기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS 관리형 Microsoft AD에 대한 다중 요소 인증을 활성화합니다.
사용자가 액세스할 AD 자격 증명을 지정할 때 AWS 관리형 Microsoft AD 디렉터리에 대한 MFA (다단계 인증) 를 활성화하여 보안을 강화할 수 있습니다. 지원되는 Amazon Enterprise 애플리케이션 MFA를 활성화하면 사용자는 평소 대로 사용자 이름 및 암호(첫 번째 요소)를 입력하는 것 외에도 가상 또는 하드웨어 MFA 솔루션에서 얻는 인증 코드(두 번째 요소)를 입력해야 합니다. 이들 요소는 사용자가 유효한 사용자 자격 증명과 유효 MFA 코드를 제공하지 않는 경우 Amazon 엔터프라이즈 애플리케이션에 대한 액세스를 금지하여 보안을 강화합니다.
MFA를 사용하려면 원격 인증 전화 접속 사용자 서비스
RADIUS는 사용자가 네트워크 서비스에 연결할 수 있도록 인증, 권한 부여, 계정 관리 서비스를 제공하는 업계 표준 클라이언트/서버 프로토콜입니다. AWS 관리형 Microsoft AD에는 MFA 솔루션을 구현한 RADIUS 서버에 연결하는 RADIUS 클라이언트가 포함되어 있습니다. RADIUS 서버에서는 사용자 이름과 OTP 코드를 확인합니다. RADIUS 서버가 사용자의 유효성을 성공적으로 검증하면 AWS 관리형 Microsoft AD는 Active Directory에 대해 사용자를 인증합니다. Active Directory 인증에 성공하면 사용자는 애플리케이션에 액세스할 수 있습니다. AWS AWS 관리형 Microsoft AD RADIUS 클라이언트와 RADIUS 서버 간의 통신을 위해서는 포트 1812를 통한 통신을 가능하게 하는 AWS 보안 그룹을 구성해야 합니다.
다음 절차를 수행하여 AWS 관리형 Microsoft AD 디렉터리에 대한 다단계 인증을 활성화할 수 있습니다. RADIUS 서버가 AWS Directory Service 및 MFA에서 작동하도록 구성하는 자세한 방법은 다중 인증 사전 조건 단원을 참조하세요.
고려 사항
다음은 AWS 관리형 Microsoft AD의 다중 요소 인증에 대한 몇 가지 고려 사항입니다.
Simple AD에는 다중 인증을 사용할 수 없습니다. 그러나 AD Connector 디렉터리에는 MFA를 사용할 수 있습니다. 자세한 정보는 AD Connector에 대한 다중 인증 활성화을 참조하세요.
MFA는 관리형 AWS Microsoft AD의 지역별 기능입니다. 다중 리전 복제를 사용하는 경우 다음 절차를 각 리전에 별도로 적용해야 합니다. 자세한 정보는 글로벌 기능과 리전별 기능 비교을 참조하세요.
외부 통신에 AWS Managed Microsoft AD를 사용하려는 경우 이러한 통신을 위해 네트워크 외부에 NAT (네트워크 주소 변환) Internet Gateway 또는 Internet Gateway를 구성하는 것이 좋습니다. AWS
-
AWS 관리형 Microsoft AD와 AWS 네트워크에서 호스팅되는 RADIUS 서버 간의 외부 통신을 지원하려면 문의하세요 AWS Support
.
-
AWS 관리형 Microsoft AD에 대한 다중 요소 인증을 활성화합니다.
다음 절차는 AWS 관리형 Microsoft AD에 대한 다중 요소 인증을 활성화하는 방법을 보여줍니다.
-
RADIUS MFA 서버 및 관리형 AWS Microsoft AD 디렉터리의 IP 주소를 식별하십시오.
-
VPC (가상 사설 클라우드) 보안 그룹을 편집하여 관리형 AWS Microsoft AD IP 엔드포인트와 RADIUS MFA 서버 간에 포트 1812를 통한 통신을 활성화할 수 있습니다.
-
AWS Directory Service 콘솔
탐색 창에서 디렉터리를 선택합니다. -
AWS 관리형 Microsoft AD 디렉터리에 대한 디렉터리 ID 링크를 선택합니다.
-
Directory details(디렉터리 세부 정보) 페이지에서 다음 중 하나를 수행합니다.
