AD Connector에 대한 다중 인증 활성화
온프레미스 혹은 EC2 인스턴스로 액티브 디렉터리를 가동하는 경우 AD Connector에 대해 다중 인증을 활성화할 수 있습니다. AWS Directory Service에서 다중 인증 사용에 대한 자세한 내용은 AD Connector 사전 조건 단원을 참조하세요.
참고
Simple AD에는 다중 인증을 사용할 수 없습니다. 그러나 AWS Managed Microsoft AD 디렉터리에 대해서는 MFA를 활성화할 수 있습니다. 자세한 내용은 AWS Managed Microsoft AD에 다중 인증 사용 섹션을 참조하세요.
AD Connector에 대한 다중 인증 활성화
-
AWS Directory Service 콘솔
탐색 창에서 디렉터리를 선택합니다. -
AD Connector 디렉터리에 대한 디렉터리 ID 링크를 선택합니다.
-
디렉터리 세부 정보 페이지에서 Networking & security(네트워킹 및 보안) 탭을 선택합니다.
-
다중 인증 섹션에서 작업을 선택한 다음 활성화를 선택합니다.
-
Enable multi-factor authentication (MFA)(다중 인증(MFA) 활성화) 페이지에서 다음 값을 제공합니다.
- 레이블 표시
-
레이블 이름을 제공합니다.
- RADIUS 서버 DNS 이름 또는 IP 주소
-
RADIUS 서버 엔드포인트의 IP 주소 또는 RADIUS 서버 로드 밸런서의 IP 주소입니다. 쉼표로 구분하여 여러 IP 주소를 입력할 수 있습니다(예:
192.0.0.0,192.0.0.12
).참고
RADIUS MFA는 AWS Management Console에 대한 액세스를 인증하는 데만 적용하거나 WorkSpaces, Amazon QuickSight, Amazon Chime 등의 Amazon Enterprise 애플리케이션 및 서비스에 대한 액세스를 인증하는 데 적용할 수 있습니다. EC2 인스턴스에서 실행되는 Windows 워크로드 또는 EC2 인스턴스 로그인에 대해서는 MFA를 제공하지 않습니다. AWS Directory Service는 RADIUS 챌린지/응답 인증을 지원하지 않습니다.
사용자는 사용자 이름과 암호를 입력할 때 MFA 코드를 알고 있어야 합니다. 또는 사용자에 대한 SMS 텍스트 확인 등, MFA 대역 외 작업을 수행하는 솔루션을 사용해야 합니다. 대역 외 MFA 솔루션에서는 RADIUS 제한 시간 값을 솔루션에 적합하게 설정해야 합니다. 대역 외 MFA 솔루션을 사용하는 경우 로그인 페이지에서 MFA 코드를 묻는 메시지가 표시됩니다. 이 경우, 사용자가 암호 필드와 MFA 필드 모두에 암호를 입력하는 것이 모범 사례입니다.
- 포트
-
RADIUS 서버에서 통신용으로 사용 중인 포트입니다. 온프레미스 네트워크는 AWS Directory Service 서버에서 기본 RADIUS 서버 포트(UDP:1812)로 전송되는 인바운드 트래픽을 허용해야 합니다.
- Shared secret code
-
RADIUS 엔드포인트가 생성될 때 지정된 공유 보안 코드입니다.
- Confirm shared secret code
-
RADIUS 엔드포인트의 공유 보안 코드를 확인합니다.
- 프로토콜
-
RADIUS 엔드포인트가 생성될 때 지정된 프로토콜을 선택합니다.
- 서버 제한 시간(초)
-
RADIUS 서버에서 응답을 대기할 시간(초)입니다. 이 값은 1~50이어야 합니다.
- 최대 RADIUS 요청 재시도
-
RADIUS 서버와 통신을 시도하는 횟수입니다. 이 값은 0~10이어야 합니다.
[RADIUS Status]가 [Enabled]로 변경되면 다중 인증을 사용할 수 있습니다.
-
활성화를 선택합니다.