AWS IAM MFA 맛보기

IAM 이란?

IAM(AWS Identity and Access Management)은 AWS 리소스에 대한 액세스를 안전하게 제어할 수 있는 웹 서비스입니다. IAM을 사용하여 리소스를 사용하도록 인증 및 권한 부여된 대상을 제어합니다.

 

IAM은 이러한 데이터 센터의 출입 권한을 부여하는 출입카드나, 방문 허가 같은 기능을 가지고 있는 AWS 서비스입니다. 보안 주체가 인증(Authentication)과 권한부여(Authorization)을 받아 리소스에 대한 요청을 승인하는 것이 IAM의 주요 작동 방식입니다. 

 

이제 IAM 유저를 생성해보겠습니다.

 

IAM 클릭

 

사용자 클릭

 

사용자 추가

 

사용자 정보 세부 설정!!

 

그룹 생성!

 

그룹 이름을 만들고 ‘AdministratorAccess’를 체크합니다. 관리자 권한을 해당 그룹에 부여하는 것입니다.  [그룹 생성] 을 클릭합니다.

 

이제 생성된 관리자 그룹에 사용자를 추가하겠습니다.  [다음: 태크] 를 클릭합니다.

 

 

사용자 세부 정보와 그룹이름을 확인하고  [사용자 만들기] 를 클릭합니다.

 

밑줄 친 위치에는 사용자의 콘솔 액세스 주소를 알려줍니다. 해당 주소를 통해 IAM 유저로 로그인 할 수 있습니다. 사용자의 액세스 키(액세스 키 ID와 보안 액세스 키)를 보려면 보고 싶은 각 암호와 액세스 키 옆에 있는  표시 를 선택합니다. 액세스 키를 저장하려면  [ .csv 다운로드] 를 선택한 후 안전한 위치에 파일을 저장합니다.

 

중요

 

보안 액세스 키는 이 때만 확인 및 다운로드가 가능하기 때문에 사용자에게 AWS API를 사용하도록 하려면 이 정보를 제공해야 합니다. 사용자의 새 액세스 키 ID와 보안 액세스 키를 안전한 장소에 보관하십시오. 이 단계가 지난 후에는 보안 키에 다시 액세스할 수 없습니다.

 

IAM_USER01 사용자가 생성된 것을 볼 수 있습니다. 앞으로는 이 IAM 유저로 로그인하여 네트워크를 구성할 수 있고, 루트 계정은 안전하게 보관할 수 있습니다.

 

이제 루트 계정에 MFA를 활성화 해보겠습니다.

AWS Multi-Factor Authentication(MFA)은 사용자 이름과 암호 외에 보안을 한층 더 강화할 수 있는 간단하며 효과적인 수단입니다. AWS 계정 및 해당 계정에 속하는 개별 IAM 사용자에 대해 AWS MFA를 활성화할 수 있습니다. 루트 계정에는 MFA를 구성하여 AWS 리소스를 보호하는 것이 좋습니다. 사용자가 AWS 웹사이트나 서비스에 액세스할 때 승인된 인증 디바이스 또는 SMS(문자 서비스) 문자 메시지의 고유한 인증 코드를 입력해야 하기 때문에 MFA는 보안을 더 강화합니다.

 

IAM 콘솔에 접속합니다. 대시보드에서 [루트 계정에서 MFA 활성화] -> [MFA 관리]를 클릭합니다.

 

[멀티 팩터 인증(MFA)] -> [MFA 활성화] 를 클릭합니다.

 

가상 MFA 디바이스를 체크하고   [계속] 을 클릭합니다.

 

스마트폰에서   [Google OTP] 를 설치하고   [바코드 스캔] 을 이용하여 QR코드를 스캔하면 MFA 코드가 생성됩니다. 연속된 MFA코드 2개를 입력하고   [MFA 할당] 을 클릭합니다.

 

 

위와 같은 창이 생기면 성공적으로 MFA가 할당된 것입니다. 이제 루트 계정으로 로그인을 할 때는 MFA 인증을 추가로 거쳐야만 로그인할 수 있습니다.

 

루트 계정으로 로그인 시 MFA 코드를 입력하라는 화면이 뜹니다.  Google OTP에서 해당 MFA 코드를 입력하면 로그인할 수 있습니다.