액세스 및 인증 개요 - AWS Global Accelerator

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

액세스 및 인증 개요

IAM을 처음 사용하는 경우 AWS 에서 권한 부여 및 액세스를 시작하려면 다음 단원을 참조하십시오.

인증이란 무엇입니까?

인증은 자격 증명을 사용하여 AWS 에 로그인하는 방식입니다.

참고

빠르게 시작하려면 이 섹션을 무시할 수 있습니다. 먼저 에 대한 소개 정보를 살펴보십시오.AWS Global Accelerator 자격 증명 및 액세스 관리, 다음 단원을 참조하십시오.IAM 시작하기.

주체로서, 당신은인증AWS 에 로그인) 을 엔터티 (루트 사용자, IAM 사용자 또는 IAM 역할) 를 사용해 AWS로 요청을 보냅니다. IAM 사용자에게 사용자 이름과 암호 또는 액세스 키 세트와 같은 장기 자격 증명이 있을 수 있습니다. IAM 역할을 맡으면 임시 보안 자격 증명이 주어집니다.

AWS Management Console에서 사용자로 인증하려면 사용자 이름 및 암호를 사용하여 로그인해야 합니다. AWS CLI 또는 AWS API에서 인증을 받으려면 액세스 키와 보안 키 또는 임시 자격 증명을 제공해야 합니다. AWS 는 자격 증명을 사용해 암호화 방식으로 요청에 서명할 수 있는 SDK 및 CLI 도구를 제공합니다. AWS 도구를 사용하지 않는 경우 요청에 직접 서명해야 합니다. 사용하는 인증 방법에 상관없이 추가 보안 정보를 제공해야 할 수도 있습니다. 예를 들어, AWS는 Multi-Factor Authentication(MFA)을 사용하여 계정의 보안을 강화하는 것을 권장합니다.

보안 주체로서 다음 엔터티 (사용자 또는 역할) 를 사용하여 AWS 에 로그인할 수 있습니다.

AWS 계정 루트 사용자

AWS 계정을 처음 생성하는 경우에는 계정의 모든 AWS 서비스 및 리소스에 대해 완전한 액세스 권한을 지닌 단일 로그인 자격 증명으로 시작합니다. 이 자격 증명은 AWS 계정 루트 사용자라고 하며, 계정을 생성할 때 사용한 이메일 주소와 암호로 로그인하여 액세스합니다. 일상적인 작업, 심지어 관리 작업의 경우에도 루트 사용자를 사용하지 마실 것을 강력히 권장합니다. 대신, IAM 사용자를 처음 생성할 때만 루트 사용자를 사용하는 모범 사례를 준수합니다. 그런 다음 루트 사용자 자격 증명을 안전하게 보관하고 몇 가지 계정 및 서비스 관리 작업을 수행할 때만 사용합니다.

IAM 사용자

IAM 사용자은 특정 권한을 가지고 있는 AWS 계정 내 엔터티입니다. 글로벌 액셀러레이터 지원서명 버전 4이는 인바운드 API 요청을 인증하기 위한 프로토콜입니다. 요청 인증에 대한 자세한 내용은 단원을 참조하십시오.서명 버전 4 서명 프로세스AWS 일반 참조.

IAM 역할

IAM 역할은 특정 권한을 가지고 있는 계정에 생성할 수 있는 IAM 자격 증명입니다. AWS에서 자격 증명이 할 수 있는 것과 없는 것을 결정하는 권한 정책을 갖춘 AWS 자격 증명이라는 점에서 IAM 역할은 IAM 사용자와 유사합니다. 그러나 역할은 한 사람과만 연관되지 않고 해당 역할이 필요한 사람이라면 누구든지 맡을 수 있어야 합니다. 또한 역할에는 그와 연관된 암호 또는 액세스 키와 같은 표준 장기 자격 증명이 없습니다. 대신에 역할을 맡은 사람에게는 해당 역할 세션을 위한 임시 보안 자격 증명이 제공됩니다. 임시 자격 증명이 있는 IAM 역할은 다음과 같은 상황에서 유용합니다.

연합된 사용자 액세스

IAM 사용자를 생성하는 대신 AWS Directory Service의 기존 자격 증명, 엔터프라이즈 사용자 디렉터리 또는 웹 자격 증명 공급자를 사용할 수 있습니다. 이러한 사용자를 연동 사용자라고 합니다. 자격 증명 공급자를 통해 액세스를 요청하면 AWS가 연합된 사용자에게 역할을 할당합니다. 페더레이션 사용자에 대한 자세한 내용은연동 사용자 및 역할IAM 사용 설명서.

임시 사용자 권한

IAM 사용자는 한 가지 역할을 맡음으로써 특정 작업을 위해 다른 권한을 임시로 얻을 수 있습니다.

교차 계정 액세스

IAM 역할을 사용하여 다른 계정의 신뢰할 수 있는 보안 주체가 내 계정의 리소스에 액세스하도록 할 수 있습니다. 역할은 교차 계정 액세스를 부여하는 기본적인 방법입니다. 그러나 일부 AWS 서비스에서는 역할을 프록시로 사용하는 대신 리소스에 정책을 직접 연결할 수 있습니다. 글로벌 액셀러레이터는 이러한 리소스 기반 정책을 지원하지 않습니다. 교차 계정 액세스를 허용하기 위해 역할 또는 리소스 기반 정책을 사용할지 여부에 대한 자세한 내용은 다른 계정에서 보안 주체에 대한 액세스 제어 단원을 참조하십시오.

AWS 서비스 액세스

서비스 역할은IAM 역할서비스가 사용자를 대신하여 작업을 수행하기 위해 수임한 것으로 가정합니다. 서비스 역할은 해당 계정 내에서만 액세스를 제공하며 다른 계정의 서비스에 대한 액세스를 부여하는 데 사용할 수 없습니다. IAM 관리자는 IAM 내에서 서비스 역할을 생성, 수정 및 삭제할 수 있습니다. 자세한 내용은 단원을 참조하십시오.AWS 서비스에 대한 권한을 위임할 역할 생성IAM 사용 설명서.

Amazon EC2에서 실행 중인 애플리케이션

IAM 역할을 사용하여 EC2 인스턴스에서 실행되고 AWS CLI 또는 AWS API 요청을 수행하는 애플리케이션의 임시 자격 증명을 관리할 수 있습니다. 이는 EC2 인스턴스 내에 액세스 키를 저장할 때 권장되는 방법입니다. EC2 인스턴스에 AWS 역할을 할당하고 그 역할을 모든 애플리케이션에서 사용할 수 있도록 하려면 인스턴스에 연결된 인스턴스 프로파일을 만들어야 합니다. 인스턴스 프로파일에는 역할이 포함되어 있으며 EC2 인스턴스에서 실행되는 프로그램이 임시 자격 증명을 얻을 수 있습니다. 자세한 내용은 단원을 참조하십시오.IAM 역할을 사용하여 Amazon EC2 인스턴스에서 실행되는 애플리케이션에 권한 부여IAM 사용 설명서.

