IAM에서 MFA로 보호되는 ID 복구 - AWS Identity and Access Management

IAM에서 MFA로 보호되는 ID 복구

가상 MFA 디바이스 또는 하드웨어 TOTP 토큰이 정상적으로 작동하는 것처럼 같지만, 이것을 사용하여 AWS 리소스에 액세스하지 못하는 경우에는 AWS와 동기화되지 않는 것이 원인일 수 있습니다. 가상 MFA 디바이스 또는 하드웨어 MFA 디바이스의 동기화에 대한 자세한 내용은 가상 및 하드웨어 MFA 디바이스 재동기화 섹션을 참조하세요. FIDO 보안 키는 항상 동기화되어 있습니다.

AWS 계정 루트 사용자용 MFA 디바이스가 분실 또는 손상되거나 작동하지 않는 경우, 계정에 대한 액세스를 복구할 수 있습니다. IAM 사용자는 관리자에게 문의하여 디바이스를 비활성화해야 합니다.

중요

여러 개의 MFA 디바이스를 활성화하는 것이 좋습니다. 여러 개의 MFA 디바이스를 등록하면 디바이스의 분실 또는 고장이 발생한 경우에도 계속 액세스할 수 있습니다. AWS 계정 루트 사용자 및 IAM 사용자는 어떤 유형이든 최대 8개의 MFA 디바이스를 등록할 수 있습니다.

사전 조건 - 다른 MFA 디바이스 사용

다중 인증(MFA) 디바이스가 분실되었거나 손상되었거나 작동하지 않는 경우 동일한 루트 사용자 또는 IAM 사용자에게 등록된 다른 MFA 디바이스를 사용하여 로그인할 수 있습니다.

다른 MFA 디바이스를 사용하여 로그인하는 방법
  1. AWS 계정 ID 또는 계정 별칭과 암호를 사용하여 AWS Management Console에 로그인합니다.

  2. 추가 확인 필요 페이지 또는 복수 단계 인증 페이지에서 다른 MFA 방법 시도를 선택합니다.

  3. 선택한 MFA 디바이스 유형으로 인증합니다.

  4. 다음 단계는 대체 MFA 디바이스를 사용해 성공적으로 로그인했는지 여부에 따라 달라집니다.

루트 사용자 MFA 디바이스 복구

MFA 디바이스로 로그인할 수 없는 경우 대체 인증 방법을 통해 사용자 계정에 등록된 이메일 및 기본 연락처 전화번호로 사용자 자격 증명을 확인하여 로그인할 수 있습니다.

대체 인증 요소를 사용하여 루트 사용자로 로그인하기 전에 계정과 연결된 이메일 및 기본 연락처 전화번호에 액세스할 수 있는지 확인합니다. 기본 연락처 전화번호를 업데이트해야 하는 경우 루트 사용자 대신 관리자 액세스 권한이 모두 있는 IAM 사용자로 로그인합니다. 계정 연락처 정보 업데이트에 대한 추가 지침은 AWS Billing 사용설명서의 연락처 정보 편집을 참조하십시오. 이메일 및 기본 연락처 전화번호에 액세스할 수 없는 경우 AWS Support에 문의해야 합니다.

중요

성공적인 계정 복구를 위해 루트 사용자에게 연결된 이메일 주소와 연락처 전화번호를 최신 상태로 유지하는 것이 좋습니다. 자세한 내용은 AWS Account Management참조 안내서에 있는 AWS 계정의 기본 연락처 업데이트를 참조하세요.

AWS 계정 루트 사용자로 다른 인증 요소를 사용하여 로그인하려면
  1. 루트 사용자를 선택하고 AWS 계정이메일 주소를 입력하여 AWS Management Console에 계정 소유자로 로그인합니다. 다음 페이지에서 비밀번호를 입력합니다.

  2. 추가 확인 필요(Additional verification required) 페이지에서 인증할 MFA 방법을 선택하고 다음(Next)을 선택합니다.

    참고

    MFA를 사용하여 로그인(Sign in using MFA), 인증 디바이스 문제 해결(Troubleshoot your authentication device), MFA 문제 해결(Troubleshoot MFA)과 같은 대체 텍스트가 표시될 수 있지만 기능은 동일합니다. 대체 인증 요소를 사용하여 계정 이메일 주소와 기본 연락처 전화번호를 확인할 수 없는 경우 AWS Support에 문의하여 MFA 디바이스를 비활성하세요.

  3. 사용 중인 MFA 유형에 따라 다른 페이지가 표시되지만 MFA 문제 해결(Troubleshoot MFA) 옵션은 동일하게 작동합니다. 추가 확인 필요(Additional verification required) 페이지 또는 복수 단계 인증(Multi-factor authentication) 페이지에서 MFA 문제 해결(Troubleshoot MFA)을 선택합니다.

  4. 필요할 경우 암호를 다시 입력하고 로그인을 선택합니다.

