사용자 풀에 MFA 추가 - Amazon Cognito

사용자 풀에 MFA 추가

멀티 팩터 인증(MFA)은 앱의 보안을 강화합니다. MFA는 사용자 이름 및 암호에 대해 알고 있는 것 팩터에 가지고 있는 것 인증 팩터를 추가합니다. SMS 문자 메시지 또는 시간 동기화 방식 일회용 암호(TOTP)를 사용자 로그인에 대한 두 번째 팩터로 사용하도록 선택할 수 있습니다.

참고

새 사용자가 앱에 처음 로그인할 때 Amazon Cognito는 사용자 풀에 MFA가 필요한 경우에도 OAuth 2.0 토큰을 발급합니다. 사용자가 처음 로그인할 때 두 번째 인증 요소는 Amazon Cognito가 사용자에게 보내는 확인 메시지를 확인하는 것입니다. 사용자 풀에 MFA가 필요한 경우 Amazon Cognito는 첫 로그인 후 각 로그인 시도 중에 사용할 추가 로그인 요소를 등록하라는 메시지를 표시합니다.

조정 인증을 통해 위험 수준이 높아졌을 때 두 번째 팩터를 통한 인증을 요구하도록 사용자 풀을 구성할 수 있습니다. 사용자 풀에 조정 인증을 추가하는 방법은 사용자 풀에 고급 보안 기능 추가 섹션을 참조하세요.

MFA를 사용자 풀에 대해 required로 설정하면 모든 사용자가 로그인하려면 MFA를 완료해야 합니다. 로그인하려면 각 사용자가 SMS 또는 TOTP와 같은 MFA 팩터를 하나 이상 설정해야 합니다. MFA를 required로 설정하면 사용자 풀에서 사용자의 로그인을 허용하도록 사용자 온보딩에 MFA 설정을 포함해야 합니다.

SMS를 MFA 팩터로 활성화하는 경우 사용자가 가입할 때 전화 번호를 제공하고 해당 전화 번호를 확인하도록 요구할 수 있습니다. MFA를 required로 설정하고 SMS만 팩터로 지원하는 경우 사용자는 전화 번호를 제공해야 합니다. 전화 번호가 없는 사용자는 관리자의 지원을 받아 프로필에 전화 번호를 추가해야 로그인할 수 있습니다. 확인되지 않은 전화 번호를 SMS MFA에 사용할 수 있습니다. 이 번호는 MFA가 성공한 후에 확인됨 상태를 받습니다.

MFA를 required로 설정하고 SMS 및 TOTP를 지원되는 확인 방법으로 활성화한 경우 Amazon Cognito는 전화 번호가 없는 새 사용자에게 TOTP MFA를 설정하라는 메시지를 표시합니다. MFA를 required로 설정하고 활성화된 유일한 MFA 방법이 TOTP인 경우 Amazon Cognito는 모든 새 사용자에게 두 번째로 로그인할 때 TOTP MFA를 설정하라는 메시지를 표시합니다. Amazon Cognito는 InitiateAuthAdminInitiateAuth API 작업에 대한 응답으로 TOTP MFA를 설정하는 문제를 생성합니다.

사전 조건

MFA를 설정하기 전에 다음을 고려하세요.

  • 레거시 Amazon Cognito 콘솔에서는 사용자 풀을 처음 생성할 때 MFA만 필수(Required)로 선택할 수 있습니다. 새 콘솔로 전환하거나 SetUserPoolMfaConfig API 작업을 사용하여 기존 사용자 풀에 대해 MFA를 required로 설정합니다.

  • 사용자 풀에서 MFA를 활성화하고 SMS 문자 메시지(SMS text message)를 두 번째 팩터로 선택하면 Amazon Cognito에서 확인하지 않은 전화 번호 속성에 SMS 메시지를 보낼 수 있습니다. 사용자가 SMS MFA를 완료하면 Amazon Cognito에서 phone_number_verified 속성을 true로 설정합니다.

  • 계정이 사용자 풀에 대한 Amazon Simple Notification Service(Amazon SNS) 리소스가 포함되어 있는 AWS 리전의 SMS 샌드박스에 있는 경우 Amazon SNS에서 전화 번호를 확인해야 SMS 메시지를 보낼 수 있습니다. 자세한 내용은 Amazon Cognito 사용자 풀의 SMS 메시지 설정 섹션을 참조하세요.

