IAM의 다중 인증(MFA)
MFA란 무엇입니까?
IAM에 사용 가능한 MFA 방식
IAM 콘솔에서 MFA 디바이스를 관리할 수 있습니다. 다음 옵션은 IAM이 지원하는 MFA 방식입니다.
패스키 및 보안 키
패스키와 보안 키는 FIDO 표준을 기반으로 하므로 사용자의 디바이스 전체에서 더 쉽고 안전하게 로그인할 수 있습니다. FIDO 인증 표준은 퍼블릭 키 암호화를 기반으로 하며, 이를 통해 암호보다 더 안전하고 강력한 피싱 방지 인증을 지원합니다. 패스키는 사용자의 지문, 얼굴 또는 디바이스 PIN을 사용하여 iCloud 키체인, Google 비밀번번호 관리자, 1Password 또는 Dashlane과 같은 선택한 패스키 공급자로 생성되며, 디바이스 간에 동기화되어 AWS에 로그인합니다. 또한 고객은 Yubico와 같은 타사 공급자가 제공하는 디바이스 전용 패스키(보안 키라고도 함)를 사용할 수 있습니다. FIDO Alliance는 FIDO 사양과 호환되는 모든 FIDO 인증 제품 목록을 유지 관리합니다. FIDO 보안 키는 단일 보안 키를 사용하여 여러 루트 계정 및 IAM 사용자를 지원할 수 있습니다. 패스키 및 보안 키는 Sinnet에서 운영하는 AWS 중국(베이징) 리전과 NWCD에서 운영하는 AWS 중국(닝샤) 리전을 제외한 모든 AWS 리전의 루트 및 IAM 사용자에게 지원됩니다. FIDO 보안 키를 활성화하는 방법에 대한 자세한 내용은 패스키 또는 보안 키 활성화를 참조하세요.
AWS는 미국의 적격 AWS 계정 소유자에게 무료 MFA 보안 키를 제공합니다. 자격 여부를 확인하고 키를 주문하려면 Security Hub 콘솔을 참조하세요.
가상 인증 앱
가상 인증 앱은 시간 기반 일회용 암호(TOTP) 알고리즘을 구현하고 단일 디바이스에서 여러 토큰을 지원합니다. 가상 인증은 AWS GovCloud(미국) 리전 및 기타 AWS 리전의 IAM 사용자에게 지원됩니다. 가상 인증을 활성화하는 방법에 대한 자세한 내용은 가상 다중 인증(MFA) 디바이스 활성화를 참조하세요.
스마트폰 유형에 맞는 앱 스토어에서 스마트폰용 앱을 설치할 수 있습니다. 일부 앱 제공업체는 웹 및 데스크톱 애플리케이션도 제공합니다. 다음 표에서 예를 참조하세요.
하드웨어 TOTP 토큰
하드웨어 토큰은 TOTP 알고리즘도 지원하며 서드 파티 제공업체인 Thales에서 제공합니다. 이러한 토큰은 AWS 계정에만 사용할 수 있습니다. 자세한 내용은 하드웨어 MFA 디바이스 활성화를 참조하세요.
AWS와의 호환성을 보장하려면 이 페이지의 링크를 통해 MFA 토큰을 구매해야 합니다. AWS에는 토큰을 만들 때 생성되는 비밀 키인 고유한 ‘토큰 시드’가 필요하기 때문에 다른 소스에서 구매한 토큰은 IAM에서 작동하지 않을 수 있습니다. 이 페이지의 링크를 통해 구매한 토큰만 토큰 시드를 AWS와 안전하게 공유할 수 있습니다. MFA 토큰은 OTP 토큰 및 OTP 디스플레이 카드의 두 가지 형태로 제공됩니다.
AWS GovCloud(미국) 리전용 하드웨어 TOTP 토큰
하드웨어 TOTP 토큰은 AWS GovCloud(미국) 리전에서 사용할 수 있으며 서드 파티 제공업체인 Hypersecu에서 제공합니다. 이 토큰은 AWS GovCloud(미국) 계정을 소유한 IAM 사용자만 사용할 수 있습니다.
AWS와의 호환성을 보장하려면 이 페이지의 링크를 통해 MFA 토큰을 구매해야 합니다. AWS에는 토큰을 만들 때 생성되는 비밀 키인 고유한 ‘토큰 시드’가 필요하기 때문에 다른 소스에서 구매한 토큰은 IAM에서 작동하지 않을 수 있습니다. 이 페이지의 링크를 통해 구매한 토큰만 토큰 시드를 AWS와 안전하게 공유할 수 있습니다. MFA 토큰은 OTP 토큰 형식으로 제공됩니다.