AWS IAM MFA 개요및 실습

사용자 생성과 그룹을 추가 후 이 정보들의 보안을 위하여 2가지 방어 메커니즘이 있습니다. 

무엇보다 돈과 관련되어 있어 보안에 있어서 관리자 계정의 보안은 강력하게 해 두는 것이 좋습니다.

 

 

IAM MFA 개요

1. 비밀번호 정책 

 => 비밀번호가 강력할수록 계정의 보안이 좋음. 

•  AWS에서는 비밀번호의 최소 길이 지정과 특정 유형의 글자 사용 요구, 특수문자 등을 사용 요구
•  IAM 사용자들의 비밀번호 변경 요청을 허용 or 금지 
•  비밀번호 기간을 설정하여 새로운 비밀번호 요구 가능  (ex.90일)
•  같은 비밀번호 재사용 금지 

비밀번호 정책은 말 그대로 회사 내에서 사용하는 규칙과 같습니다. 

사용자들의 비밀번호 변경 기간을 설정하며 같은 비밀번호 재사용을 불가능하게 만든다. 약간 이런 느낌입니다. 

 

기본적인 보안의 방법으로 사용이 됩니다. 

---

반응형

2. AWS의 다요소 인증, MFA 

MFA? = 비밀번호와 보안 장치를 같이 사용하는 방식 

2차 인증 방식이라고 생각하시면 됩니다. 

 

보통 게임을 하게 되면 핸드폰 메시지로 인증 번호를 받는 것과 유사한 느낌입니다. 

 

MFA를 사용하게 되면 로그인 구조는 비밀번호 + 인증 키(다수의 보안장치)

1. Google Authenticator  => 하나의 스마트폰에서 사용이 가능 
2. Authy => 여러 장치에서 사용 가능 (하나의 장치에서 여러 개의 토근을 지원)
3. U2F 보안 키 => 물리적 장치 (Yubico사 YubiKey) [제 3자 회사로 AWS에서 제공하는 장치가 아닌 제3 자의 회사 장치]   하나의 보안키로 여러 루트 계정과 IAM사용자를 지원
4. Hardware Key Fob MFA Device [제3자 회사인  Gemalto]
5. SurePassID [제3자 회사에서 제공 SurePassID]

 

MFA 방식은 시험에도 출제가 됩니다. 어렵지는 않지만 한 번씩 알아두시는 것을 추천드립니다.

---

IAM MFA 실습

1. 계정 비밀번호 정책

IAM -> 계정 설정 -> 암호 정책 변경

 

비밀번호 정책을 설정을 안 하시면 기본 정책으로 아래와 같이 3가지로 구성이 되어 있습니다. 

여기서 원하는 암호 정책을 설정을 하시면 됩니다. 

다양한 옵션이 주어지니 직접 고르셔서 업데이트를 해주시면 오른쪽 사진과 같이 암호 정책이 업데이트가 된 것을 확인 가능합니다. 

---

 

2. MFA 설정 

Google Authenticator 방식으로 설정을 하겠습니다. 

 

계정을 클릭하시면 보안 자격 증명이라는 메뉴가 있습니다. 

보안 자격 증명으로 이동을 해주시면 아래쪽에 MFA라는 옵션으로 이동해주시면 됩니다. 

3가지의 옵션이 있지만 Google Authenticator로 사용하기 위해서 

가상 MFA 디바이스를 선택해줍니다.

아래 사진은 MFA 애플리케이션의 목록을 확인 가능합니다.

 

QR코드 생성 후 애플리케이션으로 스캔을 해주시면 MFA 코드가 나오는데 

2개를 아래 입력란에 입력해주시면 정상적으로 할당이 됩니다. 

할당이 완료가 되면 아래쪽 일련번호가 나오게 되며 정상적으로 적용이 됩니다. 

---

MFA를 적용하고 모바일 기기 분실 시 문제가 생길 수 있습니다. 

 

이렇게 간단하게 관리자 계정의 보안을 업그레이드하실 수 있습니다.