IAM의 AWS 다중 인증
보안 강화를 위해 멀티 팩터 인증(MFA)을 구성하여 AWS 리소스를 보호하는 것이 좋습니다. AWS 계정 루트 사용자와 IAM 사용자에 대해 MFA를 활성화할 수 있습니다. 루트 사용자에 대해 활성화한 MFA는 루트 사용자 자격 증명에만 영향을 줍니다. 계정의 IAM 사용자는 자신의 자격 증명에 더하여 별도로 자격 증명을 갖게 되며, 이 별도의 자격 증명에 고유의 MFA가 구성됩니다.
AWS 계정 루트 사용자 및 IAM 사용자는 어떤 유형이든 최대 8개의 MFA 디바이스를 등록할 수 있습니다. 여러 MFA 디바이스를 등록하면 유연성이 향상되고 디바이스가 분실 또는 손상된 경우에도 액세스가 중단될 위험을 줄일 수 있습니다. AWS Management Console에 로그인하거나 AWS CLI를 통해 세션을 생성하는 데 하나의 MFA 디바이스만 필요합니다.
참고
인간 사용자가 AWS에 액세스할 때 임시 보안 인증을 사용하도록 하는 것이 좋습니다. AWS IAM Identity Center 사용을 고려해 보셨나요? IAM Identity Center를 사용하여 여러 AWS 계정에 대한 액세스를 중앙에서 관리하고 사용자에게 한 곳에서 할당된 모든 계정에 대한 MFA 보호 Single Sign-On 액세스를 제공할 수 있습니다. IAM Identity Center를 사용하면 IAM Identity Center에서 사용자 자격 증명을 생성하고 관리하거나 기존 SAML 2.0 호환 자격 증명 제공업체에 쉽게 연결할 수 있습니다. 자세한 정보는 AWS IAM Identity Center 사용 설명서의 IAM Identity Center란 무엇인가요? 섹션을 참조하세요.
MFA는 AWS 웹 사이트 또는 서비스에 액세스할 때 사용자의 로그인 자격 증명 외에도 AWS가 지원되는 MFA 메커니즘의 고유 인증을 제출하라고 요청함으로써 보안을 더욱 강화합니다.
MFA 유형
AWS는 다음과 같은 MFA 유형을 지원합니다.
패스키 및 보안 키
AWS Identity and Access Management는 MFA용 패스키 및 보안 키를 지원합니다. FIDO 표준에 기반한 패스키는 퍼블릭 키 암호화 기법을 사용하여 암호보다 안전한 강력한 피싱 방지 인증을 제공합니다. AWS는 디바이스 바운드 패스키(보안 키)와 동기화된 패스키라는 두 가지 유형의 패스키를 지원합니다.
-
보안 키: YubiKey처럼 2차 인증 요소로 사용되는 물리적 디바이스입니다. 하나의 보안 키가 여러 루트 사용자 계정과 IAM 사용자를 지원할 수 있습니다.
-
동기화된 패스키: Google, Apple, Microsoft 계정 같은 공급자와 1Password, Dashlane, Bitwarden 같은 서드 파티 서비스의 자격 증명 관리자를 2차 인증 요소로 사용합니다.
Apple MacBook의 Touch ID와 같은 내장된 생체 인식 인증자를 사용하여 자격 증명 관리자의 잠금을 해제하고 AWS에 로그인할 수 있습니다. 패스키는 지문, 얼굴 또는 디바이스 PIN을 사용하여 선택한 공급자와 함께 생성됩니다. 디바이스 간에 패스키를 동기화하여 AWS 로그인을 용이하게 하고 사용성과 복구 가능성을 높일 수 있습니다.
IAM은 Windows Hello에 대한 로컬 패스키 등록을 지원하지 않습니다. 패스키를 생성하고 사용하기 위해 Windows 사용자는 크로스 디바이스 인증
FIDO Alliance는 FIDO 사양과 호환되는 모든 FIDO 인증 제품
패스키 및 보안 키 활성화에 대한 자세한 내용은 루트 사용자용 패스키 또는 보안 키 활성화(콘솔) 섹션을 참조하세요.
가상 인증 애플리케이션
가상 인증 애플리케이션은 전화 또는 기타 디바이스에서 실행되고 물리적 디바이스를 에뮬레이트합니다. 가상 인증 앱은 시간 기반 일회용 암호
하드웨어 구매 승인을 기다리는 동안 또는 하드웨어 도착을 기다리는 동안 가상 MFA 디바이스를 사용하는 것이 좋습니다. 가상 MFA 디바이스로 사용할 수 있는 몇 가지 지원되는 앱의 목록은 다중 인증(MFA)
IAM 사용자를 위한 가상 MFA 디바이스 설정 지침은 AWS Management Console에서 가상 MFA 디바이스 할당 섹션을 참조하세요.
