AWS Builder ID 다중 인증(MFA) 관리 - AWS 로그인

AWS Builder ID 다중 인증(MFA) 관리

다중 인증(MFA)은 보안을 강화하는 간단하고 효과적인 메커니즘입니다. 첫 번째 요소인 암호는 기억해야 하는 비밀이며 지식 요소라고도 합니다. 다른 요소로는 보유 요소(보안 키 등 귀하가 보유하는 것) 또는 고유 요소(생체인식 스캔 등 귀하에 대한 것)가 있습니다. AWS Builder ID을(를) 위한 추가 레이어를 추가하도록 MFA를 설정하는 것이 좋습니다.

여러 개의 MFA 디바이스를 등록하는 것이 좋습니다. 예를 들어 내장된 인증자를 등록하고 물리적으로 안전한 위치에 보관하는 보안 키를 등록할 수 있습니다. 내장된 인증자를 사용할 수 없는 경우 등록된 보안 키를 사용할 수 있습니다. 인증 애플리케이션의 경우, 해당 앱에서 클라우드 백업 또는 동기화 기능을 활성화할 수도 있습니다. 이렇게 하면 MFA 디바이스가 분실되거나 파손된 경우에도 프로필에 대한 액세스 권한을 잃지 않도록 할 수 있습니다.

참고

등록된 MFA 디바이스를 정기적으로 검토하여 최신 상태이고 작동하는지 확인하는 것이 좋습니다. 또한 이러한 디바이스를 사용하지 않을 때는 물리적으로 안전한 장소에 보관해야 합니다. 등록된 모든 MFA 디바이스에 대한 액세스 권한을 상실한 경우에는 AWS Builder ID을(를) 복구할 수 없습니다.

AWS Builder ID을(를) 위해 사용 가능한 MFA 유형

AWS Builder ID은(는) 다음과 같은 다중 인증(MFA) 디바이스 유형을 지원합니다.

FIDO2 인증자

FIDO2는 CTAP2 및 WebAuthn을 포함하는 표준이며, 공개 키 암호화를 기반으로 합니다. FIDO 보안 인증은 AWS와 같이 해당 보안 인증이 생성된 웹사이트에 고유한 것이므로 피싱 방지 기능이 있습니다.

AWS는 FIDO 인증자의 가장 일반적인 두 가지 폼 팩터인 내장 인증자와 보안 키를 지원합니다. 가장 일반적인 유형의 FIDO 인증자에 대한 자세한 내용은 아래를 참조하세요.

내장된 인증자

MacBook의 TouchID 또는 Windows Hello 호환 카메라와 같이 일부 디바이스에는 내장된 인증자가 있습니다. 디바이스가 WebAuthn을 비롯한 FIDO 프로토콜과 호환되는 경우, 지문이나 얼굴을 2차 요소로 사용할 수 있습니다. 자세한 내용은 FIDO 인증을 참조하세요.

보안 키

FIDO2와 호환되는 외부 USB, BLE 또는 NFC 연결 보안 키를 구입할 수 있습니다. MFA 디바이스에 대한 메시지가 표시되면 해당 키의 센서를 누릅니다. YubiKey 또는 Feitian은 호환되는 디바이스를 만듭니다. 호환되는 모든 보안 키 목록은 FIDO 인증 제품을 참조하십시오.

암호 관리자, 패스키 공급자, 기타 FIDO 인증자

여러 제3자 공급자는 모바일 애플리케이션에서 암호 관리자, FIDO 모드가 있는 스마트 카드 및 기타 폼 팩터의 기능으로 FIDO 인증을 지원합니다. 이러한 FIDO 호환 디바이스는 IAM Identity Center에서도 작동할 수 있지만, MFA에 이 옵션을 활성화하기 전에 FIDO 인증자를 직접 테스트해 보는 것이 좋습니다.

