AWS IAM MFA 디바이스 활성화
보안 강화를 위해 멀티 팩터 인증(MFA)을 구성하여 AWS 리소스를 보호하는 것이 좋습니다. IAM 사용자 또는 AWS 계정 루트 사용자에 대해 MFA를 활성화할 수 있습니다
https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/id_credentials_mfa.html
스마트폰에 가상 MFA 애플리케이션을 설치 (구글 OTP 등)
https://aws.amazon.com/ko/iam/features/mfa/?audit=2019q1
IAM 사용자에 대한 가상 MFA 디바이스 활성화(콘솔)
https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html
AWS Management Console에 로그인한 다음 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.
탐색 창에서 Users(사용자)를 선택합니다.
사용자 이름 목록에서 원하는 MFA 사용자 이름을 선택합니다.
Security credentials(보안 자격 증명) 탭을 선택합니다. Assigned MFA device(할당된 MFA 디바이스) 옆의 관리를 선택합니다.
Manage MFA Device(할당된 MFA 디바이스) 마법사에서 Virtual MFA device(가상 MFA 디바이스 비활성화)를 선택한 후 계속을 선택합니다.
IAM은 QR 코드 그래픽을 포함하여 가상 MFA 디바이스의 구성 정보를 생성 및 표시합니다. 그래픽은 QR 코드를 지원하지 않는 디바이스 상에서 수동 입력할 수 있는 '보안 구성 키'를 표시한 것입니다.
가상 MFA 앱을 엽니다. 가상 MFA 디바이스의 호스팅에 사용되는 앱 목록은 멀티 팩터 인증을 참조하십시오.
가상 MFA 앱이 다수의 가상 MFA 디바이스 또는 계정을 지원하는 경우 새로운 가상 MFA 디바이스 또는 계정을 생성하는 옵션을 선택합니다.
MFA 앱의 QR 코드 지원 여부를 결정한 후 다음 중 한 가지를 실행합니다.
마법사에서 Show QR code(QT 코드 표시)를 선택한 다음 해당 앱을 사용하여 QR 코드를 스캔합니다. 예를 들어 카메라 모양의 아이콘을 선택하거나 코드 스캔(Scan code)과 비슷한 옵션을 선택한 다음, 디바이스의 카메라를 사용하여 코드를 스캔합니다.
Manage MFA Device(MFA 디바이스 관리) 마법사에서 Show secret key(보안 키 표시)을 선택한 다음 MFA 앱에 보안 키를 입력합니다.
모든 작업을 마치면 가상 MFA 디바이스가 일회용 암호 생성을 시작합니다.
Manage MFA Device(MFA 디바이스 관리) 마법사의 MFA code 1(MFA 코드 1) 상자에 현재 가상 MFA 디바이스에 표시된 일회용 암호를 입력합니다. 디바이스가 새로운 일회용 암호를 생성할 때까지 최대 30초 기다립니다. 그런 다음 두 번째 일회용 암호를 MFA code 2(MFA 코드 2) 상자에 입력합니다. Assign MFA(MFA 할당)을 선택합니다.
중요
코드를 생성한 후 즉시 요청을 제출하십시오. 코드를 생성한 후 너무 오래 기다렸다 요청을 제출할 경우 MFA 디바이스가 사용자와 연결은 되지만 MFA 디바이스가 동기화되지 않습니다. 이는 시간 기반 일회용 암호(TOTP)가 잠시 후에 만료되기 때문입니다. 이 경우, 디바이스를 재동기화할 수 있습니다.
이제 AWS에서 가상 MFA 디바이스를 사용할 준비가 끝났습니다. AWS Management Console의 MFA 사용 방법에 대한 자세한 내용은 IAM 로그인 페이지에 MFA 디바이스 사용 단원을 참조하십시오.
참고자료
사용자 보고 하라고 해도 잘 하지 않기 때문에 IAM 정책을 이용해서 사용자가 처음 로그인을 한 후 MFA 설정을 해야 작업을 할 수 있도록 구성을 할 수 있음.
https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html