  • 고급 보안 기능을 사용하려면 Amazon Cognito 사용자 풀 콘솔에서 MFA를 활성화하고 선택 사항으로 설정해야 합니다. 자세한 내용은 사용자 풀에 고급 보안 기능 추가 섹션을 참조하세요.

멀티 팩터 인증 구성

Amazon Cognito 콘솔에서 MFA를 구성할 수 있습니다.

Original console

Amazon Cognito 콘솔에서 MFA를 구성하려면

  1. 왼쪽 탐색 모음에서 MFA and verifications(MFA 및 확인)를 선택합니다.

  2. 해제, 선택 사항필수 사항에서 MFA 상태를 선택합니다.

  3. MFA를 사용자별로 활성화하려는 경우 또는 위험 기반 조정 인증을 사용하고 있는 경우 선택 사항(Optional)을 선택합니다. 조정 인증에 대한 자세한 내용은 사용자 풀에 고급 보안 기능 추가 섹션을 참조하세요.

  4. 앱에서 지원할 두 번째 팩터를 선택합니다. SMS 문자 메시지 또는 Time-based One-time Password(시간 기반 일회용 암호)를 두 번째 팩터로 사용할 수 있습니다. SMS는 인증 팩터가 아닌 암호 복구 메커니즘으로 사용할 수 있도록 TOTP를 사용하는 것이 좋습니다.

  5. SMS 문자 메시지를 두 번째 팩터로 사용하는데 이 권한으로 정의된 IAM 역할이 없는 경우 콘솔에서 이러한 역할을 생성할 수 있습니다. 역할 생성(Create role)을 선택하여 Amazon Cognito가 대신해서 사용자에 SMS 메시지를 보내도록 허용하는 IAM 역할을 생성합니다. 자세한 내용은 IAM 역할을 참조하세요.

  6. [Save changes]를 선택합니다.

New console

Amazon Cognito 콘솔에서 MFA를 구성하려면

  1. Amazon Cognito 콘솔에 로그인합니다.

  2. [사용자 풀(User Pools)]을 선택합니다.

  3. 목록에서 기존 사용자 풀을 선택하거나 사용자 풀을 생성합니다.

  4. [로그인 환경(Sign-in experience)] 탭을 선택합니다. 멀티 팩터 인증(Multi-factor authentication)을 찾아서 편집(Edit)을 선택합니다.

  5. 사용자 풀에 사용하려는 MFA 시행(MFA enforcement) 방법을 선택합니다.

    
                    사용자 알림
    1. MFA 필수(Require MFA). 사용자 풀의 모든 사용자가 추가 SMS 코드 또는 시간 동기화 방식 일회용 암호(TOTP) 팩터로 로그인해야 합니다.

    2. 선택적 MFA(Optional MFA) - 사용자에게 추가 로그인 팩터를 등록하는 옵션을 제공할 수 있지만 MFA를 구성하지 않은 사용자의 로그인도 허용할 수 있습니다. 조정 인증을 사용하는 경우 이 옵션을 선택합니다. 조정 인증에 대한 자세한 내용은 사용자 풀에 고급 보안 기능 추가 섹션을 참조하세요.

    3. MFA 없음(No MFA). 사용자는 추가 로그인 요소를 등록할 수 없습니다.

  6. 앱에서 지원하는 MFA 방법(MFA methods)을 선택합니다. SMS 메시지(SMS message) 또는 TOTP 생성 인증자 앱(Authenticator apps)을 두 번째 요소로 설정할 수 있습니다. 계정 복구에서 SMS 메시지를 사용할 수 있도록 TOTP 기반 MFA를 구현하는 것이 좋습니다.

  7. SMS 문자 메시지를 두 번째 팩터로 사용하는데 SMS 메시지용 Amazon Simple Notification Service(Amazon SNS)와 함께 사용하도록 구성된 IAM 역할이 없는 경우 콘솔에서 이러한 역할을 생성합니다. 사용자 풀에 대한 메시징(Messaging) 탭에서 SMS를 찾아서 편집(Edit)을 선택합니다. Amazon Cognito가 사용자에게 SMS 메시지를 전송하도록 허용하는 기존 역할을 사용할 수도 있습니다. 자세한 내용은 IAM 역할을 참조하세요.

  8. [Save changes]를 선택합니다.