-
다중 리전 복제에 여러 리전이 표시되는 경우 MFA를 활성화할 리전을 선택한 다음 네트워킹 및 보안 탭을 선택합니다. 자세한 정보는 기본 vs. 추가 AWS 리전을 참조하세요.
-
다중 리전 복제에 리전이 표시되지 않는 경우 네트워킹 및 보안 탭을 선택합니다.
-
-
다중 인증 섹션에서 작업을 선택한 다음 활성화를 선택합니다.
-
Enable multi-factor authentication (MFA)(다중 인증(MFA) 활성화) 페이지에서 다음 값을 제공합니다.
- 레이블 표시
-
레이블 이름을 제공합니다.
- RADIUS 서버 DNS 이름 또는 IP 주소
-
RADIUS 서버 엔드포인트의 IP 주소 또는 RADIUS 서버 로드 밸런서의 IP 주소입니다. 쉼표로 구분하여 여러 IP 주소를 입력할 수 있습니다(예:
192.0.0.0,192.0.0.12).참고
RADIUS MFA는 Amazon 또는 Amazon Chime과 같은 아마존 엔터프라이즈 애플리케이션 및 서비스 또는 서비스에 대한 액세스를 인증하는 데만 적용됩니다. AWS Management Console WorkSpaces QuickSight EC2 인스턴스에서 실행되거나 EC2 인스턴스에 로그인하는 Windows 워크로드에는 MFA를 제공하지 않습니다. AWS Directory Service RADIUS 챌린지/응답 인증은 지원하지 않습니다.
사용자는 사용자 이름과 암호를 입력할 때 MFA 코드를 알고 있어야 합니다. 또는 사용자에 대한 SMS 텍스트 out-of-band 검증과 같은 MFA를 수행하는 솔루션을 사용해야 합니다. out-of-band MFA 솔루션에서는 RADIUS 제한 시간 값을 솔루션에 맞게 설정해야 합니다. out-of-band MFA 솔루션을 사용하는 경우 로그인 페이지에서 사용자에게 MFA 코드를 입력하라는 메시지가 표시됩니다. 이 경우, 사용자는 암호 필드와 MFA 필드 모두에 암호를 입력해야 합니다.
- 포트
-
RADIUS 서버에서 통신용으로 사용 중인 포트입니다. 온프레미스 네트워크는 서버에서 기본 RADIUS 서버 포트 (UDP:1812) 를 통한 인바운드 트래픽을 허용해야 합니다. AWS Directory Service
- Shared secret code
-
RADIUS 엔드포인트가 생성될 때 지정된 공유 보안 코드입니다.
- Confirm shared secret code
-
RADIUS 엔드포인트의 공유 보안 코드를 확인합니다.
- 프로토콜
-
RADIUS 엔드포인트가 생성될 때 지정된 프로토콜을 선택합니다.
- 서버 제한 시간(초)
-
RADIUS 서버에서 응답을 대기할 시간(초)입니다. 이 값은 1~50이어야 합니다.
참고
RADIUS 서버 제한 시간은 20초 이하로 구성하는 것이 좋습니다. 제한 시간이 20초를 초과하면 시스템에서 다른 RADIUS 서버로 재시도할 수 없어 시간 초과 실패가 발생할 수 있습니다..
- 최대 RADIUS 요청 재시도
-
RADIUS 서버와 통신을 시도하는 횟수입니다. 이 값은 0~10이어야 합니다.
[RADIUS Status]가 [Enabled]로 변경되면 다중 인증을 사용할 수 있습니다.
-
활성화를 선택합니다.
지원되는 Amazon Enterprise 애플리케이션
Amazon, Amazon WorkSpaces, Amazon을 비롯한 모든 Amazon Enterprise IT 애플리케이션은 MFA와 함께 AWS 관리형 Microsoft AD 및 AD Connector를 AWS IAM Identity Center 사용할 때 액세스가 AWS Management Console 지원되며 QuickSight, 이러한 애플리케이션은 Amazon, Amazon, Amazon을 비롯한 모든 Amazon Enterprise IT 애플리케이션을 사용할 수 있습니다. WorkDocs WorkMail
Amazon Enterprise 애플리케이션, Single AWS Sign-On 및 AWS Management Console 사용에 AWS Directory Service대한 기본 사용자 액세스를 구성하는 방법에 대한 자세한 내용은 및 을 참조하십시오AWS 애플리케이션 및 서비스에 대한 액세스 지원. AD 보안 인증을 사용한 AWS Management Console 액세스 활성화
관련 AWS 보안 블로그 기사
