AWS에서 멀티 팩터 인증(MFA) 사용 - AWS Identity and Access Management
MFA란 무엇인가요?

AWS에서 멀티 팩터 인증(MFA) 사용

보안 강화를 위해 멀티 팩터 인증(MFA)을 구성하여 AWS 리소스를 보호하는 것이 좋습니다. AWS 계정 루트 사용자와 IAM 사용자에 대해 MFA를 활성화할 수 있습니다. 루트 사용자에 대해 활성화한 MFA는 루트 사용자 자격 증명에만 영향을 줍니다. 계정의 IAM 사용자는 자신의 자격 증명에 더하여 별도로 자격 증명을 갖게 되며, 이 별도의 자격 증명에 고유의 MFA가 구성됩니다. 현재 지원되는 MFA 유형을 조합하여 최대 8개의 MFA 디바이스를 AWS 계정 루트 사용자 및 IAM 사용자에게 등록할 수 있습니다. 지원되는 MFA 유형에 대한 자세한 내용은 MFA란 무엇인가요? 섹션을 참조하세요. MFA 디바이스가 여러 개인 경우 AWS Management Console에 로그인하거나 해당 사용자로 AWS CLI를 통해 세션을 생성하는 데 하나의 MFA 디바이스만 필요합니다.

참고

인간 사용자가 AWS에 액세스할 때 임시 보안 인증을 사용하도록 하는 것이 좋습니다. AWS IAM Identity Center 사용을 고려해 보셨나요? IAM Identity Center를 사용하여 여러 AWS 계정에 대한 액세스를 중앙에서 관리하고 사용자에게 한 곳에서 할당된 모든 계정에 대한 MFA 보호 Single Sign-On 액세스를 제공할 수 있습니다. IAM Identity Center를 사용하면 IAM Identity Center에서 사용자 자격 증명을 생성하고 관리하거나 기존 SAML 2.0 호환 자격 증명 제공업체에 쉽게 연결할 수 있습니다. 자세한 정보는 AWS IAM Identity Center 사용 설명서IAM Identity Center란 무엇인가요? 섹션을 참조하세요.

MFA란 무엇인가요?

MFA는 AWS 웹 사이트 또는 서비스에 액세스할 때 사용자의 정규 로그인 자격 증명 외에도 AWS가 지원되는 MFA 메커니즘의 고유 인증을 제출하라고 요청함으로써 보안을 더욱 강화합니다. AWS는 다음과 같은 유형의 MFA를 지원합니다.

FIDO 보안

FIDO 인증 하드웨어 보안 키는 타사 제공업체에서 제공합니다.

FIDO Alliance는 FIDO 사양과 호환되는 모든 FIDO 인증 제품 목록을 유지 관리합니다. FIDO 인증 표준은 퍼블릭 키 암호 방식을 기반으로 하므로 암호보다 안전한 강력한 피싱 방지 인증이 가능합니다. FIDO 보안 키는 단일 보안 키를 사용하여 여러 루트 계정과 IAM 사용자를 지원합니다. FIDO 보안 키 활성화에 대한 자세한 내용은 FIDO 보안 키 활성화(콘솔) 섹션을 참조하세요.

가상 MFA 디바이스

전화 또는 기타 디바이스에서 실행되고 물리적 디바이스를 에뮬레이트하는 가상 인증 애플리케이션입니다.

가상 인증 앱은 시간 기반 일회용 암호(TOTP) 알고리즘을 구현하고 단일 디바이스에서 여러 토큰을 지원합니다. 사용자는 로그인할 때 두 번째 웹페이지에서 디바이스의 유효 코드를 입력해야 합니다. 사용자에게 할당된 각 가상 MFA 디바이스는 고유해야 합니다. 사용자는 다른 사용자의 가상 MFA 디바이스의 코드를 입력하여 인증할 수 없습니다. 가상 MFA는 안전하지 않은 모바일 디바이스에서 실행될 수 있으므로 FIDO 보안 키와 동일한 수준의 보안을 제공하지 않을 수 있습니다.

하드웨어 구매 승인을 기다리는 동안 또는 하드웨어 도착을 기다리는 동안 가상 MFA 디바이스를 사용하는 것이 좋습니다. 가상 MFA 디바이스로 사용할 수 있도록 지원되는 몇 가지 앱의 목록은 다중 인증 섹션을 참조하세요. AWS를 사용하여 가상 MFA 디바이스를 설정하기 위한 지침은 가상 멀티 팩터 인증(MFA) 디바이스 활성화(콘솔) 섹션을 참조하세요.

하드웨어 TOTP 토큰

시간 기반 일회용 암호(TOTP) 알고리즘에 따라 6자리 숫자 코드를 생성하는 하드웨어 디바이스입니다.

사용자는 로그인할 때 두 번째 웹페이지에서 디바이스의 유효 코드를 입력해야 합니다. 사용자에게 할당된 각 MFA 디바이스는 고유해야 합니다. 사용자는 다른 사용자의 디바이스의 코드를 입력하여 인증받을 수 없습니다. 지원되는 하드웨어 MFA 디바이스에 대한 자세한 내용은 다중 인증 섹션을 참조하세요. AWS를 사용하여 하드웨어 TOTP 토큰을 설정하는 지침은 하드웨어 TOTP 토큰 활성화(콘솔) 섹션을 참조하세요.

하드웨어 TOTP 장치 대신 FIDO 보안 키를 사용하는 것이 좋습니다. FIDO 보안 키는 배터리 요구 사항이 없고 피싱 방지가 가능하다는 이점이 있으며 단일 기기에서 여러 IAM 또는 루트 사용자를 지원하여 보안을 강화합니다.

참고

SMS 문자 메시지 기반 MFA - AWS는 SMS 다중 인증(MFA) 활성화에 대한 지원을 종료했습니다. SMS 문자 메시지 기반 MFA를 사용하는 IAM 사용자가 있는 고객은 FIDO 보안 키, 가상(소프트웨어 기반) MFA 디바이스 또는 하드웨어 MFA 디바이스와 같은 대체 방법 중 하나로 전환하는 것이 좋습니다. 계정의 사용자 중에서 SMS MFA 디바이스가 할당된 사용자를 식별할 수 있습니다. 이렇게 하려면 IAM 콘솔로 이동하여 탐색 창에서 사용자를 선택하고 표의 MFA 열에서 SMS가 표시된 사용자를 찾습니다.

주제