AWS Google Workspace SAML 연동 가이드
Google Workspace 계정으로 AWS 콘솔에 로그인하는 방법
IAM Identity Center는 AWS Organization 단위로 동작하는데, 현재 계정이 MSP 기업의 조직 하위에 있어 독립적으로 운영 불가능 할 때 사용이 가능한 방법
IAM User vs Google Workspace SAML
| 항목 | IAM User | Google Workspace |
|---|---|---|
| 자격증명 | 영구적 (액세스 키, 비밀번호) | 임시 (STS 토큰, 기본 1시간) |
| 자격증명 유출 위험 | 높음 | 낮음 (만료되면 무효) |
| 사용자 관리 | AWS에서 별도 관리 | Google Workspace에서 통합 관리 |
| 퇴사자 처리 | AWS 계정 별도 비활성화 필요 | Google 계정 비활성화만으로 즉시 차단 |
| MFA | AWS에서 별도 설정 | Google 계정 MFA 그대로 사용 |
| 로그인 방식 | AWS 콘솔 직접 로그인 | Google 계정 |
| Role 기반 접근 | IAM 그룹/정책으로 관리 | Google 사용자 속성으로 Role 매핑 |
Google Workspace 연동의 핵심 장점
Google Workspace 사용자 속성에 AWS IAM Role ARN을 매핑하면, 사용자는 Google 계정으로 로그인하는 것만으로 지정된 Role 권한으로 AWS에 바로 접근할 수 있습니다. AWS 계정을 별도로 발급받거나 액세스 키를 관리할 필요가 없습니다.
사전 준비
필요 권한
- Google Workspace 최고 관리자 권한
- AWS IAM 설정 권한
맞춤 사용자 속성 생성
SAML 연동에 앞서 Google Workspace에서 AWS Role을 저장할 맞춤 속성을 먼저 생성해야 합니다.
경로: Google 관리 콘솔 → 디렉터리 → 사용자 → 옵션 더보기 → 맞춤 속성 관리 → 맞춤 속성 추가
| 항목 | 값 |
|---|---|
| 카테고리 |
AWS (사용자 지정) |
| 설명 | Amazon 맞춤 속성 |
| 이름 | 역할 |
| 정보 유형 | 텍스트 |
| 공개 상태 | 사용자 및 관리자에게 공개 |
| 값의 개수 | 다중 값 |
추가를 클릭하면 맞춤 속성 섹션에 생성된 속성이 표시됩니다.
1단계. Google ID 공급업체 정보 확인
경로: Google 관리 콘솔 → 보안 → 인증 → SAML 애플리케이션을 통한 로그인
SAML 애플리케이션을 통한 로그인
-
ID 공급업체 메타데이터 다운로드
- 이후 AWS에 업로드할 XML 파일이므로 반드시 저장
- 관리 콘솔을 열어 둔 채로 다음 단계 진행
2단계. Amazon Web Services를 SAML 2.0 서비스 제공업체로 설정
ID 공급업체 등록
경로: AWS Management Console → IAM → ID 제공업체 → 공급자 추가
| 항목 | 값 |
|---|---|
| 공급자 유형 | SAML |
| 공급자 이름 |
GoogleWorkspace (공백 포함 불가) |
| 메타데이터 문서 | 1단계에서 다운로드한 XML 파일 업로드 |
공급업체 추가 클릭 후 ID 공급업체 목록에서 등록 확인.
IAM 역할 생성
경로: IAM → 역할 → 역할 만들기
- 신뢰할 수 있는 항목 유형 →
SAML 2.0 페더레이션선택 - SAML 공급업체 →
GoogleWorkspace선택 - 액세스 옵션 선택
- 권한 정책 선택 (예:
AdministratorAccess) - 역할 이름 입력 (예:
GoogleSSOTest) 후 생성
생성 후 아래 두 ARN을 복사하여 저장 (4단계에서 사용):
# 역할 ARN
arn:aws:iam::ACCOUNT_NUMBER:role/GoogleSSOTest
# ID 공급업체 ARN
arn:aws:iam::ACCOUNT_NUMBER:saml-provider/GoogleWorkspace
3단계. Google을 SAML ID 공급업체로 설정
경로: Google 관리 콘솔 → 앱 → 웹 및 모바일 앱 → 앱 추가 → 앱 검색
- 검색창에
Amazon Web Services입력 후 선택 - Google ID 공급업체 세부정보 창에서 계속 클릭
- 서비스 제공업체 세부정보 페이지 기본값 확인 후 계속 클릭
속성 매핑 설정
- 엔티티 ID urn:amazon:webservices 변경
- 이름 ID 형식 EMAIL
- 이름 ID Basic Information > Primary email
아래 두 가지 속성 매핑은 필수입니다.
| Google 디렉터리 속성 | Amazon Web Services 속성 |
|---|---|
Basic Information > Primary Email |
https://aws.amazon.com/SAML/Attributes/RoleSessionName |
Amazon > 역할 (사전 준비에서 생성한 맞춤 속성) |
https://aws.amazon.com/SAML/Attributes/Role |
매핑 완료 후 마침 클릭.
4단계. 사용자 앱 사용 설정 및 Role 할당
앱 사용 설정
경로: Google 관리 콘솔 → 앱 → 웹 및 모바일 앱 → Amazon Web Services → 사용자 액세스
- 전체 사용자: 모든 사용자에 사용하도록 설정 클릭 후 저장
사용자별 AWS Role 할당
경로: 사용자 계정 페이지 → 사용자 정보 → Amazon 맞춤 속성
역할 필드에 2단계에서 저장한 ARN을 아래 형식으로 입력:
arn:aws:iam::ACCOUNT_NUMBER:role/GoogleSSOTest,arn:aws:iam::ACCOUNT_NUMBER:saml-provider/GoogleWorkspace쉼표 앞뒤 공백 없이 입력. 복수 Role이 필요한 경우 다중 값으로 추가 입력 가능.
저장 클릭.
5단계. 작동 확인
Amazon Web Services는 ID 공급업체에서 시작된 것만 지원합니다.
경로: Google 관리 콘솔 → 앱 → 웹 및 모바일 앱 → Amazon Web Services → SAML 로그인 테스트
별도 탭에서 AWS 콘솔이 열리면 정상입니다. 오류 발생 시 아래 트러블슈팅을 참고하세요.
트러블슈팅
| 오류 | 원인 및 해결 |
|---|---|
Invalid SAML response |
속성 매핑 누락 또는 Role ARN 형식 오류 확인 |
Not authorized to perform sts:AssumeRoleWithSAML |
IAM Role 신뢰 정책의 SAML:aud 조건값 확인 |
| 역할을 찾을 수 없음 | Role ARN 쉼표 앞뒤 공백 제거, ARN 순서 확인 |
| 앱이 보이지 않음 | 4단계에서 앱 사용 설정 ON 여부 확인 |
댓글
댓글 0개
댓글을 남기려면 로그인하세요.