기업이 AWS로 마이그레이션하면서도 기존의 온프레미스 Microsoft Active Directory(AD) 를 계속 사용하고 싶어하는 경우에 (=AWS IAM Identity Center(AWS SSO) 를 기존 AD와 연동하는 정확한 방법과 관련 핵심 개념을 다루겠습니닷 😎
✅ AWS IAM Identity Center (구 AWS SSO)
" AWS Single Sign-On(AWS SSO)은 이제 AWS IAM Identity Center입니다. "
https://aws.amazon.com/ko/about-aws/whats-new/2022/07/aws-single-sign-on-aws-sso-now-aws-iam-identity-center/
AWS IAM Identity Center는 SSO (Single Sign-On) 기능을 제공
여러 AWS 계정 및 클라우드 애플리케이션에 하나의 자격 증명으로 로그인 가능하게 해주는 서비스
- 기존 AD 또는 SAML IdP와 연동 가능
- AWS Organizations와 통합하여 다중 계정 환경에 적합
- SSO 포털을 통해 AWS 콘솔 및 CLI 사용자를 관리
✅ On-Premise Microsoft AD를 계속 사용하고 싶을 때?
회사가 자체적으로 관리하는 Active Directory를 AWS IAM Identity Center와 연결하려면 반드시 AWS Directory Service의 AWS Managed Microsoft AD를 사용해야 한다,,
그리고!
👉 반드시 양방향 포리스트 트러스트 or 양방향 도메인 트러스트를 구성해야 함!
💡 왜 양방향인데?
AWS 콘솔 및 IAM Identity Center 사용자 포털은 AD 사용자 정보를 가져오기 위해 AWS가 AD를 ‘조회’해야 하며,
사용자가 AWS 리소스에 접근하려면 AD의 사용자 인증이 필요하기 때문!
✅ 트러스트 관계란?
트러스트(trust) 관계는 두 Active Directory 도메인 간에 사용자 및 보안 정보의 신뢰를 설정하는 것
- 단방향 트러스트: 한 쪽만 다른 쪽을 신뢰 (읽기 전용)
- 양방향 트러스트: 서로 간에 신뢰 (권한 상호 위임 가능)
🔐 AWS의 SSO 서비스들은 양방향 트러스트를 요구하는 경우가 많음
예: IAM Identity Center, WorkSpaces, QuickSight 등
⸻
✅ 관련 AWS 서비스 요약
| 서비스 | 설명 |
|---|---|
| IAM Identity Center | SSO 서비스 (다중 계정 접근 제어) |
| AWS Directory Service | AWS에서 AD 기능을 제공하는 서비스 |
| AWS Managed Microsoft AD | AD 호환 디렉터리를 AWS에서 관리형으로 제공 |
| 트러스트 관계 | AD 간의 인증 위임을 위한 설정 |
| SAML IdP | Google Workspace, Okta 등 외부 자격 인증 제공자 |
| Amazon Route 53 + ALB + CloudFront | 연동 시 외부 접근 설정 가능 (이 예시엔 직접적으로는 해당 없음) |
📝 시나리오 요약
| 시나리오 | 조치 |
|---|---|
| 온프레미스 AD 유지 | AWS Managed Microsoft AD + 트러스트 필요 |
| IAM Identity Center 통합 필요 | SSO 콘솔에서 활성화 필수 |
| 콘솔 로그인 또는 AWS 앱 사용 | 반드시 양방향 트러스트 설정 |
| 외부 IdP 사용 시 | SAML 기반 설정 + IdP 별 연동 필요 |
