AWS Identity and Access Management
사용 설명서

하드웨어 MFA 디바이스 활성화(콘솔)

동기화된 일회용 암호 알고리즘에 따라 6자리 숫자 코드를 생성하는 하드웨어 MFA 디바이스입니다. 사용자는 로그인 과정 중 디바이스의 유효 코드를 입력해야 합니다. 사용자에게 할당된 각 MFA 디바이스는 고유해야 합니다. 사용자는 다른 사용자의 디바이스 코드를 입력하여 인증받을 수 없습니다.

하드웨어 MFA 디바이스 및 U2F 보안 키는 모두 본인이 구입한 물리적 디바이스이어야 합니다. 차이점이 있다면 하드웨어 MFA 디바이스가 코드를 생성하여 보여준 후 AWS에 로그인할 때 메시지가 나타나면 해당 란에 입력한다는 점입니다. U2F 보안 키로는 인증 코드를 확인하거나 입력할 수 없습니다. 대신 U2F 보안 키가 응답을 생성하되 사용자에게 보여주지는 않으며 서비스에서 이를 확인합니다. 두 디바이스 유형의 사양 및 구입 관련 정보는 멀티 팩터 인증 단원을 참조하십시오.

AWS Management 콘솔, 명령줄 또는 IAM API에서 IAM 사용자의 하드웨어 MFA 디바이스를 활성화할 수 있습니다. AWS 계정 루트 사용자에 따른 MFA 디바이스 활성화 방법은 AWS 계정 루트 사용자용 하드웨어 MFA 디바이스 활성화(콘솔) 단원을 참조하십시오.

루트 사용자 또는 IAM 사용자별로 (어떤 종류든) 한 개의 MFA 디바이스를 활성화할 수 있습니다.

참고

명령줄에서 디바이스를 활성화하려는 경우 iam-userenablemfadevice aws iam enable-mfa-device를 사용합니다. IAM API를 사용하여 MFA 디바이스를 활성화하려면 EnableMFADevice 작업을 사용합니다.

필요한 권한

중요한 MFA 관련 작업을 보호하면서 자신의 IAM 사용자에 대한 하드웨어 MFA 디바이스를 관리하려면 다음 정책에 따른 권한이 있어야 합니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowManageOwnUserMFA", "Effect": "Allow", "Action": [ "iam:DeactivateMFADevice", "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}" }, { "Sid": "DenyAllExceptListedIfNoMFA", "Effect": "Deny", "NotAction": [ "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } ] }

자신의 IAM 사용자에 대해 하드웨어 MFA 디바이스 활성화(콘솔)

AWS Management 콘솔에서 자신의 하드웨어 MFA 디바이스를 활성화할 수 있습니다.

참고

하드웨어 MFA 디바이스를 활성화하려면 디바이스에 물리적으로 액세스할 수 있어야 합니다.

자신의 IAM 사용자에 대한 하드웨어 MFA 디바이스를 활성화하려면(콘솔)

  1. AWS 계정 ID 또는 계정 별칭, IAM 사용자 이름, 암호를 사용하여 IAM 콘솔에 로그인합니다.

    참고

    사용자 편의를 위해 AWS 로그인 페이지는 브라우저 쿠키를 사용하여 IAM 사용자 이름 및 계정 정보를 기억합니다. 이전에 다른 사용자로 로그인한 경우, 페이지 하단 근처의 [Sign in to a different account]를 선택하여 기본 로그인 페이지로 돌아갑니다. 여기서 AWS 계정 ID 또는 계정 별칭을 입력하면 계정의 IAM 사용자 로그인 페이지로 리디렉션됩니다.

    AWS 계정 ID를 받으려면 관리자에게 문의하십시오.

  2. 오른쪽 상단의 탐색 모음에서 사용자 이름을 선택한 다음 My Security Credentials(내 보안 자격 증명)를 선택합니다.

    
                  AWS Management Console 내 보안 자격 증명 링크
  3. AWS IAM credentials(AWS IAM 자격 증명) 탭의 Multi-factor authentication(멀티 팩터 인증) 섹션에서 Manage MFA device(내 MFA 디바이스 관리)를 선택합니다.

  4. Manage MFA device(MFA 디바이스 관리) 마법사에서 Hardware MFA device(하드웨어 MFA 디바이스)를 선택한 다음 Continue(계속)를 선택합니다.

  5. 디바이스 일련 번호를 입력합니다. 일련 번호는 보통 디바이스 후면에 있습니다.

