U2F 보안 키 활성화(콘솔) - AWS Identity and Access Management

U2F 보안 키 활성화(콘솔)

U2F(Universal 2nd Factor) 보안 키는 AWS 리소스 보호에 사용할 수 있는 MFA 디바이스의 한 유형입니다. U2F 보안 키를 컴퓨터의 USB 포트에 연결하여 다음의 지침에 따라 활성화할 수 있습니다. 활성화한 후 로그인 절차를 안전하게 완료하라는 메시지가 나타나면 터치합니다. 이미 다른 서비스에 U2F 보안 키를 사용 중이고 AWS가 지원되는 구성(예: Yubico의 Yubikey 4 또는 5)을 보유한 경우 AWS에도 사용할 수 있습니다. 그렇지 않은 경우, AWS의 MFA에 U2F를 사용하려면 U2F 보안 키를 구입해야 합니다. 사양 및 구입 관련 정보는 멀티 팩터 인증 단원을 참조하십시오.

U2F는 FIDO Alliance에서 호스팅하는 공개 인증 표준입니다. AWS에서 U2F 키를 활성화하는 경우 U2F 보안 키가 AWS 전용의 새로운 키 페어를 생성합니다. 먼저 자격 증명을 입력합니다. 메시지가 나타나면 U2F 보안 키를 터치하여 AWS에서 야기된 인증 문제에 대응합니다. U2F 표준에 대해 자세히 알아보려면 Universal 2nd Factor 단원을 참조하십시오.

루트 사용자 또는 IAM 사용자별로 (어떤 종류든) 한 개의 MFA 디바이스를 활성화할 수 있습니다.

필요한 권한

중요한 MFA 관련 작업을 보호하면서 자신의 IAM 사용자에 대한 U2F 보안 키를 관리하려면 다음 정책에 따른 권한이 있어야 합니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowManageOwnUserMFA", "Effect": "Allow", "Action": [ "iam:DeactivateMFADevice", "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}" }, { "Sid": "DenyAllExceptListedIfNoMFA", "Effect": "Deny", "NotAction": [ "iam:EnableMFADevice", "iam:GetUser", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": "arn:aws:iam::*:user/${aws:username}", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } ] }

자신의 IAM 사용자에 대한 U2F 보안 키 활성화(콘솔)

AWS Management 콘솔에서만 자신의 IAM 사용자에 대한 U2F 보안 키를 활성화할 수 있으며, AWS CLI 또는 AWS API에서는 활성화할 수 없습니다.

참고

U2F 보안 키를 활성화하려면 디바이스에 물리적으로 액세스할 수 있어야 합니다.

자신의 IAM 사용자에 대한 U2F 보안 키를 활성화하려면(콘솔)

  1. AWS 계정 ID나 계정 별칭, IAM 사용자 이름 및 암호를 사용하여 IAM 콘솔에 로그인합니다.

    참고

    사용자 편의를 위해 AWS 로그인 페이지는 브라우저 쿠키를 사용하여 IAM 사용자 이름 및 계정 정보를 기억합니다. 이전에 다른 사용자로 로그인한 경우 페이지 하단 근처의 Sign in to a different account(다른 계정에 로그인)를 선택하여 기본 로그인 페이지로 돌아갑니다. 여기서 AWS 계정 ID 또는 계정 별칭을 입력하면 계정의 IAM 사용자 로그인 페이지로 리디렉션됩니다.

    AWS 계정 ID를 받으려면 관리자에게 문의하십시오.

  2. 오른쪽 상단의 탐색 모음에서 사용자 이름을 선택한 다음 My Security Credentials(내 보안 자격 증명)를 선택합니다.

    
                  AWS Management Console 내 보안 자격 증명 링크
  3. AWS IAM credentials(AWS IAM 자격 증명) 탭의 Multi-factor authentication(멀티 팩터 인증) 섹션에서 Manage MFA device(내 MFA 디바이스 관리)를 선택합니다.

  4. Manage MFA device(MFA 디바이스 관리) 마법사에서 U2F security key(U2F 보안 키)를 선택한 다음 Continue(계속)를 선택합니다.

  5. 컴퓨터의 USB 포트에 U2F 보안 키를 삽입합니다.

    
                  U2F 보안 키
  6. U2F 보안 키를 터치한 다음, U2F 설정이 완료되었을 때 닫기를 선택합니다.

AWS에서 U2F 보안 키를 사용할 준비가 끝났습니다. AWS Management 콘솔의 MFA 사용 방법에 대한 자세한 내용은 IAM 로그인 페이지에 MFA 디바이스 사용 단원을 참조하십시오.

다른 IAM 사용자에 대한 U2F 보안 키 활성화(콘솔)

AWS Management 콘솔에서만 다른 IAM 사용자에 대한 U2F 보안 키를 활성화할 수 있으며, AWS CLI 또는 AWS API에서는 활성화할 수 없습니다.

