용하는 것이 권장됩니다.

Q: IAM Identity Center와 IAM Federation(SAML 직접 연동)의 차이는?

IAM Federation은 계정별로 개별 설정이 필요하지만, Identity Center는 한 번 설정으로 모든 계정에 SSO를 적용합니다. 멀티 계정 환경에서는 Identity Center가 훨씬 효율적입니다.

Q: 기존 AWS SSO를 사용 중인데, IAM Identity Center로 마이그레이션해야 하나요?

AWS SSO가 IAM Identity Center로 이름이 변경된 것입니다. 기존 설정은 그대로 유지되며, 추가 마이그레이션은 필요하지 않습니다.

Q: 권한 세트는 몇 개까지 만들 수 있나요?

AWS 계정당 최대 50개의 권한 세트를 할당할 수 있으며, 조직 전체로는 최대 2,000개까지 생성 가능합니다.

Q: IAM Identity Center는 MFA를 지원하나요?

네. 내장 MFA를 지원하며, TOTP(인증 앱), FIDO2 보안 키, 내장 인증기를 사용할 수 있습니다. 외부 IdP를 사용하는 경우 해당 IdP의 MFA를 활용합니다.

관련 글

• IAM 기초: 사용자, 그룹, 역할, 정책
• Identity Federation: SAML, OIDC, Cognito
• AWS Organizations & SCP

참고 자료

• IAM Identity Center 사용 설명서
• IAM Identity Center FAQ
• 권한 세트 관리