  6. MFA code 1(MFA 코드 1) 상자에 MFA 디바이스에 표시된 6자리 번호를 입력합니다. 디바이스 전면의 버튼을 눌러야 번호가 표시되는 경우도 있습니다.

    
                  IAM 대시보드, MFA 디바이스
  7. 디바이스가 코드를 새로 고칠 때까지 30초 동안 기다린 다음 MFA code 2(MFA 코드 2) 상자에 다음 6자리 번호를 입력합니다. 다시 디바이스 전면의 버튼을 눌러야 두 번째 번호가 표시되는 경우도 있습니다.

  8. Assign MFA(MFA 할당)을 선택합니다.

    중요

    인증 코드를 생성한 후 바로 요청을 제출하십시오. 코드를 생성한 후 너무 오래 기다렸다 요청을 제출할 경우 MFA 디바이스가 사용자와 연결은 되지만 MFA 디바이스가 동기화되지 않습니다. 이는 시간 기반 일회용 암호(TOTP)가 잠시 후에 만료되기 때문입니다. 이 경우, 디바이스를 재동기화할 수 있습니다.

이제 AWS에서 디바이스를 사용할 준비가 끝났습니다. AWS Management 콘솔의 MFA 사용 방법에 대한 자세한 내용은 IAM 로그인 페이지에 MFA 디바이스 사용 단원을 참조하십시오.

다른 IAM 사용자에 대해 하드웨어 MFA 디바이스 활성(콘솔)

AWS Management 콘솔에서 다른 IAM 사용자에 대해 하드웨어 MFA 디바이스를 활성화할 수 있습니다.

다른 IAM 사용자에 대해 하드웨어 MFA 디바이스를 활성화하려면(콘솔)

  1. AWS Management 콘솔에 로그인한 다음 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 Users(사용자)를 선택합니다.

  3. MFA를 활성화하려는 사용자의 이름을 선택한 다음 Security credentials(보안 자격 증명) 탭을 선택합니다.

  4. Assigned MFA device(할당된 MFA 디바이스) 옆의 관리를 선택합니다.

  5. Manage MFA device(MFA 디바이스 관리) 마법사에서 Hardware MFA device(하드웨어 MFA 디바이스)를 선택한 다음 Continue(계속)를 선택합니다.

  6. 디바이스 일련 번호를 입력합니다. 일련 번호는 보통 디바이스 후면에 있습니다.

  7. MFA code 1(MFA 코드 1) 상자에 MFA 디바이스에 표시된 6자리 번호를 입력합니다. 디바이스 전면의 버튼을 눌러야 번호가 표시되는 경우도 있습니다.

    
            IAM 대시보드, MFA 디바이스
  8. 디바이스가 코드를 새로 고칠 때까지 30초 동안 기다린 다음 MFA code 2(MFA 코드 2) 상자에 다음 6자리 번호를 입력합니다. 다시 디바이스 전면의 버튼을 눌러야 두 번째 번호가 표시되는 경우도 있습니다.

  9. Assign MFA(MFA 할당)을 선택합니다.

    중요

    인증 코드를 생성한 후 바로 요청을 제출하십시오. 코드를 생성한 후 너무 오래 기다렸다 요청을 제출할 경우 MFA 디바이스가 사용자와 연결은 되지만 MFA 디바이스가 동기화되지 않습니다. 이는 시간 기반 일회용 암호(TOTP)가 잠시 후에 만료되기 때문입니다. 이 경우, 디바이스를 재동기화할 수 있습니다.

이제 AWS에서 디바이스를 사용할 준비가 끝났습니다. AWS Management 콘솔의 MFA 사용 방법에 대한 자세한 내용은 IAM 로그인 페이지에 MFA 디바이스 사용 단원을 참조하십시오.

AWS 계정 루트 사용자용 하드웨어 MFA 디바이스 활성화(콘솔)

AWS Management 콘솔에서만 루트 사용자에 대한 가상 MFA 디바이스를 구성하고 활성화할 수 있으며, AWS CLI 또는 AWS API에서는 이 작업을 수행할 수 없습니다.

