[AWS] IAM MFA

그룹과 사용자들의 정보 보호하는 방법

• 루트 계정 뿐만 아니라 IAM 사용자 모두 보호해야 함
• 비밀번호 정책의 정의
  • 비밀번호가 강력할 수록 계정 보안 철저
  • 예시
    • 비밀번호 형식 지정 ex) 특수문자, 대문자 포함 등
    • 사용자들의 비밀번호 변경 허용 또는 금지
    • 일정 기간이 지나면 비밀번호 만료 후 새비밀번호 설정 요구
    • 비밀번호 재사용 금지 : 비밀번호 변경 시 동일한 비밀번호나 이전 사용 비밀번호 사용하지 못하게 함
• MFA (Multi Factor Authentication)

MFA(Multi Factor Authentication)

• 다요소 인증 : 비밀번호와 보안장치 함께 사용하는 방식
• AWS에서 해당 메커니즘을 필수적으로 사용하도록 권장함

MFA 장점

• 해킹을 당해 비밀번호가 누출된 상황이여도 해커에게 로그인을 위해 휴대전화 등 사용자 소유의 물리적 장치가 추가로 필요해 계정이 침해당하지 않아 계정 침투를 할 가능성이 훨씬 적다.

MFA 관련 보안 장치 옵션

• 시험 출제
• Virtual MFA device
  • 루트 계정, IAM 사용자 또 다른 계정, 그리고 또 다른 IAM 사용자가 지원되는 식으로 Virtual MFA device에 원하는 수만큼의 계정 및 사용자 등록이 가능. 그래서 사용하기가 아주 편리
    • Google Authenticator : 하나의 휴대전화에서만 사용 가능
    • Authy : 여러 장치에서 사용 가능, 하나의 장치에서도 토큰 여러 개 지원
• Universal 2nd Factor(U2F) / Security Key
  • 둘 중 하나의 이름으로 불림
  • 물리적 장치
  • 장점 : 물리적 장치를 사용하면 전자 열쇠에 달고 다닐 수 있어 사용이 편함
  • Yubico 사의 YubiKey
    • Yubico는 AWS의 제 3자 회사로 AWS 제공 장치가 아니라 제 3자 회사의 장치이다.
    • 하나의 보안 키에서 여러 루트 계정과 IAM 사용자를 지원하여 하나의 키로도 충분하다.
• Hardware Key Fob MFA Device : Gemalto의 제품(제 3자 회사)
• Hardware Key Fob MFA Device for AWS GovCloud(US) : 미국 정부의 클라우드인 GovCloud 사용하는 경우 SurePassID에서 제공하는 특수한 키 팝 필요

MFA 사용방법

1. 비밀번호 정책 설정

• IAM - Account settings - Edit - custom - 원하는 대로 지정 후 저장2. 루트 계정에 MFA 설정
• 루트 계정은 모든 권한이 다 주어지기 때문에 루트 계정 보호는 굉장히 중요
• MFA 토큰을 잃어버리면 계정에 로그인이 불가능하니 신중하게 하기
• 상단 계정 클릭 후 - Security Credentials - assign MFA(MFA 활성화) - MFA 보안 장치 선택
  • MFA 설정 할 호환 가능한 목록 : https://aws.amazon.com/ko/iam/features/mfa/?audit=2019q1
  • Virtual authenticator apps : Authy 추천
    • Authy : add Accounts - scan QR code - authenticator apps 설정 시 화면에 보이는 큐알코드 인식 - 닉네임 로고 설정 - 저장 - 처음에 authy앱에 보이는 코드 입력 - 다음 코드가 뜰 때까지 기다린 후 뜨면 그코드 입력 - 저장 --> 루트 계정에 로그인 시 authy 앱에 뜬 코드 입력 후 로그인 하면 됨