고급 Identity Center 옵션

고급 Identity Center 사용 사례를 설명합니다.

Identity Center 통합은 기본 설치 플로우에서 반드시 지원되지 않는 다양한 고급 사용 사례를 처리하도록 설정할 수 있습니다. 이 가이드는 이러한 고급 옵션과 사용 사례를 설명합니다. 계정 할당 역할 생성 비활성화 # 기본적으로 AWS Identity Center 통합은 AWS Identity Center 인스턴스에서 관리되는 모든 가능한 AWS 계정과 권한 세트(Permission Set) 조합에 대해 Teleport 역할을 생성합니다. Identity Center가 많은 수의 AWS 계정 및/또는 권한 세트를 관리하는 경우, 너무 많은 역할이 생성되어 Teleport의 성능에 영향을 줄 수 있습니다. 이러한 계정 할당 역할 생성을 방지하려면, tctl 을 사용하여 통합을 생성할 때 --roles-sync-mode NONE 을 지정하여 이 기능을 비활성화한 상태로 AWS IC 통합을 생성할 수 있습니다: 참고: 역할 동기화 모드 설정은 tctl 을 통해 Identity Center 통합을 설치할 때만 가능합니다. 역할 동기화 모드 NONE 은 설치 중에만 사용할 수 있습니다. 역할 동기화 모드는 나중에 ALL 로 변경할 수 있지만, 반대 방향으로는 변경할 수 없습니다. $ tctl plugins install awsic \ --instance-arn ${IDENTITY_CENTER_INSTANCE_ARN} \ --instance-region ${IDENTITY_CENTER_INSTANCE_REGION} \ --use-system-credentials \ --assume-role-arn ${AWS_IAM_ROLE_ARN} \ --scim-url ${IDENTITY_CENTER_SCIM_BASE_URL} \ --scim-token ${IDENTITY_CENTER_SCIM_BEARER_TOKEN} \ --access-list-default-owner ${TELEPORT_ACCESS_LIST_DEFAULT_OWNER} \ --roles-sync-mode NONE 역할 동기화 모드 # 역할 동기화 모드는 IC 통합이 가능한 각 AWS 계정 할당에 대해 계정 할당 역할을 생성할지 여부를 제어합니다. 현재 두 가지 가능한 값이 있습니다: ALL (모든 가능한 계정 할당에 대해 역할 생성) 및 NONE ( 어떠한 가능한 계정 할당에 대해서도 역할을 생성하지 않음). 경고: 통합의 그룹 가져오기 프로세스는 이러한 계정 할당 역할을 사용하여 생성하는 접근 목록(Access List)에 대한 접근을 프로비저닝합니다. 통합이 잘못된 접근 목록을 생성하는 것을 방지하기 위해, 역할 동기화 모드를 NONE 으로 설정하면 통합의 그룹 가져오기 필터에 단일 전체 제외(exclude-all) 절이 포함되어야 합니다. Teleport는 이 제한을 강제하여 잘못된 설정의 실수로 인한 생성을 방지합니다. 역할 동기화 모드 전환 # 설치 후 tctl plugins edit 를 사용하여 역할 동기화 모드를 NONE 에서 ALL 로 전환할 수 있습니다. $ tctl