참고

일부 FIDO 인증자는 패스키라고 하는 검색 가능한 FIDO 보안 인증을 생성할 수 있습니다. 패스키는 이를 생성한 디바이스에 바인딩되거나, 클라우드에 동기화되거나 백업될 수 있습니다. 예를 들어, 지원되는 Macbook에서 Apple Touch ID를 사용하여 패스키를 등록한 다음, 로그인 시 화면에 표시되는 메시지에 따라 iCloud에 있는 패스키를 사용하여 Google Chrome을 사용하는 Windows 노트북에서 어떠한 사이트에 로그인할 수 있습니다. 동기화 가능한 패스키를 지원하는 디바이스 및 운영 체제와 브라우저 간의 현재 패스키 상호 운용성에 대한 자세한 내용은 FIDO Alliance And World Wide Web Consortium(W3C)에서 관리하는 리소스인 passkeys.dev에서 디바이스 지원을 참조하십시오.

인증 애플리케이션

인증 앱은 일회용 암호(OTP) 기반 제3자 인증자입니다. 모바일 디바이스 또는 태블릿에 설치된 인증 애플리케이션을 승인된 MFA 디바이스로 사용할 수 있습니다. 제3자 인증 애플리케이션은 6자리 인증 코드를 생성할 수 있는 표준 기반 시간 기반 일회용 암호(TOTP) 알고리즘인 RFC 6238과 호환되어야 합니다.

MFA에 대한 메시지가 표시되면 제공된 입력 상자에 인증 앱에서 보낸 유효한 코드를 입력해야 합니다. 사용자에게 할당된 각 MFA 디바이스는 고유해야 합니다. 특정 사용자에 대해 두 개의 인증 앱을 등록할 수 있습니다.

다음과 같은 잘 알려진 제3자 인증 앱 중에서 선택할 수 있습니다. 하지만 모든 TOTP 준수 애플리케이션은 AWS Builder ID MFA에서도 작동합니다.

AWS Builder ID MFA 디바이스 등록

참고

MFA 가입 이후, 로그아웃한 다음 동일한 디바이스에 다시 로그인하면 신뢰할 수 있는 디바이스에서 MFA에 대한 메시지가 표시되지 않을 수 있습니다.

인증 앱을 사용하여 MFA 디바이스 등록하기
  1. https://profile.aws.amazon.com에서 AWS Builder ID 프로필에 로그인합니다.

  2. [Security]를 선택합니다.

  3. 보안 페이지에서 디바이스 등록를 선택합니다.

  4. MFA 디바이스 등록 페이지에서 Authenticator 앱을 선택합니다.

  5. AWS Builder ID은(는) QR 코드 그래픽을 포함한 설정 정보를 작동 및 표시합니다. 이 그래픽은 QR 코드를 지원하지 않는 인증 앱에서 수동 입력할 수 있는 '보안 구성 키'를 표시한 것입니다.

  6. 인증 앱을 엽니다. 앱 목록은 인증 애플리케이션 섹션을 참조하세요.

    인증 앱이 다수의 MFA 디바이스 또는 계정을 지원하는 경우 새로운 MFA 디바이스 또는 계정을 생성하는 옵션을 선택합니다.

  7. MFA 앱의 QR 코드 지원 여부를 결정한 후 인증 관리자 앱 설정 페이지에서 다음 중 한 가지를 실행합니다.

    1. QR 코드 표시를 선택한 다음 해당 앱을 사용하여 QR 코드를 스캔합니다. 예를 들어, 카메라 모양의 아이콘을 선택하거나 코드 스캔와 비슷한 옵션을 선택합니다. 그런 다음 디바이스의 카메라를 사용하여 해당 코드를 스캔합니다.

    2. Show Secret key를 선택한 다음 MFA 앱에 해당 비밀 키를 입력합니다.

    작업을 마치면 인증 앱이 일회용 암호를 생성하여 표시합니다.

