FIDO 보안 키 사용에 지원되는 구성

현재 지원되는 구성을 사용하여 IAM에서 FIDO2 보안 키를 다중 인증(MFA) 방법으로 사용할 수 있습니다. 여기에는 IAM에서 지원하는 FIDO2 디바이스와 FIDO2를 지원하는 브라우저가 포함됩니다. FIDO2 장치를 등록하기 전에 최신 브라우저 및 운영 체제(OS) 버전을 사용하고 있는지 확인하세요. 기능은 브라우저, 인증자, OS 클라이언트마다 다르게 작동할 수 있습니다. 한 브라우저에서 디바이스 등록이 실패하는 경우 다른 브라우저로 등록을 시도할 수 있습니다.

AWS에서 지원하는 FIDO2 디바이스

IAM은 USB, Bluetooth 또는 NFC를 통해 디바이스에 연결하는 FIDO2 보안 디바이스를 지원합니다. 플랫폼 인증(예: TouchID, FaceID 또는 Windows Hello)은 지원하지 않습니다.

참고

AWS의 경우 FIDO2 디바이스 검사를 위해 컴퓨터에 있는 물리적 USB 포트에 대한 액세스가 필요합니다. FIDO2 보안 키는 가상 머신, 원격 연결 또는 브라우저의 익명 모드에서 작동하지 않습니다.

FIDO Alliance는 FIDO 사양과 호환되는 모든 FIDO2 제품 목록을 유지 관리합니다.

FIDO2 지원 브라우저

웹 브라우저에서 실행되는 FIDO2 보안 장치의 사용 가능 여부는 어떤 브라우저와 운영 체제를 함께 사용하는지에 따라 달라집니다. 다음 브라우저들은 현재 FIDO2 보안 키의 사용을 지원합니다.

	macOS 10.15 이상	Windows 10	Linux	iOS 14.5 이상	Android 7 이상
Chrome	예	예	예	예	아니요
Safari	예	아니요	아니요	예	아니요
Edge	예	예	아니요	예	아니요
Firefox	예	예	아니요	예	아니요

참고

현재 FIDO2를 지원하는 대부분의 Firefox 버전에서는 기본적으로 지원을 활성화하지 않습니다. Firefox에서 FIDO2 지원을 활성하기 위한 지침은 FIDO 보안 키 문제 해결 섹션을 참조하세요.

FIDO2 인증 장치(예: YubiKey)의 브라우저 지원에 대한 자세한 내용은 FIDO2 및 U2F에 대한 운영 체제 및 웹 브라우저 지원을 참조하세요.

브라우저 플러그 인

AWS는 FIDO2를 기본적으로 지원하는 브라우저만 지원합니다. AWS는 FIDO2 브라우저 지원을 추가하기 위한 플러그인 사용을 지원하지 않습니다. 일부 브라우저 플러그인은 FIDO2 표준과 호환되지 않으며 FIDO2 보안 키와 연결할 때 예기치 않은 결과를 초래할 수 있습니다.

브라우저 플러그인 비활성화 및 기타 문제 해결을 위한 자세한 내용은 FIDO 보안 키를 활성화할 수 없습니다. 섹션을 참조하세요.

디바이스 인증

FIDO 보안 키를 등록하는 동안에만 FIPS 검증 및 FIDO 인증 등급과 같은 디바이스 관련 인증을 캡처하고 할당합니다. 디바이스 인증은 FIDO Alliance 메타데이터 서비스(MDS)에서 가져옵니다. FIDO 보안 키의 인증 상태 또는 등급이 변경될 경우, 디바이스 태그에 자동으로 반영되지 않습니다. 디바이스의 인증 정보를 업데이트하려면 디바이스를 다시 등록하여 업데이트된 인증 정보를 가져와야 합니다.

AWS는 디바이스 등록 시 FIDO MDS에서 획득한 FIPS-140-2, FIPS-140-3 및 FIDO 인증 등급과 같은 인증 유형을 조건 키로 제공합니다. 선호하는 인증 유형 및 등급에 따라 IAM 정책에서 특정 인증자의 등록을 지정할 수 있습니다. 자세한 내용은 아래의 정책을 참조하세요.

디바이스 인증을 위한 예제 정책

다음 사용 사례는 FIPS 인증을 사용하여 MFA 디바이스를 등록할 수 있도록 허용하는 샘플 정책을 보여줍니다.

사용 사례 1: FIPS-140-2 L2 인증을 받은 디바이스만 등록 허용

{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-2-certification": "L2"
                }
            }
        }
    ]
}

사용 사례 2: FIPS-140-2 L2 및 FIDO L1 인증을 받은 디바이스의 등록 허용

{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-2-certification": "L2",
                    "iam:FIDO-certification": "L1"
                }
            }
        }
    ]
}

사용 사례 3: FIPS-140-2 L2 또는 FIPS-140-3 L2 인증을 받은 디바이스의 등록 허용

{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-2-certification": "L2"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey" : "Activate",
                    "iam:FIDO-FIPS-140-3-certification": "L2"
                }
            }
        }
    ]
}

사용 사례 4: FIPS-140-2 L2 인증이 있고 가상 인증 및 하드웨어 TOTP와 같은 기타 MFA 유형을 지원하는 디바이스의 등록 허용

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey": "Create"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:RegisterSecurityKey": "Activate",
                    "iam:FIPS-140-2-certification": "L2"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:EnableMFADevice",
            "Resource": "*",
            "Condition": {
                "Null": {
                    "iam:RegisterSecurityKey": "true"
                }
            }
        }
    ]
}

AWS CLI 및 AWS API

AWS는 AWS Management Console에서만 FIDO2 보안 키 사용을 지원합니다. MFA에 대한 FIDO2 보안 키 사용은 AWS CLI 및 AWS API 또는 MFA 보호 API 작업에 대한 액세스에는 지원되지 않습니다.

추가적인 리소스

• AWS에서 FIDO2 보안 키 사용에 대한 자세한 내용은 FIDO 보안 키 활성화(콘솔) 섹션을 참조하세요.

• AWS에서의 FIDO2 보안 키 문제 해결에 대한 도움말은 FIDO 보안 키 문제 해결 섹션을 참조하세요.

• FIDO2 지원에 대한 일반적인 업계 정보는 FIDO2 Project(FIDO2 프로젝트)를 참조하세요.