AWS 계정 루트 사용자에 대한 다중 인증
다중 인증(MFA)은 보안을 강화하는 간단하고 효과적인 메커니즘입니다. 첫 번째 요소인 암호는 기억해야 하는 비밀이며 지식 요소라고도 합니다. 다른 요소로는 보유 요소(보안 키 등 귀하가 보유하는 것) 또는 고유 요소(생체인식 스캔 등 귀하에 대한 것)가 있습니다. 보안 강화를 위해 다중 인증(MFA)을 구성하여 AWS 리소스를 보호하는 것이 좋습니다.
참고
2024년 5월부터 MFA가 아직 활성화되지 않은 경우 모든 루트 사용자는 다음에 로그인할 때 MFA를 활성화해야 합니다. 사용자는 프롬프트를 건너뛰어 최대 35일 동안 MFA 등록을 연기할 수 있습니다. 35일이 지나면 MFA를 활성화해야 로그인을 진행하고 AWS Management Console에 액세스할 수 있습니다. 멤버 계정인 경우 MFA 설정은 현재 선택 사항이지만 2025년 봄에 적용이 계획되어 있습니다.
AWS 계정 루트 사용자와 IAM 사용자에 대해 MFA를 활성화할 수 있습니다. 루트 사용자에 대해 활성화한 MFA는 루트 사용자 자격 증명에만 영향을 줍니다. IAM 사용자에 대해 MFA를 활성화하는 방법에 대한 자세한 내용은 IAM의 AWS 다중 인증 단원을 참조하세요.
참고
AWS Organizations를 사용하여 관리하는 AWS 계정에는 자격 증명 복구 및 대규모 액세스를 방지하기 위해 멤버 계정의 루트 액세스를 중앙에서 관리하는 옵션이 있을 수 있습니다. 이 옵션을 활성화하는 경우 암호 및 MFA를 포함하여 멤버 계정에서 루트 사용자 자격 증명을 삭제하여 루트 사용자로 로그인, 암호 복구 또는 MFA 설정을 효과적으로 방지할 수 있습니다. 또는 암호 기반 로그인 방법을 유지 관리하려는 경우 계정 보호를 강화하기 위해 MFA를 등록하여 계정을 보호합니다.
루트 사용자에 대해 MFA를 활성화하기 전에 계정 설정과 연락처 정보를 검토하고 업데이트하여 이메일 및 전화번호에 대한 액세스 권한이 있는지 확인합니다. MFA 디바이스가 분실 또는 도난되었거나 작동하지 않는 경우에도 해당 이메일과 전화번호를 사용하여 자격 증명을 확인하여 루트 사용자로 로그인할 수 있습니다. 다른 인증 요소를 사용하여 로그인하는 방법은 IAM에서 MFA로 보호되는 ID 복구 섹션을 참조하세요. 이 기능을 비활성화하려면 AWS Support
AWS는 루트 사용자를 위해 다음과 같은 MFA 유형을 지원합니다.
패스키 및 보안 키
AWS Identity and Access Management는 MFA용 패스키 및 보안 키를 지원합니다. FIDO 표준에 기반한 패스키는 퍼블릭 키 암호화 기법을 사용하여 암호보다 안전한 강력한 피싱 방지 인증을 제공합니다. AWS는 디바이스 바운드 패스키(보안 키)와 동기화된 패스키라는 두 가지 유형의 패스키를 지원합니다.
-
보안 키: YubiKey처럼 2차 인증 요소로 사용되는 물리적 디바이스입니다. 하나의 보안 키가 여러 루트 사용자 계정과 IAM 사용자를 지원할 수 있습니다.
-
동기화된 패스키: Google, Apple, Microsoft 계정 같은 공급자와 1Password, Dashlane, Bitwarden 같은 서드 파티 서비스의 자격 증명 관리자를 2차 인증 요소로 사용합니다.
Apple MacBook의 Touch ID와 같은 내장된 생체 인식 인증자를 사용하여 자격 증명 관리자의 잠금을 해제하고 AWS에 로그인할 수 있습니다. 패스키는 지문, 얼굴 또는 디바이스 PIN을 사용하여 선택한 공급자와 함께 생성됩니다. 디바이스 간에 패스키를 동기화하여 AWS 로그인을 용이하게 하고 사용성과 복구 가능성을 높일 수 있습니다.
IAM은 Windows Hello에 대한 로컬 패스키 등록을 지원하지 않습니다. 패스키를 생성하고 사용하려면 Windows 사용자는 모바일 디바이스와 같은 한 디바이스의 패스키나 하드웨어 보안 키를 사용하여 노트북 등의 다른 디바이스에 로그인하는 크로스 디바이스 인증
가상 인증 애플리케이션
가상 인증 애플리케이션은 전화 또는 기타 디바이스에서 실행되고 물리적 디바이스를 에뮬레이트합니다. 가상 인증 앱은 시간 기반 일회용 암호
하드웨어 구매 승인을 기다리는 동안 또는 하드웨어 도착을 기다리는 동안 가상 MFA 디바이스를 사용하는 것이 좋습니다. 가상 MFA 디바이스로 사용할 수 있는 몇 가지 지원되는 앱의 목록은 다중 인증(MFA)
하드웨어 TOTP 토큰
하드웨어 디바이스가 시간 기반 일회용 암호(TOTP) 알고리즘
물리적 MFA 디바이스를 사용하려는 경우 하드웨어 TOTP 디바이스 대신 FIDO 보안 키를 사용하는 것이 좋습니다. FIDO 보안 키는 배터리 요구 사항이 없고 피싱 방지가 가능하다는 이점이 있으며, 단일 디바이스에서 여러 루트 및 IAM 사용자를 지원하여 보안을 강화합니다.