액세스 제어란 무엇입니까?

AWS에 로그인하면 (인증되면) AWS 리소스 및 작업에 대한 액세스는 정책에 의해 관리됩니다. 액세스 제어는 권한 부여라고도 합니다.

참고

빠르게 시작하려면 이 페이지를 무시할 수 있습니다. 먼저 에 대한 소개 정보를 살펴보십시오.AWS Global Accelerator 자격 증명 및 액세스 관리, 다음 단원을 참조하십시오.IAM 시작하기.

권한 부여 동안 AWS 는요청 컨텍스트을 선택하여 적용되는 정책을 확인합니다. 그런 다음 이것은 정책을 사용하여 요청을 허용하거나 거부할지 여부를 결정합니다. 대부분의 정책은 AWS 에 JSON 문서로 저장되며 보안 주체에 대해 허용되거나 거부되는 권한을 지정합니다. JSON 정책 문서의 구조와 콘텐츠에 대한 자세한 내용은 정책이란 무엇입니까? 단원을 참조하십시오.

정책을 사용하여 관리자는 AWS 리소스에 액세스할 수 있는 대상과 액세스한 사용자가 해당 리소스에서 수행할 수 있는 작업을 지정할 수 있습니다. 모든 IAM 개체(사용자 또는 역할)는 처음에는 권한이 없습니다. 다시 말해, 기본적으로 사용자는 아무 작업도 할 수 없으며, 심지어 자신의 액세스 키를 볼 수도 없습니다. 사용자에게 작업을 수행할 권한을 부여하기 위해 관리자는 사용자에게 권한 정책을 연결해야 합니다. 의도한 권한을 보유한 그룹에 사용자를 추가할 수 있습니다. 그런 다음 관리자가 그룹에 권한을 부여하면 그룹의 모든 사용자가 해당 권한을 얻습니다.

요청을 인증하는 데 유효한 자격 증명이 있더라도 관리자가 권한을 부여하지 않으면 AWS Global Accelerator 리소스를 생성하거나 액세스할 수 없습니다. 예를 들어 AWS Global Accelerator 가속기를 생성할 명시적인 권한이 있어야 합니다.

관리자는 다음에 대한 액세스를 제어하는 정책을 작성할 수 있습니다.

  • Principal— 사용자 또는 애플리케이션이 요청하는 사항을 제어합니다 (보안 주체) 가 허용됩니다.

  • IAM 자격 증명IAM 자격 증명 (그룹, 사용자 및 역할) 에 액세스할 수 있는 및 그 방법을 제어합니다.

  • IAM 정책— 고객 관리형 정책을 생성, 편집 및 삭제할 수 있는 대상과 모든 관리형 정책을 연결하고 분리할 수 있는 대상을 제어합니다.

  • AWS 리소스— 자격 증명 기반 정책 또는 리소스 기반 정책을 사용하여 리소스에 액세스할 수 있는 대상을 제어할 수 있습니다.

  • AWS 계정- 특정 계정의 멤버에만 요청이 허용되는지 여부를 제어합니다.

보안 주체에 대한 액세스 제어

권한 정책은 보안 주체가 수행할 수 있는 작업을 제어합니다. 관리자는 자격 증명(사용자, 그룹 또는 역할)에 권한을 제공하는 자격 증명 기반 권한 정책을 연결해야 합니다. 권한 정책은 AWS 에 대한 액세스를 허용하거나 거부합니다. 또한 관리자는 IAM 엔터티 (사용자 또는 역할) 에 대한 권한 경계를 설정해 해당 엔터티가 가질 수 있는 최대 권한을 정의할 수 있습니다. 권한 경계는 고급 기능입니다. 권한 경계에 대한 자세한 내용은 단원을 참조하십시오.IAM 자격 증명에 대한 권한 경계IAM 사용 설명서.

보안 주체에 대한 AWS 액세스를 제어하는 방법에 대한 자세한 내용과 예는보안 주체에 대한 액세스 제어IAM 사용 설명서.

자격 증명에 대한 액세스 제어

관리자는 자격 증명에 대해 수행할 수 있는 작업과 자격 증명에 액세스할 수 있는 사람을 제한하는 정책을 생성하여 IAM 자격 증명 (사용자, 그룹 또는 역할) 에 대해 수행할 수 있는 작업을 제어합니다. 그런 다음 자격 증명에 권한을 제공하는 정책을 연결합니다.

예를 들어, 관리자가 여러분이 사용자 3명에 대해 암호를 재설정할 수 있도록 허용할 수 있습니다. 이렇게 하기 위해 관리자는 자신과 지정된 사용자 3명의 ARN 가진 사용자에 대한 암호만 재설정할 수 있도록 허용하는 정책을 여러분의 IAM 사용자에게 연결합니다. 그러면 팀원의 암호를 재설정할 수 있지만 다른 IAM 사용자는 재설정할 수 없습니다.

자격 증명에 대한 AWS 액세스를 제어하는 정책을 사용하는 방법에 대한 자세한 내용과 예는자격 증명에 대한 액세스 제어IAM 사용 설명서.

정책에 대한 액세스 제어

관리자는 누가 고객 관리형 정책을 생성, 편집 및 삭제할 수 있고, 누가 모든 관리형 정책을 연결하고 분리할 수 있는지 제어합니다. 정책을 보면 그 정책 안에서 각 서비스에 대한 액세스 레벨의 요약이 들어 있는 정책 요약을 확인할 수 있습니다. AWS 는 각 서비스 작업을 네 가지 중 하나로 분류합니다.액세스 레벨각 작업이 수행하는 작업에 따라:List,Read,Write또는Permissions management. 이러한 액세스 레벨을 사용하여 어떤 작업을 정책에 포함할지 결정할 수 있습니다. 자세한 내용은 단원을 참조하십시오.정책 요약 내의 액세스 수준 요약 이해IAM 사용 설명서.

주의

제한해야 합니다.Permissions Management계정에서 액세스 레벨 권한을 부여합니다. 그렇지 않으면 계정 멤버가 가지고 있어야 하는 것보다 더 많은 권한을 가지고 직접 정책을 생성할 수 있습니다. 또는 AWS 에 대한 모든 액세스 권한을 가진 별도의 사용자를 생성할 수 있습니다.

