가상 MFA 디바이스 활성화 및 관리(AWS CLI 또는 AWS API) - AWS Identity and Access Management

가상 MFA 디바이스 활성화 및 관리(AWS CLI 또는 AWS API)

AWS CLI 명령 또는 AWS API 작업을 사용하여 IAM 사용자를 위한 가상 MFA 디바이스를 활성화할 수 있습니다. AWS CLI, AWS API, Windows PowerShell용 도구 또는 기타 다른 명령줄 도구를 사용하면 AWS 계정 루트 사용자에 대해 MFA 디바이스를 활성화할 수 없습니다. 하지만 AWS Management 콘솔을 사용하여 루트 사용자에 대해 MFA 디바이스를 활성화할 수 있습니다.

AWS Management 콘솔에서 MFA 디바이스를 활성화할 때 콘솔이 사용자를 대신해 여러 단계를 수행합니다. 대신 AWS CLI, Windows PowerShell용 도구 또는 AWS API를 사용해 가상 디바이스를 생성한다면 수동으로 올바른 순서에 따라 단계들을 수행해야 합니다. 예를 들어 가상 MFA 디바이스를 생성하려면 IAM 객체를 생성하고, 코드를 문자열이나 QR 코드 그래픽으로 추출합니다. 그런 다음 디바이스를 동기화하여 IAM 사용자와 연결합니다. 자세한 정보는 New-IAMVirtualMFADeviceExamples 단원을 참조하십시오. 물리적 디바이스를 위해서는 생성 단계를 건너뛰고 디바이스를 동기화하고 사용자에게 직접 연결합니다.

IAM에서 가상 디바이스 개체를 생성하여 가상 MFA 디바이스를 나타내려면

이러한 명령은 다음 명령의 많은 일련 번호 대신 사용되는 디바이스에 ARN을 제공합니다.

AWS에서 사용할 목적으로 MFA 디바이스를 활성화하려면

다음 명령은 디바이스와 AWS를 동기화하여 사용자 또는 루트 사용자에 연결합니다. 디바이스가 가상이라면 가상 디바이스의 ARN을 일련 번호로 사용합니다.

중요

인증 코드를 생성한 후 바로 요청을 제출하십시오. 코드를 생성한 후 너무 오래 기다렸다 요청을 제출할 경우 MFA 디바이스가 사용자와 연결은 되지만 MFA 디바이스가 동기화되지 않습니다. 이는 시간 기반 일회용 암호(TOTP)가 잠시 후에 만료되기 때문입니다. 이 경우, 아래에서 설명하는 명령을 사용하여 디바이스를 재동기화할 수 있습니다.

디바이스를 비활성화하려면

다음 명령을 사용하여 디바이스를 사용자에게서 분리하고 비활성화합니다. 디바이스가 가상이라면 가상 디바이스의 ARN을 일련 번호로 사용합니다. 별도로 가상 디바이스 개체를 삭제해야 합니다.

가상 MFA 디바이스 개체를 표시하려면

다음 명령을 사용하여 가상 MFA 디바이스 개체의 목록을 봅니다.

MFA 디바이스를 다시 동기화하려면

디바이스가 AWS에서 허용하지 않는 코드를 생성하는 경우 이러한 명령을 사용하십시오. 디바이스가 가상이라면 가상 디바이스의 ARN을 일련 번호로 사용합니다.

IAM에서 가상 MFA 디바이스 엔터티를 삭제하려면

디바이스가 사용자로부터 분리된 후에 디바이스 개체를 삭제할 수 있습니다.

분실되었거나 작동하지 않는 가상 MFA 디바이스를 복구하는 방법

간혹 가상 MFA 앱이 호스팅된 IAM 사용자의 디바이스가 분실 또는 교체되었거나 작동하지 않는 경우가 있을 수 있습니다. 이러한 경우가 발생하면 사용자는 스스로 디바이스를 복구할 수 없습니다. IAM 사용자는 관리자에게 연락하여 해당 디바이스를 비활성화해야 합니다. 자세한 정보는 MFA 디바이스 분실 또는 작동 중단 시 문제 해결 단원을 참조하십시오.