가상 MFA 디바이스 활성화 및 관리(AWS CLI 또는 AWS API)

AWS CLI 명령 또는 AWS API 작업을 사용하여 IAM 사용자를 위한 가상 MFA 디바이스를 활성화할 수 있습니다. AWS CLI, AWS API, Tools for Windows PowerShell 또는 기타 다른 명령줄 도구를 사용하면 AWS 계정 루트 사용자에 대해 MFA 디바이스를 활성화할 수 없습니다. 그러나 AWS Management Console을 사용하여 루트 사용자의 MFA 디바이스를 활성화할 수 있습니다.

AWS Management Console에서 MFA 디바이스를 활성화할 때 콘솔이 사용자를 대신해 여러 단계를 수행합니다. 대신 AWS CLI, Tools for Windows PowerShell 또는 AWS API를 사용해 가상 디바이스를 생성한다면 수동으로 올바른 순서에 따라 단계들을 수행해야 합니다. 예를 들어 가상 MFA 디바이스를 생성하려면 IAM 객체를 생성하고, 코드를 문자열이나 QR 코드 그래픽으로 추출해야 합니다. 그런 다음 디바이스를 동기화하여 IAM 사용자와 연결해야 합니다. 자세한 정보는 New-IAMVirtualMFADevice의 Examples 섹션을 참조하세요. 물리적 디바이스를 위해서는 생성 단계를 건너뛰고 디바이스를 동기화하고 사용자에게 직접 연결합니다.

가상 MFA 디바이스를 비롯한 IAM 리소스에 태그를 연결하여 액세스를 식별, 구성 및 제어할 수 있습니다. AWS CLI 또는 AWS API를 사용하는 경우에만 가상 MFA 디바이스를 태깅할 수 있습니다.

SDK 또는 CLI를 사용하는 IAM 사용자는 EnableMFADevice를 호출하여 추가 MFA 디바이스를 활성화하거나 DeactivateMFADevice를 호출하여 기존 MFA 디바이스를 비활성화할 수 있습니다. 이 작업을 성공적으로 수행하려면 먼저 GetSessionToken을 호출하고 기존 MFA 디바이스로 MFA 코드를 제출해야 합니다. 이 호출은 MFA 인증이 필요한 API 작업에 서명하는 데 사용할 수 있는 임시 보안 자격 증명을 반환합니다. 요청 및 응답의 예는 GetSessionToken - 신뢰할 수 없는 환경에 있는 사용자를 위한 임시 자격 증명을 참조하세요.

IAM에서 가상 디바이스 개체를 생성하여 가상 MFA 디바이스를 나타내려면

이러한 명령은 다음 명령의 많은 일련 번호 대신 사용되는 디바이스에 ARN을 제공합니다.

• AWS CLI: aws iam create-virtual-mfa-device

• AWS API: CreateVirtualMFADevice

AWS에서 사용할 목적으로 MFA 디바이스를 활성화하려면

다음 명령은 디바이스와 AWS를 동기화하여 사용자에 연결합니다. 디바이스가 가상이라면 가상 디바이스의 ARN을 일련 번호로 사용합니다.

중요

인증 코드를 생성한 후 바로 요청을 제출하세요. 코드를 생성한 후 너무 오래 기다렸다 요청을 제출할 경우 MFA 디바이스가 사용자와 연결은 되지만 MFA 디바이스가 동기화되지 않습니다. 이는 시간 기반 일회용 암호(TOTP)가 잠시 후에 만료되기 때문입니다. 이 경우, 아래에서 설명하는 명령을 사용하여 디바이스를 재동기화할 수 있습니다.

• AWS CLI: aws iam enable-mfa-device

• AWS API: EnableMFADevice

디바이스를 비활성화하려면

다음 명령을 사용하여 디바이스를 사용자에게서 분리하고 비활성화합니다. 디바이스가 가상이라면 가상 디바이스의 ARN을 일련 번호로 사용합니다. 별도로 가상 디바이스 개체를 삭제해야 합니다.

• AWS CLI: aws iam deactivate-mfa-device

• AWS API: DeactivateMFADevice

가상 MFA 디바이스 개체를 표시하려면

다음 명령을 사용하여 가상 MFA 디바이스 개체의 목록을 봅니다.

• AWS CLI: aws iam list-virtual-mfa-devices

• AWS API: ListVirtualMFADevices

가상 MFA 디바이스를 태깅하려면

다음 명령을 사용하여 가상 MFA 디바이스를 태깅합니다.

• AWS CLI: aws iam tag-mfa-device

• AWS API: TagMFADevice

가상 MFA 디바이스의 태그를 나열하려면

다음 명령을 사용하여 가상 MFA 디바이스에 연결된 태그를 나열합니다.

• AWS CLI: aws iam list-mfa-device-tags

• AWS API: ListMFADeviceTags

가상 MFA 디바이스를 태깅 해제하려면

다음 명령을 사용하여 가상 MFA 디바이스에 연결된 태그를 제거합니다.

• AWS CLI: aws iam untag-mfa-device

• AWS API: UntagMFADevice

MFA 디바이스를 다시 동기화하려면

디바이스가 AWS에서 허용하지 않는 코드를 생성하는 경우 이러한 명령을 사용하세요. 디바이스가 가상이라면 가상 디바이스의 ARN을 일련 번호로 사용합니다.

• AWS CLI: aws iam resync-mfa-device

• AWS API: ResyncMFADevice

IAM에서 가상 MFA 디바이스 엔터티를 삭제하려면

디바이스가 사용자로부터 분리된 후에 디바이스 개체를 삭제할 수 있습니다.

• AWS CLI: aws iam delete-virtual-mfa-device

• AWS API: DeleteVirtualMFADevice

분실되었거나 작동하지 않는 가상 MFA 디바이스를 복구하는 방법

간혹 가상 MFA 앱이 호스팅된 사용자의 디바이스가 분실 또는 교체되었거나 작동하지 않는 경우가 있을 수 있습니다. 이러한 경우가 발생하면 사용자는 자체적으로 복구할 수 없습니다. 사용자는 관리자에게 문의하여 디바이스를 비활성화해야 합니다. 자세한 내용은 MFA 디바이스 분실 또는 작동 중단 시 문제 해결 섹션을 참조하세요.