정책에 대한 AWS 액세스를 제어하는 방법에 대한 자세한 내용과 예는정책에 대한 액세스 제어IAM 사용 설명서.

리소스에 대한 액세스 제어

관리자는 자격 증명 기반 정책 또는 리소스 기반 정책을 사용하여 리소스에 대한 액세스를 제어할 수 있습니다. 자격 증명 기반 정책에서 자격 증명에 정책을 연결하고 자격 증명이 액세스할 수 있는 리소스를 지정합니다. 리소스 기반 정책에서 제어하려는 리소스에 정책을 연결합니다. 정책에서 해당 리소스에 액세스할 수 있는 보안 주체를 지정합니다.

자세한 내용은 단원을 참조하십시오.리소스에 대한 액세스 제어IAM 사용 설명서.

리소스 작성자가 자동으로 사용 권한을 갖지 않음

리소스를 누가 생성했든 상관 없이 계정 내 모든 리소스를 해당 계정이 소유합니다. AWS 계정 루트 사용자는 계정 소유자이므로는 계정의 모든 리소스에 대해 작업을 수행할 권한이 있습니다.

중요

일상적인 작업, 심지어 관리 작업의 경우에도 루트 사용자를 사용하지 마실 것을 강력히 권장합니다. 그 대신,IAM 사용자를 처음 생성할 때만 루트 사용자를 사용하는 모범 사례. 그런 다음 루트 사용자 자격 증명을 안전하게 보관하고 몇 가지 계정 및 서비스 관리 작업을 수행할 때만 사용합니다. 루트 사용자로 로그인해야 하는 작업을 보려면루트 사용자가 필요한 AWS 작업.

AWS 계정의 엔터티 (사용자 또는 역할) 에 리소스를 생성할 수 있는 액세스 권한을 부여해야 합니다. 그러나 리소스를 생성했다는 이유만으로 해당 리소스에 대한 모든 액세스 권한이 자동으로 부여되지는 않습니다. 관리자는 각 작업에 대해 권한을 명시적으로 부여해야 합니다. 또한 관리자는 사용자 및 역할 권한을 관리할 수 있는 액세스 권한이 있는 한 언제든지 권한을 취소할 수 있습니다.

다른 계정에서 보안 주체에 대한 액세스 제어

관리자는 AWS 리소스 기반 정책, IAM 리소스 교차 계정 역할 또는 AWS Organizations 서비스를 사용하여 다른 계정의 보안 주체가 내 리소스에 액세스하도록 할 수 있습니다.

일부 AWS 서비스의 경우 관리자는 리소스에 대한 교차 계정 액세스 권한을 부여할 수 있습니다. 이렇게 하려면 관리자는 역할을 프록시로 사용하는 대신 공유하고자 하는 리소스에 정책을 직접 연결합니다. 서비스에서 이 정책 유형을 지원하는 경우 관리자가 공유하는 리소스는 리소스 기반 정책을 지원해야 합니다. 사용자 기반 정책과 달리 리소스 기반 정책은 해당 리소스에 액세스할 수 있는 사용자 (AWS 계정 ID 번호 목록의 형태) 를 지정합니다. Global Accelerator는 리소스 기반 정책을 지원하지 않습니다.

리소스 기반 정책을 사용한 교차 계정 액세스는 역할에 비해 몇 가지 이점이 있습니다. 리소스 기반 정책을 통해 액세스한 리소스로 인해 보안 주체(개인 또는 애플리케이션)는 여전히 신뢰받는 계정에서 작업을 할 수 있고 역할 권한 대신에 자신의 사용자 권한을 포기할 필요가 없습니다. 다시 말해서 보안 주체는 자신이 신뢰하는 계정과 자신을 신뢰하는 계정의 리소스에 동시에 액세스할 수 있습니다. 이는 한 계정에서 다른 계정으로 정보를 복사하는 등의 작업에서 특히 유용합니다. 교차 계정 역할 사용에 대한 자세한 내용은 단원을 참조하십시오.자신이 소유한 다른 AWS 계정의 IAM 사용자에게 액세스 권한 제공IAM 사용 설명서.

AWS Organizations 소유한 여러 AWS 계정에 정책 기반 관리를 제공합니다. Organizations 사용하면 계정 그룹을 생성하고 계정 생성을 자동화하며 해당 그룹에 정책을 적용하고 관리할 수 있습니다. 또한 사용자 지정 스크립트와 수동 프로세스 없이도 여러 계정의 정책을 중앙에서 관리할 수 있습니다. AWS Organizations 사용하면 여러 AWS 계정의 AWS 서비스 사용을 중앙에서 제어하는 SCP (서비스 제어 정책) 를 생성할 수 있습니다. 자세한 내용은 단원을 참조하십시오.AWS Organizations 이란 무엇입니까?AWS Organizations 사용 설명서.

정책이란 무엇입니까?

정책을 생성하고 IAM 자격 증명 또는 AWS 리소스에 연결하여 AWS 액세스를 제어합니다.

참고

빠르게 시작하려면 이 페이지를 무시할 수 있습니다. 먼저 에 대한 소개 정보를 살펴보십시오.AWS Global Accelerator 자격 증명 및 액세스 관리, 다음 단원을 참조하십시오.IAM 시작하기.

정책은 엔터티 또는 리소스에 연결될 때 해당 권한을 정의하는 AWS 의 객체입니다. AWS는 사용자와 같은 보안 주체가 요청할 때 이러한 정책을 평가합니다. 정책에서 권한은 요청이 허용되거나 거부되는지 여부를 결정합니다. 대부분의 정책은 AWS에 JSON 문서로 저장됩니다.

IAM 정책은 작업을 수행하기 위해 사용하는 방법과 상관없이 작업에 대한 권한을 정의합니다. 예를 들어 정책에서GetUser작업을 수행하면 해당 정책이 있는 사용자는 AWS Management Console, AWS CLI 또는 AWS API에서 사용자 정보를 얻을 수 있습니다. IAM 사용자를 생성할 경우 사용자가 콘솔 또는 프로그래밍 방식 액세스를 허용하도록 설정할 수 있습니다. IAM 사용자는 사용자 이름 및 암호를 사용하는 콘솔에 로그인할 수 있습니다. 또는 CLI 또는 API를 사용해 액세스 키를 사용할 수 있습니다.

빈도수에 따라 나열된 다음 정책 유형에 따라 요청의 허가 여부가 달라질 수 있습니다. 자세한 내용은 단원을 참조하십시오.정책 유형IAM 사용 설명서.

자격 증명 기반 정책

관리형 및 인라인 정책을 IAM 자격 증명 (사용자, 사용자가 속한 사용자 그룹 및 역할) 에 연결할 수 있습니다.

