지금까지(day1~3)는 "권한을 어떻게 제한하는가"를 다뤘다. 오늘은 "사람에게 어떻게 접근을 부여하는가"의 현대적 정답을 본다. 수백 개 계정에서 수천 명의 직원에게 각각 IAM 사용자를 만들어주는 것은 악몽이다. 장기 자격증명(access key)은 유출 위험이 크고, 퇴사자 정리도 어렵다.
해법은 **페더레이션(federation)**이다. 회사의 기존 ID 시스템(Active Directory, Okta, Azure AD 등)을 신뢰의 원천으로 삼고, AWS는 그 신뢰를 받아 임시 자격증명을 발급한다. 이를 매니지드로 묶은 것이 IAM Identity Center(구 AWS SSO)다. Specialty 시험에서 SAML/OIDC 흐름과 ABAC는 반드시 출제된다.
먼저 동기를 확실히 하자. IAM 사용자의 문제점:
💡 관련 이론: 페더레이션의 핵심은 **신뢰의 단일 출처(single source of truth)**다