MFA 디바이스 적용 구성

사용자의 MFA 디바이스 적용을 구성하는 방법

1. IAM Identity Center 콘솔을 엽니다.

2. 왼쪽 탐색 창에서 설정을 선택합니다.

3. 설정 페이지에서 인증 탭을 선택합니다.

4. 다중 인증 섹션에서 구성을 선택합니다.

5. 다중 인증 구성 페이지의 사용자에게 아직 등록된 MFA 디바이스가 없는 경우에서 비즈니스 요구 사항에 따라 다음 중 하나를 선택합니다.

   • 로그인 시 MFA 디바이스를 등록하도록 요구

     이는 IAM Identity Center에 대해 MFA를 처음 구성할 때 기본 설정입니다. 아직 등록된 MFA 디바이스가 없는 사용자가 비밀번호 인증에 성공한 후 로그인하는 동안 디바이스를 직접 등록하도록 요구하려면 이 옵션을 사용합니다. 이를 통해 인증 디바이스를 개별적으로 등록하고 사용자에게 배포할 필요 없이 MFA로 조직의 AWS 환경을 보호할 수 있습니다. 셀프 등록을 하는 동안 사용자는 이전에 활성화한 사용 가능한 IAM Identity Center에서 사용 가능한 MFA 유형 중에서 원하는 디바이스를 등록할 수 있습니다. 등록을 완료한 후 사용자는 새로 등록한 MFA 디바이스에 친숙한 이름을 지정할 수 있으며, 그러면 IAM Identity Center는 사용자를 원래 대상으로 리디렉션합니다. 사용자 디바이스를 분실하거나 도난당한 경우 계정에서 해당 디바이스를 제거하기만 하면 됩니다. 그러면 IAM Identity Center에서 다음 로그인 시 새 디바이스를 직접 등록하도록 요구합니다.

   • 로그인 시 이메일로 전송된 일회용 비밀번호 입력 요구

     사용자에게 이메일로 인증 코드를 보내도록 할 때 이 옵션을 사용합니다. 이메일은 특정 디바이스에 바인딩되지 않기 때문에 이 옵션은 업계 표준 다중 인증 기준을 충족하지 못합니다. 하지만 비밀번호만 사용하는 것보다 보안 기능이 향상됩니다. 이메일 인증은 사용자가 MFA 디바이스를 등록하지 않은 경우에만 요청됩니다. 컨텍스트 인식 인증 방법이 활성화된 경우 사용자는 이메일을 수신하는 디바이스를 신뢰할 수 있는 디바이스로 표시할 수 있습니다. 이후에는 해당 디바이스, 브라우저, IP 주소 조합으로 향후 로그인할 때 이메일 코드를 인증할 필요가 없습니다.

     참고

     Active Directory를 IAM Identity Center 지원 ID 소스로 사용하는 경우 이메일 주소는 항상 Active Directory email 속성을 기반으로 합니다. 사용자 지정 Active Directory 속성 매핑은 이 동작을 재정의하지 않습니다.

   • 로그인 차단

     모든 사용자가 AWS에 로그인하기 전에 MFA를 사용하도록 강제하려면 로그인 차단 옵션을 사용합니다.

     중요

     인증 방법이 컨텍스트 인식으로 설정된 경우 사용자는 로그인 페이지에서 이 디바이스는 신뢰할 수 있는 디바이스입니다 체크박스를 선택할 수 있습니다. 이 경우 로그인 차단 설정이 활성화되어 있더라도 해당 사용자에게 MFA를 입력하라는 메시지가 표시되지 않습니다. 이러한 사용자에게 메시지가 표시되도록 하려면 인증 방법을 상시 접속으로 변경합니다.

   • 로그인 허용

     사용자가 AWS 액세스 포털에 로그인하는 데 MFA 디바이스가 필요하지 않다고 표시하고자 할 때 이 옵션을 사용합니다. MFA 디바이스를 등록한 사용자에게는 계속해서 MFA를 입력하라는 메시지가 표시됩니다.

6. 변경 사항 저장을 선택합니다.