리소스 기반 정책

인라인 정책을 일부 AWS 서비스의 리소스에 연결할 수 있습니다. 리소스 기반 정책의 가장 일반적인 예제는 Amazon S3 버킷 정책 및 IAM 역할 신뢰 정책입니다. Global Accelerator는 리소스 기반 정책을 지원하지 않습니다.

Organizations CP

AWS Organizations 서비스 제어 정책 (SCP) 을 사용하여 AWS Organizations 조직 조직 또는 조직 단위 (OU) 에 권한 경계를 적용할 수 있습니다. 이러한 권한은 멤버 계정 내 모든 엔터티에 적용됩니다.

ACL(액세스 제어 목록)

ACL을 사용하여 보안 주체의 리소스 액세스를 제어할 수 있습니다. ACL는 리소스 기반 정책과 비슷합니다. 다만 JSON 정책 문서 구조를 사용하지 않은 유일한 정책 유형입니다. Global Accelerator는 ACL을 지원하지 않습니다.

이런 정책 유형은 권한 정책 또는 권한 경계로 분류할 수 있습니다.

권한 정책

AWS 의 리소스에 권한 정책을 연결해 해당 객체에 대한 권한을 정의할 수 있습니다. AWS 단일 계정 내에서 모든 권한 정책을 같이 평가합니다. 권한 정책은 가장 범용 정책입니다. 다음 권한 유형을 권한 정책으로 사용할 수 있습니다.

자격 증명 기반 정책

관리형 또는 인라인 정책을 IAM 사용자, 그룹 또는 역할에 연결하면 정책은 해당 엔터티에 대한 권한을 정의합니다.

리소스 기반 정책

JSON 정책 문서를 리소스로 연결할 경우, 그 리소스에 대한 권한을 정의할 수 있습니다. 서비스는 리소스 기반 정책을 지원해야 합니다.

ACL(액세스 제어 목록)

ACL을 리소스로 연결할 경우, 그 리소스에 대한 액세스 권한의 보안 주체 목록을 정의할 수 있습니다. 리소스는 ACL을 지원해야 합니다.

권한 경계

정책을 사용하여 엔터티 (사용자 또는 역할) 에 대한 권한 경계를 정의할 수 있습니다. 이 권한 경계는 엔터티가 가질 수 있는 최대 권한을 제어합니다. 권한 경계는 AWS 기능입니다. 두 개 이상의 권한 경계를 요청에 적용할 경우 AWS 는 권한 경계를 각각 평가합니다. 다음 상황에서 권한 경계를 적용할 수 있습니다.

Organizations

AWS Organizations 서비스 제어 정책 (SCP) 을 사용하여 AWS Organizations 조직 조직 또는 조직 단위 (OU) 에 권한 경계를 적용할 수 있습니다.

IAM 사용자 또는 역할

관리형 정책을 사용자 또는 역할의 권한 경계용 사용할 수 있습니다. 자세한 내용은 단원을 참조하십시오.IAM 엔터티에 대한 권한 경계IAM 사용 설명서.

자격 증명 기반 정책

정책을 IAM 자격 증명에 연결할 수 있습니다. 예를 들면,

계정 내 사용자 또는 그룹에 권한 정책 연결

AWS Global Accelerator 리소스 (예:) 생성 권한을 해당 사용자에게 부여하려면 해당 사용자 또는 사용자가 속한 그룹에 권한 정책을 연결할 수 있습니다.

역할에 권한 정책 연결 (교차 계정 권한 부여)

자격 증명 기반 권한 정책을 IAM 역할에 연결하여 교차 계정 권한을 부여할 수 있습니다. 예를 들어, 계정 A의 관리자는 다음과 같이 다른 AWS 계정(예: 계정 B) 또는 AWS 서비스에 교차 계정 권한을 부여할 역할을 생성할 수 있습니다.

  1. 계정 A 관리자는 IAM 역할을 생성하고 계정 A의 리소스에 대한 권한을 부여하는 역할에 권한 정책을 연결합니다.

  2. 계정 A 관리자는 계정 B를 역할을 수임할 보안 주체로 식별하는 역할에 신뢰 정책을 연결합니다.

  3. 계정 B 관리자는 계정 B의 사용자에게 역할을 수임할 권한을 위임할 수 있습니다. 그러면 계정 B의 사용자가 계정 A에서 리소스를 생성하거나 액세스할 수 있습니다. AWS 서비스에 역할 수임 권한을 부여할 경우 신뢰 정책의 보안 주체가 AWS 서비스 보안 주체이기도 합니다.

IAM을 사용하여 권한을 위임하는 방법에 대한 자세한 내용은 를 참조하십시오.액세스 관리IAM 사용 설명서.

사용자, 그룹, 역할 및 권한에 대한 자세한 내용은 를 참조하십시오.자격 증명(사용자, 그룹, 및 역할)IAM 사용 설명서.

다음은 글로벌 액셀러레이터와 함께 사용할 수 있는 두 가지 정책의 예입니다. 첫 번째 예제 정책은 사용자에게 AWS 계정의 가속기에 대한 모든 List 및 Describe 작업에 대한 프로그래밍 방식의 액세스 권한을 부여합니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "globalaccelerator:List*", "globalaccelerator:Describe*" ], "Resource": "*" } ] }

다음 예제에서는 프로그래밍 방식으로ListAccelerators작업:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "globalaccelerator:ListAccelerators", ], "Resource": "*" } ] }

리소스 기반 정책

리소스 기반 정책은 리소스에 연결하는 JSON 정책 문서입니다. 이러한 정책은 지정된 보안 주체가 해당 리소스에 대해 수행할 수 있는 작업 및 이에 관한 조건을 지정하도록 허용합니다. 가장 일반적인 리소스 기반 정책은 Amazon S3 버킷입니다. 리소스 기반 정책은 리소스에만 존재하는 인라인 정책입니다. 관리형 리소스 기반 정책은 없습니다.

리소스 기반 정책을 사용해 다른 AWS 계정의 멤버에게 권한을 부여하는 것은 IAM 역할에 비해 몇 가지 이점이 있습니다. 자세한 내용은 단원을 참조하십시오.IAM 역할과 리소스 기반 정책의 차이IAM 사용 설명서.

정책 액세스 수준 분류

IAM 콘솔에서 작업은 다음 액세스 레벨 분류를 사용하여 그룹화됩니다.

나열

서비스 내의 리소스를 나열하여 객체가 존재하는지 판단할 수 있는 권한을 제공합니다. 이 액세스 레벨의 작업은 객체를 나열할 수 있으나 리소스의 내용을 확인할 수 없습니다. 액세스 레벨이 나열인 대부분의 작업은 특정 리소스에 대해 수행할 수 없습니다. 이러한 작업에 관련한 정책 설명을 생성할 때 모든 리소스("*")를 지정해야 합니다.

