IAM Identity Center에서 사용 가능한 MFA 유형 - AWS IAM Identity Center

IAM Identity Center에서 사용 가능한 MFA 유형

다중 인증(MFA)은 사용자의 보안을 강화하는 간단하고 효과적인 메커니즘입니다. 사용자의 첫 번째 요소인 암호는 기억해야 하는 비밀이며 지식 요소라고도 합니다. 다른 요소로는 보유 요소(보안 키 등 귀하가 보유하는 것) 또는 고유 요소(생체인식 스캔 등 귀하에 대한 것)가 있습니다. 계정 보안을 위한 추가 레이어를 추가하도록 MFA를 설정하는 것이 좋습니다.

IAM Identity Center MFA는 다음과 같은 디바이스 유형을 지원합니다. 브라우저 기반 콘솔 액세스뿐만 아니라 IAM Identity Center와 함께 AWS CLI v2를 사용하는 경우 모든 MFA 유형이 지원됩니다.

사용자는 하나의 계정에 최대 2개의 가상 인증 앱과 6개의 FIDO 인증자를 포함하여 최대 8개의 MFA 디바이스를 사용할 수 있습니다. 사용자가 로그인할 때마다 MFA를 요구하거나 로그인할 때마다 MFA가 필요하지 않은 신뢰할 수 있는 디바이스를 활성화하도록 MFA 활성화 설정을 구성할 수도 있습니다. 사용자를 위해 MFA 유형을 설정하는 방법에 대한 자세한 내용은 사용자 인증을 위한 MFA 유형 선택MFA 디바이스 적용 구성 섹션을 참조하세요.

FIDO2 인증자

FIDO2는 CTAP2 및 WebAuthn을 포함하는 표준이며, 공개 키 암호화를 기반으로 합니다. FIDO 보안 인증은 AWS와 같이 해당 보안 인증이 생성된 웹사이트에 고유한 것이므로 피싱 방지 기능이 있습니다.

AWS는 FIDO 인증자의 가장 일반적인 두 가지 폼 팩터인 내장 인증자와 보안 키를 지원합니다. 가장 일반적인 유형의 FIDO 인증자에 대한 자세한 내용은 아래를 참조하세요.

내장된 인증자

대부분의 현대적인 컴퓨터와 휴대전화는 MacBook의 TouchID 또는 Windows Hello 호환 카메라와 같이 내장된 인증자가 있습니다. 디바이스에 FIDO 호환 내장된 인증자가 있는 경우 지문, 얼굴 또는 디바이스 핀을 두 번째 요소로 사용할 수 있습니다.

보안 키

보안 키는 구입하여 USB, BLE 또는 NFC를 통해 디바이스에 연결할 수 있는 FIDO 호환 외장형 하드웨어 인증자입니다. MFA를 입력하라는 메시지가 표시되면 키의 센서로 제스처를 취하기만 하면 됩니다. 보안 키의 몇 가지 예로는 YubiKeys 및 Feitian 키가 있으며, 가장 일반적인 보안 키는 디바이스 바인딩 FIDO 보안 인증을 생성합니다. 모든 FIDO 인증 보안 키 목록은 FIDO 인증 제품을 참조하세요.

암호 관리자, 패스키 공급자, 기타 FIDO 인증자

여러 제3자 공급자는 모바일 애플리케이션에서 암호 관리자, FIDO 모드가 있는 스마트 카드 및 기타 폼 팩터의 기능으로 FIDO 인증을 지원합니다. 이러한 FIDO 호환 디바이스는 IAM Identity Center에서도 작동할 수 있지만, MFA에 이 옵션을 활성화하기 전에 FIDO 인증자를 직접 테스트해 보는 것이 좋습니다.

참고

일부 FIDO 인증자는 패스키라고 하는 검색 가능한 FIDO 보안 인증을 생성할 수 있습니다. 패스키는 이를 생성한 디바이스에 바인딩되거나, 클라우드에 동기화되거나 백업될 수 있습니다. 예를 들어, 지원되는 Macbook에서 Apple Touch ID를 사용하여 패스키를 등록한 다음, 로그인 시 화면에 표시되는 메시지에 따라 iCloud에 있는 패스키를 사용하여 Google Chrome을 사용하는 Windows 노트북에서 어떠한 사이트에 로그인할 수 있습니다. 동기화 가능한 패스키를 지원하는 디바이스 및 운영 체제와 브라우저 간의 현재 패스키 상호 운용성에 대한 자세한 내용은 FIDO Alliance And World Wide Web Consortium(W3C)에서 관리하는 리소스인 passkeys.dev에서 디바이스 지원을 참조하세요.

가상 인증 앱

인증 앱은 기본적으로 일회용 암호(OTP) 기반 제3자 인증자입니다. 모바일 디바이스 또는 태블릿에 설치된 인증 애플리케이션을 승인된 MFA 디바이스로 사용할 수 있습니다. 제3자 인증 애플리케이션은 6자리 인증 코드를 생성할 수 있는 표준 기반 시간 기반 일회용 암호(TOTP) 알고리즘인 RFC 6238과 호환되어야 합니다.

MFA에 대한 메시지가 표시되면 사용자는 제공된 입력 상자에 인증 앱에서 보낸 유효한 코드를 입력해야 합니다. 사용자에게 할당된 각 MFA 디바이스는 고유해야 합니다. 특정 사용자에 대해 두 개의 인증 앱을 등록할 수 있습니다.

테스트를 거친 인증 앱

모든 TOTP 호환 애플리케이션은 IAM Identity Center MFA와 호환됩니다. 다음 표에는 선택할 수 있는 잘 알려진 제3자 인증 앱이 나열되어 있습니다.

RADIUS MFA

원격 인증 전화 접속 사용자 서비스(RADIUS)는 사용자가 네트워크 서비스에 연결할 수 있도록 인증, 권한 부여 및 계정(AAA) 관리 서비스를 제공하는 업계 표준 클라이언트 서버 프로토콜입니다. AWS Directory Service에는 MFA 솔루션을 구현한 RADIUS 서버에 연결되는 RADIUS 클라이언트가 포함됩니다. 자세한 내용은 AWS Managed Microsoft AD 다중 인증 활성화를 참조하세요.

사용자 포털에 대한 사용자 로그인에 RADIUS MFA 또는 IAM Identity Center의 MFA 중 하나를 사용할 수 있지만 둘 다 사용할 수는 없습니다. 포털에 액세스하기 위해 AWS 기본 2단계 인증을 원하는 경우, IAM Identity Center의 MFA는 RADIUS MFA의 대안이 될 수 있습니다.

IAM Identity Center에서 MFA를 활성화하면 사용자가 AWS 액세스 포털에 로그인하려면 MFA 디바이스가 필요합니다. 이전에 RADIUS MFA를 사용했다면, IAM Identity Center에서 MFA를 활성화하면 AWS 액세스 포털에 로그인하는 사용자의 RADIUS MFA를 효과적으로 재정의합니다. 하지만 RADIUS MFA는 사용자가 Amazon WorkDocs와 같이 AWS Directory Service와 함께 작동하는 다른 모든 애플리케이션에 로그인할 때 계속해서 문제를 일으킵니다.

IAM Identity Center 콘솔에서 MFA가 비활성화되어 있고 AWS Directory Service로 RADIUS MFA를 구성한 경우 RADIUS MFA는 AWS 액세스 포털 로그인을 관리합니다. 즉, MFA를 비활성화하면 IAM Identity Center는 RADIUS MFA 구성으로 되돌아갑니다.