AWS IAM Identity Center에서 사용자와 그룹에 대해 System for Cross-domain Identity Management(SCIM) 프로비저닝을 사용했습니다. “Refused to create a new, duplicate resource(중복된 새 리소스 생성 거부됨)” 오류가 발생하여 SCIM 또는 자동 프로비저닝에 실패했습니다.
간략한 설명
이 오류는 사용자 이름, 이메일 주소 또는 외부 ID 속성이 고유한 값이 아니기 때문에 발생합니다. 이 오류는 표시 이름 또는 외부 ID가 그룹의 고유 값이 아닌 경우에도 발생할 수 있습니다. 자세한 내용은 자동 프로비저닝 사용 시 고려 사항을 참조하십시오.
해결 방법
이 오류를 해결하려면 자격 증명 스토어 ID를 사용하여 중복 속성을 검색합니다. 그런 다음, 다음 단계를 완료하여 사용자 또는 그룹을 다시 프로비저닝하거나 사용자 또는 그룹을 삭제한 후 새로 생성합니다.
참고: AWS Command Line Interface(AWS CLI) 명령 실행 시 오류가 발생하는 경우, AWS CLI 오류 문제 해결을 참조하십시오. 또한 최신 AWS CLI 버전을 사용하고 있는지 확인하십시오.
다음 AWS CLI 명령에서 다음과 같이 값을 바꾸십시오.
- YOUR-REGION을 해당 AWS 리전으로 바꿈
- YOUR-IDENTITY_STORE_ID를 해당 자격 증명 스토어 ID로 바꿈
- YOUR-USER-NAME을 해당 사용자 이름으로 바꿈
- YOUR-EMAIL-ADDRESS를 해당 이메일 주소로 바꿈
- YOUR-EXTERNAL-ID를 해당 외부 ID로 바꿈
- YOUR-TENANT_ID를 해당 테넌트 ID로 바꿈
- YOUR-GROUP-NAME을 해당 그룹 이름으로 바꿈
자격 증명 스토어 ID 가져오기
list-instances 명령을 실행합니다.
aws sso-admin list-instances --region "YOUR-REGION"
출력 예시:
{
"Instances": [
{
"CreatedDate": "...",
"IdentityStoreId": "IDENTITY-STORE-ID",
"InstanceArn": "...",
"OwnerAccountId": "...",
"Status": "ACTIVE"
}
]
}
이후 단계에서 사용할 수 있도록 해당 자격 증명 스토어 ID 값을 기록해 두십시오.
테넌트 ID 가져오기
다음 단계를 완료하십시오.
- IAM Identity Center 콘솔을 엽니다.
- 탐색 창에서 **Settings(설정)**를 선택합니다.
- **Identity source(자격 증명 소스)**에서 Actions(작업) 드롭다운 목록을 선택합니다.
- **Manage provisioning(프로비저닝 관리)**을 선택합니다.
- **Configuration(구성)**에서 SCIM 엔드포인트 URL을 복사합니다.
SCIM 엔드포인트 URL의 형식은 **https://scim.YOUR-REGION.amazonaws.com/YOUR-TENANT-ID/scim/v2/**입니다.
사용자 프로비저닝 문제 해결
사용자 이름, 이메일 주소 또는 외부 ID로 기존 사용자를 검색하려면 get-user-id 명령을 실행하십시오.
사용자 이름으로 검색
다음 명령을 실행합니다.
aws identitystore get-user-id --identity-store-id "YOUR-IDENTITY_STORE_ID" --alternate-identifier '{"UniqueAttribute" : {"AttributePath": "userName","AttributeValue": "YOUR-USER-NAME"}}' --region "YOUR-REGION"
이메일 주소로 검색
다음 명령을 실행합니다.
aws identitystore get-user-id --identity-store-id "YOUR-IDENTITY-STORE-ID" --alternate-identifier '{"UniqueAttribute": {"AttributePath":"emails.value", "AttributeValue": "YOUR-EMAIL-ADDRESS"} }' --region "YOUR-REGION"
외부 ID로 검색
다음 명령을 실행합니다.