Read

읽기 서비스에서 리소스 내용과 속성을 읽을 수 있으나 편집할 수 없는 권한을 제공합니다. 예를 들어 Amazon S3 작업GetObjectGetBucketLocation를 가지고Read액세스 레벨

쓰기

쓰기 서비스에서 리소스를 생성, 삭제 또는 수정할 수 있는 권한을 제공합니다. 예를 들어 Amazon S3 작업CreateBucket,DeleteBucket, 및PutObject를 가지고쓰기액세스 레벨

권한 관리

권한 서비스에서 리소스 권한을 부여하거나 수정할 수 있는 권한을 제공합니다. 예를 들어, 대부분의 IAM 및 AWS Organizations 정책 작업에는권한 관리액세스 레벨

Tip

AWS 계정의 보안을 개선하려면권한 관리액세스 수준 분류입니다.

태그 지정

작성, 삭제 또는 서비스의 리소스에 연결된 태그를 생성, 삭제하거나 수정할 수 있는 권한을 제공합니다. 예를 들어 Amazon EC2CreateTagsDeleteTags작업에는태그 지정액세스 레벨

IAM 시작하기

AWS Identity and Access Management (IAM) 는 서비스 및 리소스에 대한 사용자의 액세스를 안전하게 관리할 수 있게 해주는 AWS 서비스입니다. IAM은 추가 비용 없이 AWS 계정의 기능입니다.

참고

IAM으로 시작하기 전에 에 대한 기본 정보를 살펴보십시오.AWS Global Accelerator 자격 증명 및 액세스 관리.

AWS 계정을 처음 생성하는 경우에는 계정의 모든 AWS 서비스 및 리소스에 대해 완전한 액세스 권한을 지닌 단일 로그인 자격 증명으로 시작합니다. 이 자격 증명은 AWS 계정 루트 사용자라고 하며, 계정을 생성할 때 사용한 이메일 주소와 암호로 로그인하여 액세스합니다. 일상적인 작업, 심지어 관리 작업의 경우에도 루트 사용자를 사용하지 마실 것을 강력히 권장합니다. 대신, IAM 사용자를 처음 생성할 때만 루트 사용자를 사용하는 모범 사례를 준수합니다. 그런 다음 루트 사용자 자격 증명을 안전하게 보관하고 몇 가지 계정 및 서비스 관리 작업을 수행할 때만 사용합니다.

IAM 관리 사용자를 생성합니다.

관리자 사용자를 직접 생성하여 관리자 그룹에 추가하려면(콘솔)

  1. 에 로그인합니다.IAM 콘솔를 선택하여 계정 소유자로루트 사용자를 클릭하고 AWS 계정 이메일 주소를 입력합니다. 다음 페이지에서 암호를 입력합니다.

    참고

    를 사용하는 모범 사례를 준수하는 것이 좋습니다.AdministratorIAM 사용자를 팔로우하고, 루트 사용자 자격 증명을 안전하게 보관합니다. 몇 가지 계정 및 서비스 관리 태스크를 수행하려면 반드시 루트 사용자로 로그인해야 합니다.

  2. 탐색 창에서 사용자사용자 추가를 차례로 선택합니다.

  3. 사용자 이름Administrator를 입력합니다.

  4. AWS Management Console 액세스(AWS Management Console access)옆에 있는 확인란을 선택합니다. 그런 다음 Custom password(사용자 지정 암호)를 선택하고 텍스트 상자에 새 암호를 입력합니다.

  5. (선택 사항) 기본적으로 AWS에서는 새 사용자가 처음 로그인할 때 새 암호를 생성해야 합니다. User must create a new password at next sign-in(사용자가 다음에 로그인할 때 새 암호를 생성해야 합니다) 옆에 있는 확인란의 선택을 취소하면 새 사용자가 로그인한 후 암호를 재설정할 수 있습니다.

  6. 선택다음: 권한.

  7. 권한 설정 아래에서 그룹에 사용자 추가를 선택합니다.

  8. 그룹 생성을 선택합니다.

  9. 그룹 생성 대화 상자의 그룹 이름Administrators를 입력합니다.

  10. 선택정책 필터링을 선택한 다음AWS 관리형 - 직무 기능를 클릭하여 테이블 내용을 필터링합니다.

  11. 정책 목록에서 AdministratorAccess 확인란을 선택합니다. 그런 다음 Create group을 선택합니다.

    참고

    AdministratorAccess 권한을 사용하여 AWS 결제 및 비용 관리 콘솔에 액세스하려면 먼저 결제에 대한 IAM 사용자 및 역할 액세스를 활성화해야 합니다. 이를 위해 결제 콘솔에 액세스를 위임하기 위한 자습서 1단계의 지침을 따르십시오.

  12. 그룹 목록으로 돌아가 새로 만든 그룹 옆의 확인란을 선택합니다. 목록에서 그룹을 확인하기 위해 필요한 경우 Refresh(새로 고침)를 선택합니다.

  13. 선택다음: 태그.

  14. (선택 사항) 태그를 키-값 페어로 연결하여 메타데이터를 사용자에게 추가합니다. IAM에서의 태그 사용에 대한 자세한 내용은 단원을 참조하십시오.IAM 엔터티 태그 지정IAM 사용 설명서.

  15. 선택다음: 검토새 사용자에게 추가할 그룹 멤버십의 목록을 확인합니다. 계속 진행할 준비가 되었으면 Create user를 선택합니다.

이제 동일한 절차에 따라 그룹이나 사용자를 추가 생성하여 AWS 계정 리소스에 액세스할 수 있는 권한을 사용자에게 부여할 수 있게 되었습니다. 특정 AWS 리소스에 대한 사용자 권한을 제한하는 정책을 사용하는 방법을 알아보려면 액세스 관리정책 예제를 참조하십시오.

글로벌 액셀러레이터를 위한 위임된 사용자 만들기

AWS 계정에서 여러 사용자를 지원하려면 다른 사용자가 허용된 작업만 수행할 수 있도록 권한을 위임해야 합니다. 이렇게 하려면 해당 사용자에게 필요한 권한이 있는 IAM 그룹을 생성한 다음 필요에 따라 필요한 그룹에 IAM 사용자를 추가합니다. 이 프로세스를 사용하여 전체 AWS 계정에 대한 그룹, 사용자 및 권한을 설정할 수 있습니다. 이 솔루션은 AWS 관리자가 수동으로 사용자 및 그룹을 관리할 수 있는 중소 규모 조직에서 가장 적합합니다. 대규모 조직의 경우 다음을 사용할 수 있습니다.사용자 지정 IAM 역할,연합또는Single Sign-On.