  8. Authenticator 코드 상자에 현재 인증 앱에 표시되는 일회용 암호를 입력합니다. Assign MFA(MFA 할당)을 선택합니다.

    중요

    코드를 생성한 후 즉시 요청을 제출하세요. 코드를 생성한 후 너무 오래 기다렸다 요청을 제출할 경우 MFA 디바이스가 AWS Builder ID와(과) 연결은 되지만 MFA 디바이스 동기화가 되지 않을 수 있습니다. 이는 시간 기반 일회용 암호(TOTP)가 잠시 후에 만료되기 때문입니다. 이 경우, 디바이스를 재동기화할 수 있습니다. 자세한 내용은 인증 앱으로 등록하거나 로그인하려고 시도하면 '예상치 못한 오류가 발생했습니다'라는 메시지가 나타납니다. 단원을 참조하십시오.

  9. AWS Builder ID에서 디바이스에 친숙한 이름을 지정하려면 이름 바꾸기을 선택합니다. 이 이름은 이 디바이스를 등록한 다른 디바이스와 구별하는 데 도움이 됩니다.

이제 AWS Builder ID에서 MFA 디바이스를 사용할 준비가 끝났습니다.

AWS Builder ID MFA 디바이스로 보안 키 등록

보안 키를 사용하여 MFA 디바이스 등록하기
  1. https://profile.aws.amazon.com에서 AWS Builder ID 프로필에 로그인합니다.

  2. [Security]를 선택합니다.

  3. 보안 페이지에서 디바이스 등록를 선택합니다.

  4. MFA 디바이스 등록 페이지에서 보안 키를 선택합니다.

  5. 보안 키가 활성화되어 있는지 확인하십시오. 별도의 물리적 보안 키를 사용하는 경우 이를 컴퓨터에 연결하세요.

  6. 화면에 표시되는 지시 사항을 따릅니다. 운영 체제 및 브라우저에 따라 환경이 달라집니다.

  7. AWS Builder ID에서 디바이스에 친숙한 이름을 지정하려면 이름 바꾸기을 선택합니다. 이 이름은 이 디바이스를 등록한 다른 디바이스와 구별하는 데 도움이 됩니다.

이제 AWS Builder ID에서 MFA 디바이스를 사용할 준비가 끝났습니다.

AWS Builder ID MFA 디바이스 이름 변경

MFA 디바이스의 이름을 변경하기
  1. https://profile.aws.amazon.com에서 AWS Builder ID 프로필에 로그인합니다.

  2. [Security]를 선택합니다. 이 페이지로 이동하면 이름 바꾸기이 회색으로 표시됩니다.

  3. 변경할 MFA 디바이스를 선택합니다. 이렇게 하면 이름 바꾸기을 선택할 수 있습니다. 대화 상자가 나타납니다.

  4. 표시되는 메시지에서 MFA 디바이스 이름에 새 이름을 입력하고 이름 바꾸기을 선택합니다. 이름이 변경된 디바이스는 Multi-Factor Authentication(MFA) 디바이스 아래에 표시됩니다.

MFA 디바이스 삭제

활성 MFA 디바이스를 두 개 이상 유지하는 것이 좋습니다. 디바이스를 제거하기 전에 교체 MFA 디바이스를 등록하는 방법에 대해 AWS Builder ID MFA 디바이스 등록을(를) 참조하십시오. AWS Builder ID에 대한 다중 인증을 비활성화하려면, 프로필에서 등록된 모든 MFA 디바이스를 제거하십시오.

MFA 디바이스 삭제하기
  1. https://profile.aws.amazon.com에서 AWS Builder ID 프로필에 로그인합니다.

  2. [Security]를 선택합니다.

  3. 삭제하려는 MFA 디바이스를 선택하고 삭제​을 선택합니다.

  4. MFA 디바이스 삭제? 모달에서 지시사항에 따라 디바이스를 삭제하십시오.

  5. 삭제을 선택합니다.

삭제된 디바이스는 더 이상 Multi-Factor Authentication(MFA) 디바이스 아래에 표시되지 않습니다.