MFA 디바이스를 활성화하는 일반적인 단계 - AWS Identity and Access Management

MFA 디바이스를 활성화하는 일반적인 단계

다음 개요 절차에는 MFA를 설정하고 사용하는 방법이 설명되어 있으며, 관련된 정보에 대한 링크가 나와 있습니다.

참고

이 영어 비디오, AWS 다중 인증(MFA) 및 AWS 예산 알림을 설정하는 방법을 시청하여 자세히 알아볼 수도 있습니다.

  1. 다음과 같은 MFA 디바이스를 가져옵니다. 다음 유형을 조합한 AWS 계정 루트 사용자 또는 IAM 사용자당 최대 8개의 MFA 디바이스를 활성화할 수 있습니다.

    • 가상 MFA 디바이스로, 표준 기반 TOTP(시간 기반 일회용 암호) 알고리즘인 RFC 6238과 호환되는 소프트웨어 애플리케이션. 앱을 스마트폰이나 다른 디바이스에 설치할 수 있습니다. 가상 MFA 디바이스로 사용할 수 있도록 지원되는 몇 가지 앱의 목록은 멀티 팩터 인증 섹션을 참조하세요.

    • AWS 지원 구성이 포함된 FIDO 보안 키. FIDO Alliance는 FIDO 사양과 호환되는 모든 FIDO 인증 제품 목록을 유지 관리합니다.

    • 토큰 디바이스와 같은 타사 제공업체의 하드웨어 기반 MFA 디바이스. 이러한 토큰은 AWS 계정에서만 사용됩니다. 자세한 내용은 하드웨어 TOTP 토큰 활성화(콘솔) 섹션을 참조하세요. 이러한 토큰은 제조업체에서 직접 키 리모컨 또는 디스플레이 카드 디바이스로 구입할 수 있습니다.

  2. MFA 디바이스를 활성화합니다.

    • 가상 또는 하드웨어 TOTP 토큰 - AWS CLI 명령 또는 AWS API 작업을 사용하여 IAM 사용자를 위한 가상 MFA 디바이스를 활성화할 수 있습니다. AWS CLI, AWS API, Tools for Windows PowerShell 또는 기타 다른 명령줄 도구를 사용하면 AWS 계정 루트 사용자에 대해 MFA 디바이스를 활성화할 수 없습니다. 그러나 AWS Management Console을 사용하여 루트 사용자의 MFA 디바이스를 활성화할 수 있습니다.

    • FIDO 보안 키 – FIDO 보안 키가 있는 루트 사용자 및 IAM 사용자는 AWS CLI 또는 AWS API가 아닌 AWS Management Console에서만 활성화할 수 있습니다.

    각 MFA 디바이스 유형 활성화에 대한 자세한 내용은 다음 페이지를 참조하세요.

  3. 여러 MFA 디바이스 활성화(권장)

    • AWS 계정 루트 사용자 및 AWS 계정의 IAM 사용자에 대해 여러 MFA 디바이스를 활성화하는 것이 좋습니다. 이를 통해 AWS 계정의 보안 기준을 높이고 AWS 계정 루트 사용자 등의 권한이 높은 사용자에 대한 액세스 관리를 간소화할 수 있습니다.

    • 현재 지원되는 MFA 유형을 조합하여 최대 8개의 MFA 디바이스를 AWS 계정 루트 사용자 및 IAM 사용자에게 등록할 수 있습니다. MFA 디바이스가 여러 개인 경우 AWS Management Console에 로그인하거나 해당 사용자로 AWS CLI를 통해 세션을 생성하는 데 하나의 MFA 디바이스만 필요합니다. 추가 MFA 디바이스를 활성화하거나 비활성화하려면 IAM 사용자가 기존 MFA 디바이스로 인증해야 합니다.

    • MFA 디바이스를 분실했거나, 도난당했거나, 액세스할 수 없는 경우 나머지 MFA 디바이스 중 하나를 사용하여 AWS 계정 복구 절차를 수행하지 않고 AWS 계정에 액세스할 수 있습니다. MFA 디바이스를 분실하거나 도난당한 경우 해당 디바이스와 연결된 IAM 보안 주체에서 연결을 해제해야 합니다.

    • 여러 MFA를 사용하면 지리적으로 분산된 위치에 있거나 원격으로 작업하는 경우 직원 간에 단일 하드웨어 디바이스의 물리적 교환을 조정할 필요 없이 하드웨어 기반 MFA를 사용하여 AWS에 액세스할 수 있습니다.

    • IAM 보안 주체에 추가 MFA 디바이스를 사용하면 일상적인 사용에 하나 이상의 MFA를 사용할 수 있으며, 백업 및 중복성을 위해 보관실 또는 금고와 같은 안전한 물리적 위치에 물리적 MFA 디바이스를 보관할 수 있습니다.

  4. AWS 리소스에 로그인하거나 액세스할 때 MFA 디바이스를 사용합니다. 다음을 참조합니다.

    • FIDO 보안 키: AWS 웹 사이트에 액세스하려면 보안 인증을 입력한 다음 메시지가 나타나면 FIDO 보안 키를 탭합니다.

    • 가상 MFA 디바이스 및 하드웨어 TOTP 토큰 - AWS 웹 사이트에 액세스하려면 사용자 이름 및 암호 외에도 해당 디바이스의 MFA 코드가 필요합니다.

      MFA 보호 API 작업에 액세스하려면 다음이 필요합니다.

      • MFA 코드

      • MFA 디바이스 식별자(물리적 디바이스의 디바이스 일련 번호 또는 AWS에 정의된 가상 디바이스의 ARN)

      • 일반 액세스 키 ID 및 보안 액세스 키.

    주의
    • FIDO 보안 키의 MFA 정보를 AWS STS API 작업으로 전달하여 임시 자격 증명을 요청할 수 없습니다.

    • AWS CLI 명령 또는 AWS API 작업을 사용하여 FIDO 보안 키를 활성화할 수 없습니다.

    • 둘 이상의 루트 또는 IAM MFA 디바이스에 동일한 이름을 사용할 수 없습니다.

자세한 내용은 IAM 로그인 페이지에 MFA 디바이스 사용 섹션을 참조하세요.