다음 절차에서는 세 명의 사용자를 만듭니다.arnav,carlos, 및martha라는 액셀러레이터를 만들 수 있는 권한을 부여하는 정책을 첨부합니다.my-example-accelerator, 그러나 다음 30 일 이내에 만. 여기 제공된 단계에 따라 다른 권한을 가진 사용자를 추가할 수 있습니다.

다른 사용자에 대해 위임 사용자를 생성하려면(콘솔)

  1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 UsersAdd user를 차례대로 선택합니다.

  3. 사용자 이름arnav를 입력합니다.

  4. 다른 사용자 추가를 선택하고 두 번째 사용자로 carlos을 입력합니다. 다른 사용자 추가를 선택하고 세 번째 사용자로 martha를 입력합니다.

  5. 옆의 확인란을 선택합니다.AWS Management Console 액세스을 선택한 다음자동 생성된 암호.

  6. 새로운 사용자가 로그인한 후 암호를 재설정할 수 있도록 사용자가 다음에 로그인할 때 새 암호를 생성해야 합니다 확인란의 선택을 취소합니다.

  7. 선택다음: 권한.

  8. Attach existing policies directly(기존 정책 직접 연결)를 선택합니다. 사용자에 대해 새 관리형 정책을 생성합니다.

  9. 정책 생성을 선택합니다.

    새 탭 또는 브라우저 창에서 정책 생성 마법사가 열립니다.

  10. Visual editor(시각적 편집기) 탭에서 Choose a service(서비스 선택)을 선택합니다. 그런 다음 Global Accelerator 상단의 검색 상자를 사용하여 서비스 목록 결과를 제한할 수 있습니다.

    서비스섹션이 닫히고작업섹션이 자동으로 열립니다.

  11. 허용할 Global Accelerator 작업을 선택합니다. 예를 들어, 액셀러레이터를 생성할 권한을 부여하려면globalaccelerator:CreateAccelerator작업 필터텍스트 상자에 로그인합니다. 전역 가속기 작업 목록이 필터링되면 옆에 있는 확인란을 선택합니다.globalaccelerator:CreateAccelerator.

    글로벌 액셀러레이터 작업은 액세스 레벨 분류에 따라 그룹화되어 각 작업이 제공하는 액세스 레벨을 빠르고 쉽게 확인할 수 있습니다. 자세한 내용은 정책 액세스 수준 분류 섹션을 참조하세요.

  12. 이전 단계에서 선택한 작업이 특정 리소스 선택을 지원하지 않는 경우모든 리소스가 선택됩니다. 이러한 경우 이 섹션을 편집할 수 없습니다.

    리소스 수준 권한을 지원하는 작업을 하나 이상 선택하면 시각적 편집기의 리소스 섹션에 해당 리소스 유형이 나열됩니다. 선택필요한 작업을 선택했습니다.액셀러레이터리소스 유형을 선택하여 정책에 특정 액셀러레이터를 입력할지 여부를 선택합니다.

  13. 모든 리소스에 대해 globalaccelerator:CreateAccelerator 작업을 허용하려는 경우 모든 리소스를 선택합니다.

    리소스를 지정하려는 경우 ARN 추가를 선택합니다. 리전 및 계정 ID (또는 계정 ID) 를 지정하거나 (모두 선택) 을 입력한 다음my-example-accelerator리소스의 그런 다음 추가를 선택합니다.

  14. 요청 조건 지정(선택 사항)을 선택합니다.

  15. 선택조건 추가액셀러레이터를 만들 수 있는 권한을 부여합니다.다음 7일 이내에 합니다. 오늘 날짜가 2019년 1월 1일이라고 가정합니다.

  16. 조건 키aws:CurrentTime을 선택합니다. 이 조건 키는 사용자가 요청을 생성한 날짜 및 시간을 확인합니다. true를 반환하므로 날짜 및 시간이 지정된 범위에 속하는 경우에만 globalaccelerator:CreateAccelerator 작업을 허용합니다.

  17. Qualifier기본값을 그대로 둡니다.

  18. 허용되는 시간 및 날짜 범위의 시작 부분을 지정하려면 연산자DateGreaterThan을 선택합니다. 그런 다음 으로 2019-01-01T00:00:00Z를 입력합니다.

  19. 추가를 선택하여 조건을 저장합니다.

  20. 다른 조건 추가를 선택하여 종료 날짜를 지정합니다.

  21. 유사한 단계를 수행해 허용되는 날짜 및 시간 범위의 종료 부분을 지정합니다. 조건 키aws:CurrentTime을 선택합니다. 연산자DateLessThan을 선택합니다. 으로 첫 번째 날짜 7일 후인 2019-01-06T23:59:59Z를 입력합니다. 그런 다음 추가를 선택하여 조건을 저장합니다.

  22. (선택 사항) 생성한 정책에 대한 JSON 정책 문서를 보려면JSON탭을 선택합니다. 언제든지 Visual editor(시각적 편집기)JSON 탭을 전환할 수 있습니다. 그러나 변경하거나검토 정책Visual editor(시각적 편집기)탭에서 IAM은 시각적 편집기에 최적화되도록 정책을 재구성할 수 있습니다. 자세한 내용은 단원을 참조하십시오.정책 재구성IAM 사용 설명서.

  23. 작업이 완료되면 [Review policy]를 선택합니다.

  24. 에서검토 정책페이지에 대해이름를 입력하고globalaccelerator:CreateAcceleratorPolicy. 설명Policy to grants permission to create an accelerator을 입력합니다. 정책 요약을 검토하여 의도한 권한이 부여되었는지 확인한 다음 정책 생성을 선택하여 새 정책을 저장합니다.

  25. 원래 탭 또는 창으로 돌아가 정책 목록을 새로 고칩니다.

  26. 검색 상자에 globalaccelerator:CreateAcceleratorPolicy를 입력합니다. 새 정책 옆의 확인란을 선택합니다. 그런 다음 [Next Step]을 선택합니다.

  27. 선택다음: 검토을 선택하여 새 사용자를 미리 봅니다. 계속 진행할 준비가 되었으면 사용자 생성을 선택합니다.

  28. 새 사용자의 암호를 다운로드하거나 복사하여 사용자에게 안전하게 전달합니다. 이와 별도로 사용자에게IAM 사용자 콘솔 페이지로 연결되는 링크및 방금 생성한 사용자 이름을 입력합니다.

