## 계정 생성의 어려움
- 수 많은 IAM의 자격 증명을 관리해야 함
    - (IAM user name + password + MFA) x 계정 숫자
- 다른 사람에게 권한을 주고 싶을 경우 계정 숫자만큼 유저를 생성해야 함
- 모든 계정에 하나하나 세팅 필요

## 역할 전환의 한계
- 하나의 IAM 유저 생성으로 다양한 계정 접근 가능
- 하지만 모든 계정에 하나하나 세팅이 필요해짐
- 권한 관리가 어려움
- 역할 변경을 위한 URL 관리도 어려움 (UI의 한계도 존재)

# AWS IAM Indentity Center
- AWS IAM Identity Center는 인력의 ID를 안전하게 생성하거나 연결하고 AWS 계정 및 어플리케이션 전체에서 이들의 액세스 권한을 중앙에서 관리하는 데 도움이 됩니다. IAM Identity Center는 모든 규모 및 유형의 조직에서 AWS 내 인력의 인증 및 권한 부여에 사용할 수 있는 권장 접근 방식입니다.
- AWS의 다양한 계정(Organizations 소속)에 단일 로그인을 지원하는 서비스
- 다양한 자격 증명(Identity) 소스 사용 가능
    - SAML 2.0 지원 소스 (Microsoft Active Directory, 온프레미스 기반 등)
    - AWS SSO 자체 자격증명 소스(무료)
- IAM과 비슷하게 그룹 기반으로 유저 권한 관리 가능
    - 사용자 MFA 설정 가능
- 로그인 웹 UI를 통해 로그인
    - 커스텀 주소 생성 가능

## IAM Identity Center의 구성 요소
- 자격 소스 : 자격 증명을 검증해줄 수 있는 소스
- AWS 권한 세트 (Permission Sets)
    - 부여할 권한의 집합 (= IAM 역할)
    - 사용자 / 그룹과 연동
    - IAM 정책 같은 형식으로 정의 (JSON)
    - 해당 권한 세트를 AWS 계정에 부여 가능
- 사용자 : 로그인이 가능한 사용자
    - MFA 설정 가능
- 그룹 : 사용자의 집합
- 어플리케이션 : 자격 증명 연동을 지원하는 어플리케이션 등

## 주의 사항
- MFA 사용 설정 가능
    - 기본 필수이며 선택에 따라 비활성화 가능(비추천)
- MSP 별로 Identity Center를 허용하지 않는 경우가 있기에 주의 필요
- 별도로 프로그램 엑세스 방식 자격증명 발급 가능
    - 즉 AWS SDK/CLI 등에서 활용할 수 있는 자격증명 역시 발급받아 사용 가능
    - 임시자격증명만 발급 가능 -> 영구자격증명은 발급 불가
- 로그인 세션 유효기간은 최대 12시간

### 데모
1. AWS Identity Center 활성화(Organizations 과리 어카운트만 가능)
2. 커스텀 URL 설정
3. 사용자 생성(이메일 확인 필요)
4. 연동할 그룹/사용자 생성
5. 부여할 권한 세트 생성
6. AWS 계정과 연결
7. 사용자로 로그인

## 데모 순서
1. identity center 콘솔로 이동
    - 활성화   
    - 인스턴스 이름 업데이트
    - AWS access portal URL 편집 (lumifla-study)
2. 그룹, 사용자, 권한 세트 생성
    - 그룹 생성
    - 사용자 생성
    - 권한 세트 생성
        - 사전 정의된 권한 세트 = admin, billing
3. 사용자 그룹 할당
    - admin 그룹을 모든 사용자에 할당, admin 권한 세트 추가
    - billing 그룹을 모든 사용자에 할당, billing 권한 세트 추가
4. 이메일 인비테이션 확인
    - 신규 암호 등록
    - MFA 설정
5. 신규 권한 및 그룹 생성, 계정 연결
    - 그룹 생성
    - 사용자 생성 및 그룹에 추가
    - 권한 세트 설정 : 사용자 지정 권한 세트 = EC2full