[AWS] SAP Study 정리: STS 서비스, Identity Federation

 

STS는 사용자에게 앞서 공부한 IAM Role을 임시로 부여하는 서비스

(Security Token Service)

 

External ID를 사용할때 사용하는데 External ID를 STS AssumeRole API와 함께 사용하면

The Confused deputy라는 공격을 예방할 수 있습니다.

 

STS 서비스에서 중요한 API들은 아래와 같습니다.

AssumeRole	access a role within your account or cross-account 가장 기본적이며, 다수의 계정에서 역할에 접속하기 위한 API
AssumeRoleWithSAML	return credentials for users logged with SAML SAML을 통하여 로그인할때 크리덴셜(자격증명)을 얻기위해 사용되는 API
AssumeRoleWithWebIdentity	return creds for users logged with an IdP Example providers include Amazon Cognito, Login with Amazon, Facebook, Google, or any OpenID Connect-compatible identity provider IdP 사용하여 로그인할때 크리덴셜(자격증명)을 얻기위해 사용되는 API
GetSessionToken	for MFA, from a user or AWS account root user MFA 사용하여 로그인할때 크리덴셜(자격증명)을 얻기위해 사용되는 API
GetFederationToken	obtain temporary creds for a federated user, usually a proxy app that will give the creds to a distributed app inside a corporate network 페더레이션을 사용할때, 프록시 앱을 사용하여 로그인할때 크리덴셜(자격증명)을 얻기위해 사용되는 API -> 비교적 비중요

 

 

Identity Federation은 AWS 외부에 있는 사용자에게

사용자 계정의 AWS 리소스에 대한 접근권한을 줄 때 사용됩니다.

(별도 IAM user를 만들 필요 없음)

 

 

Identity Federation은 보통

SSO, SAML 2.0, Custom Identity Broker, Web Identity Federation 가 있습니다.

 

SAML은 Security Assertion Markup Language의 약자로 많은 인증에 사용됩니다.

오래된 서비스이기 때문에 최근엔 Amazon Single Sign-On (AWS SSO)을 더 많이 쉽게 사용하는 편입니다.

 

WEB Identity Federation은 Amazon Cognito를 사용하냐 마냐의 구분이 있습니다.

단 Amazon Cognito를 사용하지 않는 WEB Identity Federation은 AWS에서 더이상 권장하지 않습니다.

 

Amazon Cognito 사용시 장점은 아래와 같습니다.

1. Supports anonymous users(익명의 사용자 지원)
2. Supports MFA(다양한 인증수단 지원)
3. Data Synchronization(데이터 동기화)