MFA 디바이스를 분실하거나, 도난당했거나, 디바이스가 작동하지 않을 경우에도 다른 인증 요소를 사용하여 로그인할 수 있습니다. MFA 디바이스로 로그인할 수 없는 경우에 사용자 계정으로 등록된 이메일 및 전화로 사용자 ID를 확인하여 로그인할 수 있습니다. 루트 사용자용 MFA를 활성화하기 전에 계정 설정과 연락처 정보를 검토하여 이메일 및 전화번호에 대한 액세스 권한이 있는지 확인하십시오. 다른 인증 요소를 사용하여 로그인하는 방법은 MFA 디바이스 분실 또는 작동 중단 시 문제 해결 단원을 참조하십시오. 이 기능을 비활성화하려면 AWS Support에 문의하십시오.

참고

MFA를 사용하여 로그인인증 디바이스 문제 해결과 같은 다른 텍스트가 나타날 수 있습니다. 그러나 동일한 기능이 제공됩니다. 어느 경우든 대체 인증 팩터를 사용하여 계정 이메일 주소 및 전화 번호를 확인할 수 없는 경우 AWS Support에 문의하여 MFA 설정을 비활성화하십시오.

루트 사용자용 MFA 디바이스를 활성화하려면(콘솔)

  1. AWS 계정 이메일 주소와 암호를 사용하여 AWS Management 콘솔에 AWS 계정 루트 사용자로 로그인합니다.

    참고

    이전에 IAM 사용자 자격 증명으로 콘솔에 로그인한 경우 브라우저가 이 기본 설정을 기억하여 계정별 로그인 페이지를 열 수도 있습니다. IAM 사용자 로그인 페이지에서는 AWS 계정 루트 사용자 자격 증명으로 로그인할 수 없습니다. IAM 사용자 로그인 페이지가 나타날 경우에는 페이지 하단에 있는 Sign-in using 루트 사용자 credentials(루트 계정 자격 증명을 사용하여 로그인)를 선택하여 기본 로그인 페이지로 돌아갑니다. 기본 로그인 페이지에서 AWS 계정의 이메일 주소와 암호를 입력합니다.

  2. 탐색 모음의 오른쪽에서 계정 이름을 선택한 다음 My Security Credentials(내 보안 자격 증명)을 선택합니다. 필요한 경우 보안 자격 증명으로 계속(Continue to Security Credentials)을 선택합니다.

    
                  탐색 메뉴의 내 보안 자격 증명
  3. Multi-factor authentication (MFA)(멀티 팩터 인증(MFA)) 섹션을 확장합니다.

  4. 이전 단계에서 선택한 옵션에 따라 MFA 관리 또는 MFA 활성화(Activate MFA)를 선택합니다.

  5. 마법사에서 Hardware MFA device(하드웨어 MFA 디바이스)를 선택한 후 계속을 선택합니다.

  6. Serial number(일련 번호) 상자에 MFA 디바이스 뒷면에 있는 일련 번호를 입력합니다.

  7. MFA code 1(MFA 코드 1) 상자에 MFA 디바이스에 표시된 6자리 번호를 입력합니다. 디바이스 전면의 버튼을 눌러야 번호가 표시되는 경우도 있습니다.

    
                  IAM 대시보드, MFA 디바이스
  8. 디바이스가 코드를 새로 고칠 때까지 30초 동안 기다린 다음 MFA code 2(MFA 코드 2) 상자에 다음 6자리 번호를 입력합니다. 다시 디바이스 전면의 버튼을 눌러야 두 번째 번호가 표시되는 경우도 있습니다.

  9. Assign MFA(MFA 할당)을 선택합니다. 이제 MFA 디바이스가 AWS 계정과 연결되었습니다.

    중요

    인증 코드를 생성한 후 바로 요청을 제출하십시오. 코드를 생성한 후 너무 오래 기다렸다 요청을 제출할 경우 MFA 디바이스가 사용자와 연결은 되지만 MFA 디바이스가 동기화되지 않습니다. 이는 시간 기반 일회용 암호(TOTP)가 잠시 후에 만료되기 때문입니다. 이 경우, 디바이스를 재동기화할 수 있습니다.

    다음에 루트 사용자 자격 증명을 사용하여 로그인할 때도 MFA 디바이스의 코드를 입력해야 합니다.

물리적 MFA 디바이스 교체 또는 "회전"

한 사용자에게는 한 번에 하나의 MFA 디바이스만 할당할 수 있습니다. 사용자가 디바이스를 분실하거나 이유를 불문하고 교체할 필요가 있을 경우, 먼저 기존 디바이스를 비활성화해야 합니다. 그런 다음, 해당 사용자를 위한 새 디바이스를 추가할 수 있습니다.