AWS re:Post을(를) 사용하면 다음에 동의하게 됩니다. AWS re:Post 이용 약관

IAM Identity Center SCIM 프로비저닝 시 발생하는 “Refused to create a new, duplicate resource(중복된 새 리소스 생성 거부)” 오류를 해결하려면 어떻게 해야 합니까?

4분 분량
0

AWS IAM Identity Center에서 사용자와 그룹에 대해 System for Cross-domain Identity Management(SCIM) 프로비저닝을 사용했습니다. “Refused to create a new, duplicate resource(중복된 새 리소스 생성 거부됨)” 오류가 발생하여 SCIM 또는 자동 프로비저닝에 실패했습니다.

간략한 설명

이 오류는 사용자 이름, 이메일 주소 또는 외부 ID 속성이 고유한 값이 아니기 때문에 발생합니다. 이 오류는 표시 이름 또는 외부 ID가 그룹의 고유 값이 아닌 경우에도 발생할 수 있습니다. 자세한 내용은 자동 프로비저닝 사용 시 고려 사항을 참조하십시오.

해결 방법

이 오류를 해결하려면 자격 증명 스토어 ID를 사용하여 중복 속성을 검색합니다. 그런 다음, 다음 단계를 완료하여 사용자 또는 그룹을 다시 프로비저닝하거나 사용자 또는 그룹을 삭제한 후 새로 생성합니다.

참고: AWS Command Line Interface(AWS CLI) 명령 실행 시 오류가 발생하는 경우, AWS CLI 오류 문제 해결을 참조하십시오. 또한 최신 AWS CLI 버전을 사용하고 있는지 확인하십시오.

다음 AWS CLI 명령에서 다음과 같이 값을 바꾸십시오.

  • YOUR-REGION을 해당 AWS 리전으로 바꿈
  • YOUR-IDENTITY_STORE_ID를 해당 자격 증명 스토어 ID로 바꿈
  • YOUR-USER-NAME을 해당 사용자 이름으로 바꿈
  • YOUR-EMAIL-ADDRESS를 해당 이메일 주소로 바꿈
  • YOUR-EXTERNAL-ID를 해당 외부 ID로 바꿈
  • YOUR-TENANT_ID를 해당 테넌트 ID로 바꿈
  • YOUR-GROUP-NAME을 해당 그룹 이름으로 바꿈

자격 증명 스토어 ID 가져오기

list-instances 명령을 실행합니다.

aws sso-admin list-instances --region "YOUR-REGION"

출력 예시:

{
    "Instances": [
        {
            "CreatedDate": "...",
            "IdentityStoreId": "IDENTITY-STORE-ID",
            "InstanceArn": "...",
            "OwnerAccountId": "...",
            "Status": "ACTIVE"
        }
    ]
}

이후 단계에서 사용할 수 있도록 해당 자격 증명 스토어 ID 값을 기록해 두십시오.

테넌트 ID 가져오기

다음 단계를 완료하십시오.

  1. IAM Identity Center 콘솔을 엽니다.
  2. 탐색 창에서 **Settings(설정)**를 선택합니다.
  3. **Identity source(자격 증명 소스)**에서 Actions(작업) 드롭다운 목록을 선택합니다.
  4. **Manage provisioning(프로비저닝 관리)**을 선택합니다.
  5. **Configuration(구성)**에서 SCIM 엔드포인트 URL을 복사합니다.

SCIM 엔드포인트 URL의 형식은 **https://scim.YOUR-REGION.amazonaws.com/YOUR-TENANT-ID/scim/v2/**입니다.

사용자 프로비저닝 문제 해결

사용자 이름, 이메일 주소 또는 외부 ID로 기존 사용자를 검색하려면 get-user-id 명령을 실행하십시오.