  5. 디바이스 인증 문제 해결(Troubleshoot your authentication device) 페이지에 있는 대체 인증 팩터를 사용하여 로그인(Sign In Using Alternative Factors of Authentication) 섹션에서 대체 팩터를 사용하여 로그인(Sign in using alternative factors)을 선택합니다.

  6. 대체 인증 팩터를 사용하여 로그인(Sign In Using Alternative Factors of Authentication) 페이지에서 이메일 주소를 확인하여 계정을 인증하고 확인 이메일 보내기(Send verification email)를 선택합니다.

  7. AWS 계정과 연결된 이메일에서 Amazon Web Services(recover-mfa-no-reply@verify.signin.aws)의 메시지를 확인합니다. 이메일 지침을 따릅니다.

    계정에 이메일이 없는 경우에는 스팸 폴더를 확인하거나 브라우저로 돌아가 이메일 재전송(Resend the email)을 선택합니다.

  8. 이메일 주소를 확인한 후에 계정 인증을 계속 진행할 수 있습니다. 기본 연락처 전화번호를 확인하려면 지금 전화하기(Call me now)를 선택합니다.

  9. AWS 전화를 받고, 요구에 따라 AWS 웹사이트의 6자리 숫자를 전화 키패드에 입력합니다.

    AWS에서 전화가 오지 않을 경우에는 로그인을 선택하여 콘솔에 다시 로그인하고 처음부터 다시 시작합니다. 또는 분실하거나 사용할 수 없는 다중 인증(MFA) 디바이스(Lost or unusable Multi-Factor Authentication (MFA) device)를 참조하여 지원팀에 문의하세요.

  10. 전화 번호를 확인한 후에는 콘솔에 로그인(Sign in to the console)을 선택하여 계정에 로그인할 수 있습니다.

  11. 다음 단계는 사용 중인 MFA의 유형에 따라 다릅니다.

    • 가상 MFA 디바이스의 경우, 디바이스에서 계정을 제거합니다. 그런 다음 AWS 보안 자격 증명 페이지로 이동하여 기존 MFA 가상 디바이스 엔터티를 삭제한 다음 새 엔터티를 생성합니다.

    • FIDO 보안 키의 경우, AWS 보안 인증 페이지로 이동하여 기존 FIDO 보안 키를 비활성화한 다음 새 키를 활성화합니다.

    • 하드웨어 TOTP 토큰의 경우, 타사 제공업체에 연락해 디바이스 수리 또는 교체를 위한 도움을 받으세요. 새 디바이스를 받기 전까지 다른 인증 요소를 사용하여 계속 로그인할 수 있습니다. 하드웨어 MFA 디바이스를 새로 받은 후에는 AWS 보안 자격 증명 페이지로 이동하여 기존 MFA 디바이스를 삭제합니다.

    참고

    잃어버렸거나 도난당한 MFA 디바이스를 동일한 유형의 디바이스로 대체해야 하는 것은 아닙니다. 예를 들어, FIDO 보안 키가 망가져 새로 주문한 경우, 새로운 FIDO 보안 키를 받을 때까지는 가상 MFA 또는 하드웨어 TOTP 토큰을 사용할 수 있습니다.

중요

MFA 디바이스가 분실 또는 도난된 경우 로그인하고 대체 MFA 디바이스를 설정한 후 루트 사용자 암호를 변경하세요. 인증 디바이스를 훔친 공격자가 사용자의 현재 암호를 알고 있을 수 있습니다. 자세한 내용은 AWS 계정 루트 사용자의 암호 변경 단원을 참조하십시오.

IAM 사용자 MFA 디바이스 복구

MFA로 로그인할 수 없는 IAM 사용자인 경우 직접 MFA 디바이스를 복구할 수 없습니다. 해당 사용자는 관리자에 문의하여 디바이스를 비활성화해야 합니다. 그러면 새 디바이스를 활성화할 수 있습니다.

IAM 사용자로 MFA 디바이스에 관한 도움을 받으려면
  1. AWS 관리자나 그 밖에 IAM 사용자의 사용자 이름 및 암호를 제공한 담당자에게 문의합니다. MFA 디바이스 비활성화 설명대로 관리자가 MFA 디바이스를 비활성화해야 로그인할 수 있습니다.

  2. 다음 단계는 사용 중인 MFA의 유형에 따라 다릅니다.

    참고

    잃어버렸거나 도난당한 MFA 디바이스를 동일한 유형의 디바이스로 대체해야 하는 것은 아닙니다. 어떤 조합이든 최대 8개의 MFA 디바이스를 보유할 수 있습니다. 예를 들어, FIDO 보안 키가 망가져 새로 주문한 경우, 새로운 FIDO 보안 키를 받을 때까지는 가상 MFA 또는 하드웨어 TOTP 토큰을 사용할 수 있습니다.

  3. MFA 디바이스가 없거나 도난당한 경우에는 인증 디바이스를 훔친 공격자가 현재 암호를 알 수 있으므로 비밀번호도 변경하세요. 자세한 내용은 IAM 사용자 암호 관리 섹션을 참조하세요.