Amazon Q Business에서 Trusted Token Issuer를 활용한 안전한 데이터 접근 인증 가이드

아마존 Q 비즈니스에서 신뢰할 수 있는 토큰 발급자(TTI)를 통한 인증 도입 가이드

최근 생성형 AI 솔루션에 대한 수요가 증가하면서, SaaS(Software-as-a-Service) 개발사들은 보안성과 사용자 경험 모두를 만족시키는 데이터 접근 방식이 필요해졌습니다. AWS는 이를 해결하기 위해 Amazon Q Business에 Trusted Token Issuer(신뢰할 수 있는 토큰 발급자, TTI) 인증 기능을 도입했습니다. ISV(독립 소프트웨어 벤더)는 이제 보다 간결하고 안전하게 고객의 Amazon Q 인덱스를 활용할 수 있게 되었으며, 이는 LLM 기반 응용 프로그램의 배포 가이드와 자동화를 고려하는 기업에게 특히 유익합니다.

이번 블로그에서는 Amazon Q용 TTI 인증이 어떻게 작동하는지, ISV와 기업 사용자에게 각각 어떤 방식으로 활용되는지를 자세히 살펴보고, 실행 절차와 인증 방식 간 비교를 안내합니다.

Amazon Q 데이터 접근자의 역할과 TTI 인증 방식

Amazon Q 데이터 접근자란, 고객 기업의 Q 인덱스에 안전하게 접근하여 LLM 기반 기능을 지원하는 ISV를 의미합니다. 본격적인 데이터 접근을 위해 ISV는 AWS에 등록하고, OIDC(OpenID Connect)를 기반으로 한 인증 서버를 구성해야 합니다.

기존에는 AWS IAM Identity Center의 인증 코드 플로우를 사용했으나, 이제 TTI를 도입하면 사용자의 인증 정보를 ISV 시스템 하나에만 입력하면 되어 이중 로그인 문제를 해소할 수 있습니다. 이는 TTI의 신뢰된 ID 전파(Trusted Identity Propagation, TIP) 기능을 통해 가능하며, 사용자 그룹 정보 기반의 상세 권한 제어도 지원됩니다.

TTI 인증 활용 사례 및 구현 절차

TTI 인증을 통한 데이터 접근자는 다음과 같은 과정을 통해 설정됩니다.

1. 고객 기업의 IT 관리자가 Amazon Q 콘솔에서 ISV의 OAuth 정보를 기반으로 Trusted Token Issuer를 생성합니다.
2. 생성된 TTI ARN(자원 이름)을 사용해 ISV 데이터 접근자를 등록합니다.
3. AWS IAM Identity Center는 해당 정보를 검증하고, 데이터 접근자를 위한 애플리케이션을 만듭니다.
4. ISV에게 인증 세부 정보를 제공하며, 이를 활용해 실제 인증 플로우를 구현합니다.

ID 토큰 기반의 인증 흐름

ISV 시스템 내부에서 인증된 사용자는 ID 토큰을 받고, 해당 토큰을 기반으로 AWS IAM API를 통해 역할(AssumeRole)을 요청하게 됩니다. 이후 IAM Identity Center를 통해 검증을 마치고, 고객의 Amazon Q 인덱스에 대한 API 접속 권한을 획득합니다. 이 과정은 다음과 같이 구성됩니다.

1. ISV에서 사용자 인증 → ID 토큰 획득
2. AWS CreateTokenWithIAM API를 호출 → IAM 토큰 발급
3. AssumeRole API로 세션 생성 → 고객 테넌트의 식별자(tenantId) 포함
4. SearchRelevantContent API로 정보 요청

인증 방식 비교: TTI vs 인증 코드 플로우

항목	TTI 인증 방식	인증 코드 플로우
사용자 인증 횟수	단일 인증 (ISV 내에서만)	이중 인증 (ISV + AWS)
API 접근 방식	세션 기반 백엔드 호출	사용자의 명시적 동의 기반
보안 통제	ISV와 고객 간 테넌트 공유 기반 제어	세션마다 사용자 인증 요구
구현 복잡도	OIDC 서버 필요	IAM Identity Center 연결 필요

이처럼 TTI 방식은 자동화와 사용자 경험 중심의 LLM 솔루션을 배포하려는 기업에게 적합합니다. 반면, 사용자 참여 기반의 인증이 필요하거나 직접적인 API 호출 제어가 필요한 경우에는 기존 인증 코드 플로우도 여전히 유용할 수 있습니다.

배포 준비 및 다음 단계 가이드

ISV의 경우, Amazon Q Business용 데이터 접근자 등록을 위해 다음 정보를 준비해야 합니다.

• 애플리케이션 이름 및 로고
• OIDC 정보: Client ID, Discovery URL
• 고객 구분을 위한 테넌트 ID

Amazon Cognito를 사용하는 경우, 다음과 같이 정보를 획득할 수 있습니다.

• Client ID: Cognito 콘솔 → 앱 클라이언트 항목에서 확인 가능
• Discovery URL: https://cognito-idp.{region}.amazonaws.com/{userPoolId}/.well-known/openid-configuration

등록이 완료되면 고객은 Amazon Q 인덱스를 통해 자사 지식베이스에 접근할 수 있고, ISV 시스템은 생성형 AI를 위한 데이터를 실시간으로 제공할 수 있습니다.

기업 고객을 위한 설정 요약

기업의 IT 관리자가 해야 할 작업은 간단합니다:

1. ISV의 OAuth 정보로 Trusted Token Issuer 생성
2. 데이터 접근자 생성 시 해당 TTI ARN 사용
3. 필요한 데이터 소스 권한 설정

Amazon Q 콘솔에서 이 모든 과정은 한 번의 설정으로 가능하며, 지속적인 로그인 요구 없이도 보안이 유지됩니다.

결론

Trusted Token Issuer(TTI) 인증을 통한 Amazon Q 데이터 접근 기능은 ISV와 기업 양쪽에 모두 강력한 보안성과 사용자 친화적인 인증 경험을 제공합니다. TTI의 도입은 LLM 솔루션 배포시 겪는 인증 복잡도를 대폭 줄이고, 자동화된 사용자 기반 접근 제어를 가능하게 합니다.

오늘 소개한 구현 가이드와 활용 가능성은 Amazon Q를 사용하는 모든 기업에게 새로운 도약의 발판이 될 수 있으며, 특히 생성형 AI SaaS 애플리케이션을 설계하거나 배포하려는 개발자들에게는 매우 실질적인 도움이 될 것입니다.

https://aws.amazon.com/blogs/machine-learning/authenticate-amazon-q-business-data-accessors-using-a-trusted-token-issuer/