메뉴
AWS Identity and Access Management
사용 설명서

AWS에서 멀티 팩터 인증(MFA) 사용하기

보안 강화를 위해 멀티 팩터 인증(MFA)을 구성하여 AWS 리소스를 보호하는 것이 좋습니다. MFA는 사용자가 AWS 웹 사이트 또는 서비스에 액세스할 때 승인된 인증 디바이스 또는 SMS 문자 메시지의 고유 인증 코드를 입력하라고 요청함으로써 보안을 더욱 강화합니다.

  • 보안 토큰 기반. 이러한 유형의 MFA에서는 IAM 사용자 또는 AWS 계정 루트 사용자에 MFA 디바이스(하드웨어 또는 가상)를 할당해야 합니다. 가상 디바이스는 물리적 디바이스를 에뮬레이션하는 스마트폰 또는 기타 모바일 디바이스에서 실행되는 소프트웨어 애플리케이션입니다. 어떤 방법을 사용하든 디바이스는 시간 동기화된 일회용 암호 알고리즘에 기반하여 6자리 숫자 코드를 생성합니다. 사용자는 로그인하는 동안 두 번째 웹 페이지에 디바이스의 이 유효한 코드를 입력해야 합니다. 사용자에게 할당된 각 MFA 디바이스는 고유해야 합니다. 다른 사용자의 디바이스에서 코드를 입력해 인증할 수는 없습니다. 보안 토큰 기반 MFA 활성화에 대한 자세한 내용은 하드웨어 MFA 디바이스 활성화(AWS Management Console)가상 멀티 팩터 인증(MFA) 디바이스 활성화를 참조하십시오.

  • SMS 문자 메시지 기반. 이러한 유형의 MFA에서는 IAM 사용자를 해당 사용자의 SMS 호환 모바일 디바이스의 전화번호로 구성해야 합니다. 사용자가 로그인하면 AWS에서는 SMS 문자 메시지를 통해 사용자의 모바일 디바이스로 6자리 숫자 코드를 보냅니다. 사용자는 로그인 과정의 두 번째 웹 페이지에 이 코드를 입력해야 합니다. SMS 기반 MFA는 IAM 사용자만 사용할 수 있습니다. AWS 계정 루트 사용자로는 이러한 유형의 MFA를 사용할 수 없습니다. SMS 문자 메시지 기반 MFA 활성화에 대한 자세한 내용은 미리 보기 - SMS 문자 메시지 MFA 디바이스 활성화 단원을 참조하십시오.

    참고

    SMS MFA는 현재 미리 보기 프로그램으로만 제공됩니다. 이 프로그램은 가입한 누구나 사용할 수 있습니다. 가입하려면 AWS Multi-Factor Authentication 세부 정보 페이지의 지침을 따르십시오.

사용자가 6자리 숫자의 MFA 코드를 받는 방법과 관계없이 사용자는 AWS Management Console에 대한 로그인 프로세스의 두 번째 페이지에 이를 입력합니다. 사용자가 콘솔 대신에 AWS STS API 또는 CLI를 사용하는 경우, 하드웨어 또는 가상 MFA 디바이스 코드를 파라미터로 STS API에 전달하여 임시 자격 증명을 가져올 수 있습니다.

참고

현재 AWS Management Console에서는 SMS 기반 MFA만 사용할 수 있습니다. API 또는 CLI에서는 SMS 기반 MFA를 사용할 수 없습니다.

이 단원에서는 사용자의 MFA를 구성하고 이를 설정하여 토큰 디바이스 또는 SMS 문자 메시지를 사용하는 방법을 보여줍니다. 또한 기존 토큰 디바이스를 동기화하고 비활성화하는 방법과 디바이스를 분실하거나 작동이 멈춘 경우의 해결책에 대해 살펴봅니다.

참고

  • 루트 사용자에 대해 MFA를 활성화하면 해당 루트 사용자 자격 증명에만 적용됩니다. 이 계정의 IAM 사용자들은 자신의 자격 증명에 더하여 별도로 자격 증명을 갖게 되며, 이 별도의 자격 증명에 고유의 MFA가 구성됩니다.

  • AWS 계정(루트 사용자)에서 MFA를 활성화하고 동일한 이메일 주소로 연결된 Amazon.com 계정에서도 MFA를 활성화하면, 루트 사용자로 로그인할 때마다 서로 다른 두 개의 MFA 코드가 나타납니다.

AWS MFA에 대한 공통 질문 답변은 AWS Multi-Factor Authentication FAQ에서 확인할 수 있습니다.