AWS 관리형 Microsoft AD에 대한 다중 인증 활성화 - AWS Directory Service
고려 사항 AWS 관리형 Microsoft AD에 MFA 인증 사용

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS 관리형 Microsoft AD에 대한 다중 인증 활성화

사용자가 지원되는 Amazon Enterprise 애플리케이션에 액세스하기 위해 AD 자격 증명을 지정할 때 AWS 관리형 Microsoft AD 디렉터리에 대한 다중 인증(MFA)을 활성화하여 보안을 강화할 수 있습니다. MFA를 활성화하면 사용자는 평소 대로 사용자 이름 및 암호(첫 번째 요소)를 입력하는 것 외에도 가상 또는 하드웨어 MFA 솔루션에서 얻는 인증 코드(두 번째 요소)를 입력해야 합니다. 이들 요소는 사용자가 유효한 사용자 자격 증명과 유효 MFA 코드를 제공하지 않는 경우 Amazon 엔터프라이즈 애플리케이션에 대한 액세스를 금지하여 보안을 강화합니다.

MFA를 사용하려면 원격 인증 전화 접속 사용자 서비스(RADIUS) 서버인 MFA 솔루션이 있거나 사용자의 온프레미스 인프라에 이미 구현된 RADIUS 서버에 대한 MFA 플러그인이 있어야 합니다. MFA 솔루션에서는 사용자가 하드웨어 디바이스나 휴대전화 등의 기기에서 실행되는 소프트웨어에서 얻는 일회용 암호(OTP)를 사용할 수 있어야 합니다.

RADIUS는 사용자가 네트워크 서비스에 연결할 수 있도록 인증, 권한 부여, 계정 관리 서비스를 제공하는 업계 표준 클라이언트/서버 프로토콜입니다. AWS 관리형 Microsoft AD에는 MFA 솔루션을 구현한 RADIUS 서버에 연결하는 RADIUS 클라이언트가 포함되어 있습니다. RADIUS 서버에서는 사용자 이름과 OTP 코드를 확인합니다. RADIUS 서버가 사용자를 성공적으로 검증하면 AWS 관리형 Microsoft AD가 Active Directory에 대해 사용자를 인증합니다. Active Directory 인증에 성공하면 사용자는 AWS 애플리케이션에 액세스할 수 있습니다. AWS 관리형 Microsoft AD RADIUS 클라이언트와 RADIUS 서버 간의 통신에는 포트 1812를 통한 통신을 활성화하는 AWS 보안 그룹을 구성해야 합니다.

다음 절차를 수행하여 AWS 관리형 Microsoft AD 디렉터리에 대한 다중 인증을 활성화할 수 있습니다. RADIUS 서버가 AWS Directory Service  및 MFA에서 작동하도록 구성하는 자세한 방법은 다중 인증 사전 조건 단원을 참조하세요.

고려 사항

다음은 AWS 관리형 Microsoft AD의 다중 인증에 대한 몇 가지 고려 사항입니다.

AWS Managed Microsoft AD에 다중 인증 사용

다음 절차에서는 AWS 관리형 Microsoft AD에 대한 다중 인증을 활성화하는 방법을 보여줍니다.

  1. RADIUS MFA 서버 및 AWS 관리형 Microsoft AD 디렉터리의 IP 주소를 식별합니다.

  2. Virtual Private Cloud(VPC) 보안 그룹을 편집하여 AWS 관리형 Microsoft AD IP 엔드포인트와 RADIUS MFA 서버 간에 포트 1812를 통한 통신을 활성화합니다.

  3. AWS Directory Service 콘솔 탐색 창에서 디렉터리를 선택합니다.

  4. AWS 관리형 Microsoft AD 디렉터리의 디렉터리 ID 링크를 선택합니다.

  5. Directory details(디렉터리 세부 정보) 페이지에서 다음 중 하나를 수행합니다.

    • 다중 리전 복제에 여러 리전이 표시되는 경우 MFA를 활성화할 리전을 선택한 다음 네트워킹 및 보안 탭을 선택합니다. 자세한 내용은 기본 리전과 추가 리전의 비교 단원을 참조하십시오.

    • 다중 리전 복제에 리전이 표시되지 않는 경우 네트워킹 및 보안 탭을 선택합니다.

  6. 다중 인증 섹션에서 작업을 선택한 다음 활성화를 선택합니다.

  7. Enable multi-factor authentication (MFA)(다중 인증(MFA) 활성화) 페이지에서 다음 값을 제공합니다.

    레이블 표시

    레이블 이름을 제공합니다.

    RADIUS 서버 DNS 이름 또는 IP 주소

    RADIUS 서버 엔드포인트의 IP 주소 또는 RADIUS 서버 로드 밸런서의 IP 주소입니다. 쉼표로 구분하여 여러 IP 주소를 입력할 수 있습니다(예: 192.0.0.0,192.0.0.12).

    참고

    RADIUS MFA는 또는 WorkSpaces AWS Management Console, Amazon QuickSight 또는 Amazon Chime과 같은 Amazon Enterprise 애플리케이션 및 서비스에 대한 액세스를 인증하는 경우에만 적용됩니다. Amazon Enterprise 애플리케이션 및 서비스는 AWS 관리형 Microsoft AD에 다중 리전 복제가 구성된 경우에만 기본 리전에서 지원됩니다. EC2 인스턴스에서 실행되는 Windows 워크로드에 MFA를 제공하거나 EC2 인스턴스에 로그인하기 위한 MFA를 제공하지 AWS Directory Service 않습니다.는 RADIUS 챌린지/응답 인증을 지원하지 않습니다.

    사용자는 사용자 이름과 암호를 입력할 때 MFA 코드를 알고 있어야 합니다. 또는 푸시 알림 또는 사용자에 대한 인증자 일회용 암호(OTP)와 같이 MFA out-of-band를 수행하는 솔루션을 사용해야 합니다. 대역 외 MFA 솔루션에서는 RADIUS 제한 시간 값을 솔루션에 적합하게 설정해야 합니다. 대역 외 MFA 솔루션을 사용하는 경우 로그인 페이지에서 MFA 코드를 묻는 메시지가 표시됩니다. 이 경우, 사용자는 암호 필드와 MFA 필드 모두에 암호를 입력해야 합니다.

    포트

    RADIUS 서버에서 통신용으로 사용 중인 포트입니다. 온프레미스 네트워크는 AWS Directory Service 서버의 기본 RADIUS 서버 포트(UDP:1812)를 통한 인바운드 트래픽을 허용해야 합니다.

    Shared secret code

    RADIUS 엔드포인트가 생성될 때 지정된 공유 보안 코드입니다.

    Confirm shared secret code

    RADIUS 엔드포인트의 공유 보안 코드를 확인합니다.

    프로토콜

    RADIUS 엔드포인트가 생성될 때 지정된 프로토콜을 선택합니다.

    서버 제한 시간(초)

    RADIUS 서버에서 응답을 대기할 시간(초)입니다. 이 값은 1~50이어야 합니다.

    참고

    RADIUS 서버 제한 시간은 20초 이하로 구성하는 것이 좋습니다. 제한 시간이 20초를 초과하면 시스템에서 다른 RADIUS 서버로 재시도할 수 없어 시간 초과 실패가 발생할 수 있습니다..

    최대 RADIUS 요청 재시도

    RADIUS 서버와 통신을 시도하는 횟수입니다. 이 값은 0~10이어야 합니다.

    [RADIUS Status]가 [Enabled]로 변경되면 다중 인증을 사용할 수 있습니다.

  8. 활성화를 선택합니다.