AWS 리소스를 안전하게 보호하기 위해 AWS Identity and Access Management(IAM) 서비스에 대한
여러 가지 권장 사항 중 MFA 기능을 활성화하는 내용이 있습니다.
MFA는 Multi-Factor Authentication(MFA)의 약자입니다. 보안 강화를 위해 계정에 속한 모든 사용자
에게 요구할 수 있고 인증 문제에 응답을 생성하는 디바이스가 있습니다.
MFA 등록 이후에는 사용자 자격 증명과 디바이스에서 생성한 응답 두 가지 모두 통과해야 로그인을 할 수
있습니다.
응답은 4가지 중 한가지를 택하여 진행 할 수 있습니다.
- 가상 MFA 디바이스
- U2F 보안 키
- 하드웨어 MFA 디바이스
- SMS 문자 메시지 기반 MFA
이중 가장 대중적으로 적용하는 하드웨어 MFA 디바이스 등록에 대해서 알아보려고 합니다.
대중적으로 적용하는 이유는 아래에서 보는 바 같이 무료이기 때문이고 가장 쉽게 적용할 수 있어서입니다.
그리고 모바일 기기별 지원되는 Application 중 Google Authenticator를 통해서 적용하도록 하겠습니다.
우선 AWS Console에 로그인하고 계정 정보를 누르면 "보안 자격 증명" 을 선택합니다.
여러 항목 중 "멀티 팩터 인증(MFA)" 를 선택합니다.
MFA 활성화 버튼을 클릭해서 모바일 기기 등록 준비를 합니다.
3개 항목 중 "가상 MFA 디바이스" 선택하고 계속 진행합니다.
"QR 코드 표시"를 선택하면 QR 코드 확인할 수 있고 모바일 폰에는 미리 Google Authenticator App
설치가 되어 있어야 합니다.
모바일에서 App을 실행 후 QR 스캔을 통하여 등록할 수 있는데 모바일에 출력되는 첫 번째 OTP 숫자를
콘솔 화면에 MFA 코드 1에 입력하고 시간이 지난 후 갱신되는 두 번째 OTP 숫자를 MFA 코드 2에 입력 후
MFA 할당을 누르면 등록이 완료됩니다.
모바일 기기 등록이 완료되었습니다.
등록된 이후에는 아래처럼 등록정보를 확인할 수 있습니다.
이후 콘솔 화면에서 "로그아웃" 후 다시 "로그인" 하면 패스워드 인증 후 MFA 인증 화면을 볼 수 있습니다.