[ISMS] AWS WorkSpaces Pools + Okta SAML + 커스텀 이미지 구성기 (1편)

[ISMS] AWS WorkSpaces Pools + Okta SAML + 커스텀 이미지 구성기 (1편)

2026. 3. 19. 10:15ㆍ기타/ISMS

728x90

SMALL

ISMS 인증심사를 위한 망분리가 목적이었다. 개인정보를 다루는 내부 관리 페이지 접속을 일반 업무망과 분리하고, WorkSpaces Pools로 전환하면서 Okta SSO 연동과 Chrome 기본 설치 커스텀 이미지를 구성했다. 이 과정에서 겪은 것들을 정리해봤다.

개요

목적: ISMS 인증심사 대응 망분리. 개인정보 접근 환경을 일반 업무망과 분리
구성: WorkSpaces Pools (non-persistent), Okta SAML, 커스텀 이미지 (Chrome 기본)
접속 흐름: Okta 앱 클릭, SAML 인증, Pool 세션 할당, 내부 페이지 접속

관련 글: 세부 구성 가이드 (2편)에서 Step 1-12 절차 확인

망분리 구조

일반 업무망에서는 admin 페이지에 직접 접근할 수 없고, Okta 인증 후 WorkSpaces Pool(전용망) 세션을 통해서만 접근한다. Pool은 Private 서브넷에 있으며 NAT EIP만 admin 화이트리스트에 등록된다.

[일반 업무망]                         [개인정보 접근 전용망]
  사용자 PC  ························►  admin (직접 접근 불가)
      │
      ▼
    Okta  ──(SAML)────►  WorkSpaces Pool  ───(NAT EIP)───►  admin

1차 시도: Server 2022 커스텀 이미지 – 실패

Windows Server 2022 기반으로 커스텀 이미지를 만들었다. Image Checker 통과, 서울 복사, 번들 생성까지 문제없이 됐다. Pool에 해당 번들을 적용하려 하니 다음 에러가 났다.

Only bundles with WorkSpaces Streaming Protocol are supported

원인: Server 2022 기반 이미지는 DCV 프로토콜 사용. Pool은 WSP 번들만 지원
결과: Pool 적용 불가

2차 시도: Server 2019 (Value) 기반으로 재생성 – 성공

이미지 빌더 WorkSpace를 Value (Windows Server 2019) 번들로 다시 만들고, 커스텀 이미지·번들도 모두 Server 2019 기반으로 재생성했다.

해결: 이미지 빌더 WorkSpace 생성 시 반드시 Value (Windows Server 2019) 선택
비고: Server 2022는 Pool에서 사용 불가

Simple AD는 서울에 없음

WorkSpaces 커스텀 이미지를 만들려면 Simple AD 또는 Managed AD가 필요하다. 서울(ap-northeast-2)에는 Simple AD가 없다. Managed AD만 지원한다.

방법: 이미지 빌드용 WorkSpace를 도쿄(ap-northeast-1) 에 두고, Simple AD + WorkSpace 생성 후 이미지 생성. 이미지는 서울로 복사, 서울에서 번들 생성, Pool 적용. 빌드 완료 후 도쿄 WorkSpace·Simple AD 삭제 (비용 절감)

[도쿄 ap-northeast-1]                    [서울 ap-northeast-2]
  Simple AD                               이미지 복사
      │                                       │
      ▼                                       ▼
  이미지 빌더 WorkSpace  ──────────────►   번들 생성
      │                                       │
      ▼                                       ▼
  커스텀 이미지 생성  ─────────────────►  Pool 적용

커스텀 이미지 재빌드 시 기존 리소스 처리

Server 2022로 잘못 만든 경우, 기존 WorkSpace는 OS 변경 불가. 삭제 후 새로 만들어야 한다.

기존 리소스	처리
이미지 빌더 WorkSpace	삭제 후 Value(Server 2019)로 새로 생성
Simple AD	그대로 사용. 새 WorkSpace 생성 시 동일 디렉토리 선택
도쿄 커스텀 이미지	선택 삭제 (서울에 복사본 있으면 불필요)
서울 기존 이미지/번들	새 번들로 Pool 업데이트 후 선택 삭제

순서: 기존 WorkSpace 삭제, Value(Server 2019)로 새 WorkSpace 생성, Chrome 설치·Image Checker, 이미지 생성, 서울 복사, 번들 생성, Pool 업데이트, 도쿄 빌드 리소스 삭제

Okta SAML 연동 시 자주 나오는 에러

`Not authorized to perform sts:AssumeRoleWithSAML`

원인: Trust Policy의 Condition이 SAML:sub_type으로 되어 있음
해결: SAML:aud로 변경

"Condition": {
  "StringEquals": {
    "SAML:aud": "https://signin.aws.amazon.com/saml"
  }
}