사용자가 자격 증명을 자체 관리할 수 있게 하려면

MFA를 구성하려면 사용자의 가상 MFA 디바이스가 호스팅되는 하드웨어에 대한 물리적 액세스가 필요합니다. 예를 들어, 스마트폰에서 가상 MFA 디바이스를 실행하는 사용자에게 MFA를 구성할 수 있습니다. 이 경우 마법사를 완료하기 위해 스마트폰을 사용할 수 있어야 합니다. 이러한 이유로 사용자가 자신의 가상 MFA 디바이스를 직접 구성 및 관리할 수 있도록 허용하는 것이 좋습니다. 이 경우에는 사용자에게 필요한 IAM 작업을 수행할 수 있는 권한을 부여해야 합니다.

자격 증명 자기 관리를 허용하는 정책을 생성하려면(콘솔)

  1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 정책을 선택한 후 정책 생성을 선택합니다.

  3. JSON 탭을 선택하고 다음 JSON 정책 문서에서 텍스트를 복사합니다. 이 텍스트를 JSON 텍스트 상자에 붙여 넣습니다.

    중요

    이 정책 예제에서는 사용자가 로그인과 암호 재설정을 한 번에 할 수 없습니다. 새 사용자와 암호가 만료된 사용자는 이 작업을 시도할 수 있습니다. iam:ChangePasswordiam:CreateLoginProfileBlockMostAccessUnlessSignedInWithMFA 문에 추가하여 이를 허용할 수 있습니다. 그러나 IAM에서는 이 방식을 권장하지 않습니다.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAllUsersToListAccounts", "Effect": "Allow", "Action": [ "iam:ListAccountAliases", "iam:ListUsers", "iam:ListVirtualMFADevices", "iam:GetAccountPasswordPolicy", "iam:GetAccountSummary" ], "Resource": "*" }, { "Sid": "AllowIndividualUserToSeeAndManageOnlyTheirOwnAccountInformation", "Effect": "Allow", "Action": [ "iam:ChangePassword", "iam:CreateAccessKey", "iam:CreateLoginProfile", "iam:DeleteAccessKey", "iam:DeleteLoginProfile", "iam:GetLoginProfile", "iam:ListAccessKeys", "iam:UpdateAccessKey", "iam:UpdateLoginProfile", "iam:ListSigningCertificates", "iam:DeleteSigningCertificate", "iam:UpdateSigningCertificate", "iam:UploadSigningCertificate", "iam:ListSSHPublicKeys", "iam:GetSSHPublicKey", "iam:DeleteSSHPublicKey", "iam:UpdateSSHPublicKey", "iam:UploadSSHPublicKey" ], "Resource": "arn:aws:iam::*:user/${aws:username}" }, { "Sid": "AllowIndividualUserToViewAndManageTheirOwnMFA", "Effect": "Allow", "Action": [ "iam:CreateVirtualMFADevice", "iam:DeleteVirtualMFADevice", "iam:EnableMFADevice", "iam:ListMFADevices", "iam:ResyncMFADevice" ], "Resource": [ "arn:aws:iam::*:mfa/${aws:username}", "arn:aws:iam::*:user/${aws:username}" ] }, { "Sid": "AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsingMFA", "Effect": "Allow", "Action": [ "iam:DeactivateMFADevice" ], "Resource": [ "arn:aws:iam::*:mfa/${aws:username}", "arn:aws:iam::*:user/${aws:username}" ], "Condition": { "Bool": { "aws:MultiFactorAuthPresent": "true" } } }, { "Sid": "BlockMostAccessUnlessSignedInWithMFA", "Effect": "Deny", "NotAction": [ "iam:CreateVirtualMFADevice", "iam:DeleteVirtualMFADevice", "iam:ListVirtualMFADevices", "iam:EnableMFADevice", "iam:ResyncMFADevice", "iam:ListAccountAliases", "iam:ListUsers", "iam:ListSSHPublicKeys", "iam:ListAccessKeys", "iam:ListServiceSpecificCredentials", "iam:ListMFADevices", "iam:GetAccountSummary", "sts:GetSessionToken" ], "Resource": "*", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } } ] }

    이 정책이 하는 일은 무엇입니까?

    • AllowAllUsersToListAccounts문은 사용자가 IAM 콘솔에서 계정 및 하위 사용자에 관한 기본 정보를 볼 수 있도록 허용합니다. 이러한 권한은 구체적인 리소스 ARN을 지원하지 않거나, 리소스 ARN을 지정하는 대신 "Resource" : "*"를 지정하면 되기 때문에 권한별로 각각의 문에 포함되어 있어야 합니다.

    • AllowIndividualUserToSeeAndManageOnlyTheirOwnAccountInformation문은 사용자가 IAM 콘솔에서 자신의 사용자, 암호, 액세스 키, 서명 인증서, SSH 퍼블릭 키 및 MFA 정보를 관리할 수 있도록 합니다. 사용자가 처음으로 관리자에 로그인할 수 있도록 허용하여 첫 암호를 설정할 수 있도록 합니다. 리소스 ARN 은 사용자의 IAM 사용자 개체만 이러한 권한을 사용할 수 있도록 제한합니다.

    • AllowIndividualUserToViewAndManageTheirOwnMFA 설명문은 사용자가 자신의 MFA 디바이스를 보거나 관리할 수 있도록 허용합니다. 이 문의 리소스 ARN은 현재 로그인한 사용자와 이름이 정확히 똑같은 MFA 디바이스나 사용자에게만 액세스를 허용한다는 점에 유의하십시오. 사용자들은 자신의 것이 아닌 어떤 MFA 디바이스도 생성 또는 변경할 수 없습니다.

    • AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsingMFA 문은 사용자가 MFA를 사용하여 로그인한 경우에만 자신의 MFA 디바이스를 비활성화할 수 있도록 허용합니다. 이를 통해 액세스 키만 있는 다른 사용자(MFA 디바이스가 없음)가 MFA 디바이스를 비활성화하고 계정에 액세스할 수 있습니다.

    • BlockMostAccessUnlessSignedInWithMFA문의 조합을 사용 하는"Deny""NotAction"를 사용하여 IAM 및 기타 AWS 서비스에서 일부 작업을 제외한 모든 작업에 대한 액세스를 거부할 수 있습니다.다음과 같은 경우사용자가 MFA 로 로그인되지 않았습니다. 이 문의 로직에 대한 자세한 내용은 단원을 참조하십시오.NotAction 및 DenyIAM 사용 설명서. 사용자가 MFA로 로그인한 경우에는 "Condition" 테스트가 실패하여 마지막 "deny" 문은 효과가 없습니다. 따라서 사용자의 기타 정책 또는 문이 해당 사용자의 권한을 결정합니다. 이 문은 MFA로 로그인하지 않은 사용자가 나열된 작업 또는 이들 작업에 액세스할 수 있는 기타 문 또는 정책일 경우에만 수행할 수 있도록 합니다.