사용자 이름으로 검색

다음 명령을 실행합니다.

aws identitystore get-user-id --identity-store-id "YOUR-IDENTITY_STORE_ID" --alternate-identifier '{"UniqueAttribute" : {"AttributePath": "userName","AttributeValue": "YOUR-USER-NAME"}}' --region "YOUR-REGION"

이메일 주소로 검색

다음 명령을 실행합니다.

aws identitystore get-user-id --identity-store-id "YOUR-IDENTITY-STORE-ID" --alternate-identifier '{"UniqueAttribute": {"AttributePath":"emails.value", "AttributeValue": "YOUR-EMAIL-ADDRESS"} }' --region "YOUR-REGION"

외부 ID로 검색

다음 명령을 실행합니다.

aws identitystore get-user-id --identity-store-id "YOUR-IDENTITY-STORE-ID" --alternate-identifier '{"ExternalId" : {"Issuer": "https://scim.aws.com/YOUR-TENANT-ID", "Id": "YOUR-EXTERNAL-ID"}}' --region "YOUR-REGION"

고유 속성이 동일한 사용자 ID 및 자격 증명 스토어 ID 출력 예:

{
    "UserId": "YOUR-USER-ID",
    "IdentityStoreId": "YOUR-IDENTITY-STORE-ID"
}

사용자 ID 또는 자격 증명 스토어 ID를 찾을 수 없는 경우 다음과 유사한 오류가 발생합니다.

"An error occurred (ResourceNotFoundException) when calling the GetUserId operation: USER not found."

사용자 재프로비저닝

중복 속성을 확인한 후 다른 속성으로 사용자를 다시 프로비저닝하거나, 사용자를 삭제한 후 새로 생성합니다.

중요: 프로비저닝에 지원이 필요한 경우 ID 제공업체(IdP)에 문의하십시오.

AWS Management Console을 사용하여 사용자를 삭제하려면 IAM Identity Center에서 사용자 삭제를 참조하십시오.

DeleteUser API 작업을 사용하여 사용자를 삭제하려면 delete-user 명령을 실행합니다.

aws identitystore delete-user --identity-store-id "YOUR-IDENTITY-STORE-ID" --user-id "YOUR-USER-ID" --region "YOUR-REGION"

참고: 사용자를 삭제한 후에는 작업을 취소할 수 없으며 새 사용자에 대한 할당을 다시 생성해야 합니다.

그룹 프로비저닝 문제 해결

표시 이름 또는 외부 ID로 기존 그룹을 검색하려면 get-group-id 명령을 실행합니다.

표시 이름으로 검색

다음 명령을 실행합니다.

aws identitystore get-group-id --identity-store-id "IDENTITY-STORE-ID>" --alternate-identifier '{"UniqueAttribute" : {"AttributePath": "displayName","AttributeValue": "YOUR-GROUP-NAME"}}' --region "YOUR-REGION"

외부 ID로 검색

다음 명령을 실행합니다.

 aws identitystore get-group-id --identity-store-id "IDENTITY-STORE-ID" --alternate-identifier '{"ExternalId" : {"Issuer": "https://scim.aws.com/YOUR-TENANT-ID", "Id": "YOUR-EXTERNAL-ID"}}' --region "YOUR-REGION"

고유 속성이 동일한 그룹 ID 및 자격 증명 스토어 ID 출력 예:

{
    "GroupId": "GROUP-ID",
    "IdentityStoreId": "IDENTITY-STORE-ID"
}

표시 이름 또는 외부 ID를 찾을 수 없는 경우 다음과 유사한 오류가 발생합니다.

"An error occurred (ResourceNotFoundException) when calling the GetGroupId operation: GROUP not found."

그룹 재프로비저닝

중복 속성을 확인한 후 다른 속성으로 그룹을 다시 프로비저닝하거나, 그룹을 삭제한 후 새로 생성합니다.

중요: 프로비저닝에 지원이 필요한 경우 IdP에 문의하십시오.

AWS Management Console을 사용하여 그룹을 삭제하려면 IAM Identity Center에서 그룹 삭제를 참조하십시오.

DeleteGroup API 작업을 사용하여 그룹을 삭제하려면 delete-user 명령을 실행합니다.

aws identitystore delete-group --identity-store-id "YOUR-IDENTITY-STORE-ID" --group-id "YOUR-GROUP-ID" --region "YOUR-REGION"

참고: 그룹을 삭제한 후에는 작업을 취소할 수 없으며 새 그룹에 대한 할당을 다시 생성해야 합니다.

관련 정보

AWS IAM Identity Center에서 사용자를 생성하고 관리하는 방법

IAM Identity Center 문제 해결

AWS 공식
AWS 공식업데이트됨 8달 전