다른 IAM 사용자에 대한 U2F 보안 키를 활성화하려면(콘솔)

  1. AWS Management 콘솔에 로그인한 다음 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 Users(사용자)를 선택합니다.

  3. MFA를 활성화하려는 사용자의 이름을 선택한 다음 Security credentials(보안 자격 증명) 탭을 선택합니다.

  4. Assigned MFA device(할당된 MFA 디바이스) 옆의 관리를 선택합니다.

  5. Manage MFA device(MFA 디바이스 관리) 마법사에서 U2F security key(U2F 보안 키)를 선택한 다음 Continue(계속)를 선택합니다.

  6. 컴퓨터의 USB 포트에 U2F 보안 키를 삽입합니다.

    
            U2F 보안 키
  7. U2F 보안 키를 터치한 다음, U2F 설정이 완료되었을 때 닫기를 선택합니다.

AWS에서 U2F 보안 키를 사용할 준비가 끝났습니다. AWS Management 콘솔의 MFA 사용 방법에 대한 자세한 내용은 IAM 로그인 페이지에 MFA 디바이스 사용 단원을 참조하십시오.

AWS 계정 루트 사용자에 대한 U2F 보안 키 활성화(콘솔)

AWS Management 콘솔에서만 루트 사용자에 대한 가상 MFA 디바이스를 구성하고 활성화할 수 있으며, AWS CLI 또는 AWS API에서는 이 작업을 수행할 수 없습니다.

U2F 보안 키를 분실했거나, 도난당했거나, 작동하지 않을 경우에도 다른 인증 요소를 사용하여 로그인할 수 있습니다. 다른 인증 요소를 사용하여 로그인하는 방법은 MFA 디바이스 분실 또는 작동 중단 시 문제 해결 단원을 참조하십시오. 이 기능을 비활성화하려면 AWS Support에 문의하십시오.

루트 사용자용 U2F 키를 활성화하려면(콘솔)

  1. [루트 사용자]를 선택하고 AWS 계정 이메일 주소를 입력하여 계정 소유자로 IAM 콘솔에 로그인합니다. 다음 페이지에서 암호를 입력합니다.

    참고

    텍스트 상자가 세 개 표시되면 이전에 IAM 사용자 자격 증명으로 콘솔에 로그인한 것입니다. 브라우저에서 이 기본 설정을 기억하고 로그인할 때마다 이 계정별 로그인 페이지를 열 수 있습니다. IAM 사용자 로그인 페이지에서는 계정 소유자로 로그인할 수 없습니다. IAM 사용자 로그인 페이지가 표시되면 페이지 하단에 있는 Sign in using 루트 사용자 email(이메일을 사용하여 로그인)을 선택하여 기본 로그인 페이지로 돌아갑니다. 기본 로그인 페이지에서 AWS 계정 이메일 주소와 암호를 입력하여 루트 사용자로 로그인합니다.

  2. 탐색 모음의 오른쪽에서 계정 이름을 선택한 다음 My Security Credentials(내 보안 자격 증명)을 선택합니다. 필요한 경우 보안 자격 증명으로 계속(Continue to Security Credentials)을 선택합니다.

    
                  탐색 메뉴의 내 보안 자격 증명
  3. Multi-factor authentication (MFA)(멀티 팩터 인증(MFA)) 섹션을 확장합니다.

  4. 이전 단계에서 선택한 옵션에 따라 MFA 관리 또는 MFA 활성화(Activate MFA)를 선택합니다.

  5. 마법사에서 U2F security key(U2F 보안 키)를 선택한 후 계속을 선택합니다.

  6. 컴퓨터의 USB 포트에 U2F 보안 키를 삽입합니다.

    
                  U2F 보안 키
  7. U2F 보안 키를 터치한 다음, U2F 설정이 완료되었을 때 닫기를 선택합니다.

AWS에서 U2F 보안 키를 사용할 준비가 끝났습니다. 다음에 루트 사용자 자격 증명을 사용하여 로그인할 때도 U2F 보안 키를 터치해 로그인 절차를 완료해야 합니다.

​U2F 보안 키 교체

한 사용자에게는 한 번에 하나의 MFA 디바이스(가상, U2F 보안 키 또는 하드웨어)만 할당할 수 있습니다. 사용자가 U2F 보안 키를 분실하거나 이유를 불문하고 교체할 필요가 있을 경우, 먼저 기존 U2F 키를 비활성화해야 합니다. 그런 다음, 해당 사용자를 위한 새 MFA 디바이스를 추가할 수 있습니다.

새로운 U2F 보안 키에 대한 액세스 권한이 없는 경우 새로운 가상 MFA 디바이스 또는 하드웨어 MFA 디바이스를 활성화할 수 있습니다. 관련 지침을 보려면 다음 중 하나를 참조하십시오.