aws identitystore get-user-id --identity-store-id "YOUR-IDENTITY-STORE-ID" --alternate-identifier '{"ExternalId" : {"Issuer": "https://scim.aws.com/YOUR-TENANT-ID", "Id": "YOUR-EXTERNAL-ID"}}' --region "YOUR-REGION"
고유 속성이 동일한 사용자 ID 및 자격 증명 스토어 ID 출력 예:
{
"UserId": "YOUR-USER-ID",
"IdentityStoreId": "YOUR-IDENTITY-STORE-ID"
}
사용자 ID 또는 자격 증명 스토어 ID를 찾을 수 없는 경우 다음과 유사한 오류가 발생합니다.
"An error occurred (ResourceNotFoundException) when calling the GetUserId operation: USER not found."
사용자 재프로비저닝
중복 속성을 확인한 후 다른 속성으로 사용자를 다시 프로비저닝하거나, 사용자를 삭제한 후 새로 생성합니다.
중요: 프로비저닝에 지원이 필요한 경우 ID 제공업체(IdP)에 문의하십시오.
AWS Management Console을 사용하여 사용자를 삭제하려면 IAM Identity Center에서 사용자 삭제를 참조하십시오.
DeleteUser API 작업을 사용하여 사용자를 삭제하려면 delete-user 명령을 실행합니다.
aws identitystore delete-user --identity-store-id "YOUR-IDENTITY-STORE-ID" --user-id "YOUR-USER-ID" --region "YOUR-REGION"
참고: 사용자를 삭제한 후에는 작업을 취소할 수 없으며 새 사용자에 대한 할당을 다시 생성해야 합니다.
그룹 프로비저닝 문제 해결
표시 이름 또는 외부 ID로 기존 그룹을 검색하려면 get-group-id 명령을 실행합니다.
표시 이름으로 검색
다음 명령을 실행합니다.
aws identitystore get-group-id --identity-store-id "IDENTITY-STORE-ID>" --alternate-identifier '{"UniqueAttribute" : {"AttributePath": "displayName","AttributeValue": "YOUR-GROUP-NAME"}}' --region "YOUR-REGION"
외부 ID로 검색
다음 명령을 실행합니다.
aws identitystore get-group-id --identity-store-id "IDENTITY-STORE-ID" --alternate-identifier '{"ExternalId" : {"Issuer": "https://scim.aws.com/YOUR-TENANT-ID", "Id": "YOUR-EXTERNAL-ID"}}' --region "YOUR-REGION"
고유 속성이 동일한 그룹 ID 및 자격 증명 스토어 ID 출력 예:
{
"GroupId": "GROUP-ID",
"IdentityStoreId": "IDENTITY-STORE-ID"
}
표시 이름 또는 외부 ID를 찾을 수 없는 경우 다음과 유사한 오류가 발생합니다.
"An error occurred (ResourceNotFoundException) when calling the GetGroupId operation: GROUP not found."
그룹 재프로비저닝
중복 속성을 확인한 후 다른 속성으로 그룹을 다시 프로비저닝하거나, 그룹을 삭제한 후 새로 생성합니다.
중요: 프로비저닝에 지원이 필요한 경우 IdP에 문의하십시오.
AWS Management Console을 사용하여 그룹을 삭제하려면 IAM Identity Center에서 그룹 삭제를 참조하십시오.
DeleteGroup API 작업을 사용하여 그룹을 삭제하려면 delete-user 명령을 실행합니다.
aws identitystore delete-group --identity-store-id "YOUR-IDENTITY-STORE-ID" --group-id "YOUR-GROUP-ID" --region "YOUR-REGION"
참고: 그룹을 삭제한 후에는 작업을 취소할 수 없으며 새 그룹에 대한 할당을 다시 생성해야 합니다.
관련 정보
AWS IAM Identity Center에서 사용자를 생성하고 관리하는 방법
IAM Identity Center 문제 해결