하드웨어 TOTP 토큰
하드웨어 디바이스가 시간 기반 일회용 암호(TOTP) 알고리즘
이러한 토큰은 AWS 계정에서만 사용됩니다. 고유한 토큰 시드가 AWS에 안전하게 공유된 토큰만 사용할 수 있습니다. 토큰 시드는 토큰 생성 시 생성되는 비밀 키입니다. 다른 소스에서 구매한 토큰은 IAM에서 작동하지 않습니다. 호환성 보장을 위해 OTP 토큰
-
사용자에게 할당된 각 MFA 디바이스는 고유해야 합니다. 사용자는 다른 사용자의 디바이스의 코드를 입력하여 인증받을 수 없습니다. 지원되는 하드웨어 MFA 디바이스에 대한 자세한 내용은 다중 인증(MFA)
섹션을 참조하세요. -
물리적 MFA 디바이스를 사용하려는 경우 하드웨어 TOTP 디바이스 대신 보안 키를 사용하는 것이 좋습니다. 보안 키는 배터리 요구 사항이 없고, 피싱 방지 기능이 있으며, 단일 디바이스에서 여러 사용자를 지원합니다.
패스키 또는 보안 키는 AWS Management Console에서만 활성화할 수 있으며, AWS CLI 또는 AWS API에서는 활성화할 수 없습니다. 보안 키를 활성화하려면 디바이스에 물리적으로 액세스할 수 있어야 합니다.
IAM 사용자를 위한 하드웨어 TOTP 토큰 설정 지침은 AWS Management Console에서 하드웨어 TOTP 토큰 할당 섹션을 참조하세요.
참고
SMS 문자 메시지 기반 MFA - AWS는 SMS 다중 인증(MFA) 활성화에 대한 지원을 종료했습니다. SMS 문자 메시지 기반 MFA를 사용하는 IAM 사용자가 있는 고객은 패스키 또는 보안 키, 가상(소프트웨어 기반) MFA 디바이스 또는 하드웨어 MFA 디바이스와 같은 대체 방법 중 하나로 전환하는 것이 좋습니다. 계정의 사용자 중에서 SMS MFA 디바이스가 할당된 사용자를 식별할 수 있습니다. IAM 콘솔의 탐색 창에서 사용자(Users)를 선택하고 표의 MFA 열에 SMS가 표시된 사용자를 찾습니다.
MFA 권장 사항
AWS 자격 증명을 안전하게 보호할 수 있도록 다음의 MFA 인증 권장 사항을 따르세요.
-
AWS 계정 루트 사용자 및 AWS 계정의 IAM 사용자에 대해 여러 MFA 디바이스를 활성화하는 것이 좋습니다. 이를 통해 AWS 계정의 보안 기준을 높이고 AWS 계정 루트 사용자 등의 권한이 높은 사용자에 대한 액세스 관리를 간소화할 수 있습니다.
-
현재 지원되는 MFA 유형
을 조합하여 최대 8개의 MFA 디바이스를 AWS 계정 루트 사용자 및 IAM 사용자에게 등록할 수 있습니다. MFA 디바이스가 여러 개인 경우 AWS Management Console에 로그인하거나 해당 사용자로 AWS CLI를 통해 세션을 생성하는 데 하나의 MFA 디바이스만 필요합니다. 추가 MFA 디바이스를 활성화하거나 비활성화하려면 IAM 사용자가 기존 MFA 디바이스로 인증해야 합니다. -
MFA 디바이스를 분실했거나, 도난당했거나, 액세스할 수 없는 경우 나머지 MFA 디바이스 중 하나를 사용하여 AWS 계정 복구 절차를 수행하지 않고 AWS 계정에 액세스할 수 있습니다. MFA 디바이스를 분실하거나 도난당한 경우 해당 디바이스와 연결된 IAM 보안 주체에서 연결을 해제해야 합니다.
-
여러 MFA를 사용하면 지리적으로 분산된 위치에 있거나 원격으로 작업하는 경우 직원 간에 단일 하드웨어 디바이스의 물리적 교환을 조정할 필요 없이 하드웨어 기반 MFA를 사용하여 AWS에 액세스할 수 있습니다.
-
IAM 보안 주체에 추가 MFA 디바이스를 사용하면 일상적인 사용에 하나 이상의 MFA를 사용할 수 있으며, 백업 및 중복성을 위해 보관실 또는 금고와 같은 안전한 물리적 위치에 물리적 MFA 디바이스를 보관할 수 있습니다.
참고
-
FIDO 보안 키의 MFA 정보를 AWS STS API 작업으로 전달하여 임시 자격 증명을 요청할 수 없습니다.
-
AWS CLI 명령 또는 AWS API 작업을 사용하여 FIDO 보안 키를 활성화할 수 없습니다.
-
둘 이상의 루트 또는 IAM MFA 디바이스에 동일한 이름을 사용할 수 없습니다.
추가 리소스
다음 리소스는 IAM MFA에 대해 자세히 알아보는 데 도움이 됩니다.
-
AWS를 사용하여 리소스에 액세스하는 방법에 대한 자세한 내용은 MFA 지원 로그인 단원을 참조하세요.
-
IAM Identity Center를 활용하여 AWS 액세스 포털, IAM Identity Center 통합 앱, AWS CLI에 대한 보안 MFA 액세스를 활성화할 수 있습니다. 자세한 내용은 IAM Identity Center에서 MFA 활성화를 참조하세요.