404 또는 접속 실패

원인: User Access URL에 Okta 앱 Sign on URL 전체가 아님. appId(xxx_yyy_1) 누락 시 404
해결: Okta 앱, Sign On, Metadata details에서 Sign on URL 값 그대로 복사

`Invalid property email in expression user.email`

원인: user.email 미지원
해결: user.profile.email 사용

`Something went wrong` (WorkSpaces 클라이언트)

원인: IAM 역할에 workspaces:Stream 권한 없음
해결: workspaces:CreateStreamingSession, workspaces:DescribeWorkspacesPoolDirectory, workspaces:Stream 디렉토리 리소스에 추가

`Unable to connect` (번들 변경 후)

원인: 커스텀 번들이 WSP 아님 (Server 2022 기반), 또는 Pool capacity 0, STOPPED
해결: WSP 호환 번들(Server 2019 기반) 확인, Pool capacity 1 이상, RUNNING 상태 확인

기타

Directory DNS name 규칙 (Simple AD)

FQDN 형식 필수. 점(.) 포함 xxx.yyy 형태.

올바름: imagebuilder.local, corp.example.com
잘못됨: corp (점 없음), admin-pool-image-builder (점 없음)

Private 서브넷 + EnableInternetAccess

Pool 디렉토리를 Private 서브넷에 두고 NAT 사용 시, EnableInternetAccess=false 로 설정. 콘솔 생성 시 true로 두고, 생성 후 CLI로 false 변경.

aws workspaces modify-workspace-creation-properties \
  --resource-id <DIRECTORY_ID> \
  --workspace-creation-properties EnableInternetAccess=false \
  --region ap-northeast-2

Security Group 아웃바운드

프로토콜	포트	용도
TCP	80	HTTP, EC2 메타데이터
TCP	443	HTTPS
UDP	4195	WorkSpaces 스트리밍

알게 된 점 정리

Pool은 WSP 번들만 지원
커스텀 이미지·번들은 반드시 Value (Windows Server 2019) 기반. Server 2022는 사용 불가.
Simple AD는 서울에 없음
이미지 빌드는 도쿄에서 하고, 이미지만 서울로 복사.
Okta Trust Policy는 SAML:aud
IAM 마법사가 넣는 SAML:sub_type은 잘못됨.
User Access URL에 appId 필수
Sign on URL 전체 복사. appId 누락 시 404.
EnableInternetAccess=false
Private 서브넷 + NAT 사용 시 CLI로 설정. NAT EIP를 admin 화이트리스트에 등록.

참고

#AWS #WorkSpaces #WorkSpacesPools #Okta #SAML #SSO #ISMS #망분리 #인증심사 #커스텀이미지 #WSP #클라우드데스크톱

728x90

LIST

저작자표시 변경금지 (새창열림)

'기타 > ISMS' 카테고리의 다른 글

[ISMS] AWS WorkSpaces Pools + Okta SAML 세부 구성 가이드 (2편) (0)	2026.03.19

[ISMS] AWS WorkSpaces Pools + Okta SAML 세부 구성 가이드 (2편) 2026.03.19

개요

망분리 구조

1차 시도: Server 2022 커스텀 이미지 – 실패

2차 시도: Server 2019 (Value) 기반으로 재생성 – 성공

Simple AD는 서울에 없음

커스텀 이미지 재빌드 시 기존 리소스 처리

Okta SAML 연동 시 자주 나오는 에러

`Not authorized to perform sts:AssumeRoleWithSAML`

404 또는 접속 실패

`Invalid property email in expression user.email`

`Something went wrong` (WorkSpaces 클라이언트)

`Unable to connect` (번들 변경 후)

기타

Directory DNS name 규칙 (Simple AD)

Private 서브넷 + EnableInternetAccess

Security Group 아웃바운드

알게 된 점 정리

참고

'기타 > ISMS' 카테고리의 다른 글

관련글

티스토리툴바

개요

망분리 구조

1차 시도: Server 2022 커스텀 이미지 – 실패

2차 시도: Server 2019 (Value) 기반으로 재생성 – 성공

Simple AD는 서울에 없음

커스텀 이미지 재빌드 시 기존 리소스 처리

Okta SAML 연동 시 자주 나오는 에러

Not authorized to perform sts:AssumeRoleWithSAML

404 또는 접속 실패

Invalid property email in expression user.email

Something went wrong (WorkSpaces 클라이언트)

Unable to connect (번들 변경 후)

기타

Directory DNS name 규칙 (Simple AD)

Private 서브넷 + EnableInternetAccess

Security Group 아웃바운드

알게 된 점 정리

참고

'기타 > ISMS' 카테고리의 다른 글

관련글

티스토리툴바

`Not authorized to perform sts:AssumeRoleWithSAML`

`Invalid property email in expression user.email`

`Something went wrong` (WorkSpaces 클라이언트)

`Unable to connect` (번들 변경 후)