      ...IfExists 키를 분실했을 경우 Bool 연산자의 aws:MultiFactorAuthPresent 버전은 조건이 true로 반환됩니다. 즉, 액세스 키와 같은 장기 자격 증명으로 API에 액세스하는 사용자는 비 IAM API 작업에 대한 액세스가 거부됩니다.

  4. 작업이 완료되면 [Review policy]를 선택합니다.

  5. 검토 페이지에서 정책 이름에 Force_MFA를 입력합니다. 정책 설명에 을 입력합니다.This policy allows users to manage their own passwords and MFA devices but nothing else unless they authenticate with MFA.정책을 검토합니다.요약을 클릭하여 정책에 의해 부여된 권한을 확인한 다음정책 생성를 선택하여 작업을 저장합니다.

    새로운 정책이 관리형 정책 목록에 나타나며 연결 준비가 완료됩니다.

사용자에 정책을 연결하려면(콘솔)

  1. 탐색 창에서 사용자를 선택합니다.

  2. 편집하려는 사용자의 이름(확인란 아님)을 선택합니다.

  3. 권한 탭에서 권한 추가를 선택합니다.

  4. Attach existing policies directly(기존 정책 직접 연결)를 선택합니다.

  5. 검색 상자에 Force를 입력한 다음, 목록에서 Force_MFA 옆에 있는 확인란을 선택합니다. 다음을 선택합니다. 검토.

  6. 변경 사항을 검토한 후 권한 추가를 선택합니다.

IAM 사용자에 대해 MFA 활성화

보안 강화를 위해 모든 IAM 사용자는 멀티 팩터 인증 (MFA) 을 구성하여 글로벌 액셀러레이터 리소스를 보호하는 것이 좋습니다. MFA는 사용자의 정규 로그인 자격 증명 외에도 AWS 지원 MFA 디바이스의 고유 인증을 제출하라고 요청함으로써 보안을 더욱 강화합니다. 가장 안전한 AWS MFA 디바이스는 U2F 보안 키입니다. 회사에 U2F 디바이스가 이미 있는 경우 AWS 에서 해당 디바이스를 활성화하는 것이 좋습니다. 그렇지 않으면 각 사용자에 대해 디바이스를 구입하고 해당 하드웨어가 도착할 때까지 기다려야 합니다. 자세한 내용은 단원을 참조하십시오.U2F 보안 키 활성화IAM 사용 설명서.

U2F 디바이스가 아직 없는 경우 가상 MFA 디바이스를 활성화하여 저렴한 비용으로 빠르게 시작할 수 있습니다. 이렇게 하려면 기존 휴대폰 또는 다른 모바일 디바이스에 소프트웨어 앱이 설치되어 있어야 합니다. 디바이스가 동기화된 1회 암호 알고리즘에 따라 여섯 자리 숫자 코드를 생성합니다. AWS 에 로그인하면 디바이스에서 코드를 입력하라는 메시지가 표시됩니다. 사용자에게 할당된 각 가상 MFA 디바이스는 고유해야 합니다. 사용자는 다른 사용자의 가상 MFA 디바이스의 코드를 입력하여 인증할 수 없습니다. 가상 MFA 디바이스로 사용할 수 있도록 지원되는 몇 가지 앱의 목록은 멀티 팩터 인증 단원을 참조하십시오.

참고

IAM 사용자에 대해 MFA를 구성하려면 사용자의 가상 MFA 디바이스가 호스팅되는 모바일 디바이스에 대한 물리적 액세스가 필요합니다.

IAM 사용자에 대한 가상 MFA 디바이스를 활성화하려면 (콘솔)

  1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 사용자를 선택합니다.

  3. 사용자 이름 목록에서 원하는 MFA 사용자 이름을 선택합니다.

  4. Security credentials(보안 자격 증명) 탭을 선택합니다. Assigned MFA device(할당된 MFA 디바이스) 옆의 관리를 선택합니다.

  5. Manage MFA Device(할당된 MFA 디바이스) 마법사에서 Virtual MFA device(가상 MFA 디바이스 비활성화)를 선택한 후 계속을 선택합니다.

    IAM은 QR 코드 그래픽을 포함하여 가상 MFA 디바이스의 구성 정보를 생성 및 표시합니다. 그래픽은 QR 코드를 지원하지 않는 디바이스 상에서 수동 입력할 수 있는 '보안 구성 키'를 표시한 것입니다.

  6. 가상 MFA 앱을 엽니다.

    가상 MFA 디바이스의 호스팅에 사용되는 앱 목록은 멀티 팩터 인증을 참조하십시오. 가상 MFA 앱이 다수의 계정(다수의 가상 MFA 디바이스)을 지원하는 경우 옵션을 선택하여 새로운 계정(새로운 가상 MFA 디바이스)을 생성합니다.

  7. MFA 앱의 QR 코드 지원 여부를 결정한 후 다음 중 한 가지를 실행합니다.

    • 마법사에서 Show QR code(QT 코드 표시)를 선택한 다음 해당 앱을 사용하여 QR 코드를 스캔합니다. 예를 들어 카메라 모양의 아이콘을 선택하거나 코드 스캔(Scan code)과 비슷한 옵션을 선택한 다음, 디바이스의 카메라를 사용하여 코드를 스캔합니다.

    • MFA 디바이스 관리 마법사에서 보안 키 표시를 선택한 다음 MFA 앱에 보안 키를 입력합니다.

    모든 작업을 마치면 가상 MFA 디바이스가 일회용 암호 생성을 시작합니다.

  8. MFA 디바이스 관리 마법사의 MFA 코드 1 상자에 현재 가상 MFA 디바이스에 표시된 일회용 암호를 입력합니다. 디바이스가 새로운 일회용 암호를 생성할 때까지 최대 30초 기다립니다. 그런 다음 두 번째 일회용 암호를 MFA 코드 2 상자에 입력합니다. Assign MFA(MFA 할당)을 선택합니다.

    중요

    코드를 생성한 후 즉시 요청을 제출하십시오. 코드를 생성한 후 너무 오래 기다렸다 요청을 제출할 경우 MFA 디바이스가 사용자와 연결은 되지만 MFA 디바이스가 동기화되지 않습니다. 이는 시간 기반 일회용 암호(TOTP)가 잠시 후에 만료되기 때문입니다. 이 경우, 디바이스를 재동기화할 수 있습니다. 자세한 내용은 단원을 참조하십시오.가상 및 하드웨어 MFA 디바이스 재동기화IAM 사용 설명서.

    이제 AWS 에서 가상 MFA 디바이스를 사용할 준비가 끝났습니다.