[AWS SCS] IAM MFA

AWS에서 MFA(Multi-Factor Authentication) 사용법과 중요성

AWS에서 **다단계 인증(MFA, Multi-Factor Authentication)**은 사용자 계정의 보안을 강화하는 중요한 기능입니다. MFA는 기본적으로 사용자가 알고 있는 비밀번호와 사용자가 소유한 장치에서 제공하는 코드 두 가지를 입력해야만 계정에 로그인할 수 있도록 합니다. 이를 통해 비밀번호만으로는 계정에 접근할 수 없게 되어 보안을 강화할 수 있습니다.

1. MFA의 개념과 이점

MFA는 두 가지 인증 방법을 결합하여 보안을 강화하는 방식입니다. 사용자가 비밀번호를 입력한 후, 추가적인 인증 장치(예: 스마트폰, 보안 키 등)에서 제공되는 코드를 입력해야만 로그인할 수 있습니다. 이 방식의 주요 장점은 비밀번호를 분실하더라도 계정이 침해되지 않도록 보호할 수 있다는 것입니다. 해커는 MFA 장치에 접근해야 하므로 계정이 쉽게 탈취되지 않습니다.

2. AWS에서 제공하는 MFA 옵션

AWS에서는 여러 가지 MFA 옵션을 제공합니다:

• 가상 MFA 장치: Google Authenticator나 Authy와 같은 앱을 사용하여 MFA를 설정할 수 있습니다. 하나의 장치에서 여러 개의 토큰을 관리할 수 있습니다.
• 보안 키: YubiKey와 같은 보안 키를 통해 여러 루트 및 IAM 사용자들이 동일한 보안 키를 사용하여 MFA를 설정할 수 있습니다.
• 하드웨어 MFA 장치: Gemalto와 같은 하드웨어 장치를 사용하여 MFA를 설정할 수 있으며, AWS GovCloud를 위한 SurePassID와 같은 하드웨어 키도 제공됩니다.

3. MFA 사용 예시

MFA는 특히 중요한 작업을 보호하는 데 유용합니다. 예를 들어, Amazon S3에서 MFA Delete를 활성화하면 중요한 작업을 수행하기 전에 MFA 장치에서 코드를 입력하도록 요구할 수 있습니다. MFA Delete는 객체를 영구적으로 삭제하거나 버킷의 버전 관리 기능을 비활성화하는 등의 파괴적인 작업에만 필요합니다. 반면, 버전 관리 활성화나 삭제된 버전 나열 작업에는 MFA가 필요하지 않습니다.

4. IAM 정책에서 MFA 활용

AWS IAM(Identity and Access Management) 정책에서는 MFA를 조건으로 설정할 수 있습니다. 예를 들어, 다음과 같은 방식으로 MFA를 활용할 수 있습니다:

• MultiFactorAuthPresent: 이 조건을 사용하여 MFA 인증이 없으면 인스턴스를 중지하거나 종료할 수 없도록 설정할 수 있습니다.
• MultiFactorAuthAge: MFA 인증 후 특정 시간 내에만 접근을 허용하는 조건을 설정할 수 있습니다. 예를 들어, MFA 인증 후 300초 이내에만 작업을 허용하도록 설정할 수 있습니다.

5. MFA 관련 오류와 해결 방법

때때로 AWS에서 "iam:DeleteVirtualMFADevice" 작업을 실행할 때 권한이 없다는 오류 메시지가 발생할 수 있습니다. 이는 사용자가 MFA 장치를 할당했지만 이를 활성화하지 않은 경우 발생합니다. 이 경우, 관리자는 CLI나 API를 사용하여 기존의 비활성화된 MFA 장치를 삭제하고 새로운 장치를 연결해야 합니다.

6. 결론

AWS에서 MFA는 계정과 리소스를 보호하는 필수적인 보안 기능입니다. MFA를 사용함으로써 비밀번호만으로는 계정을 보호할 수 없으며, 추가적인 인증 절차가 요구되므로 보안이 한층 강화됩니다. 다양한 MFA 옵션을 활용하여 AWS 계정을 안전하게 관리하고 중요한 작업에 대한 접근을 제어할 수 있습니다.

이를 통해 AWS 환경에서 보다 안전한 작업 환경을 만들 수 있습니다.