AWS 계정(루트)을 대체하는 IAM 특권 사용자 생성 절차(3단계)

IAM 모범 사례 에는 특권 유저에 대해서, MFA 를 유효화한다고 하는 기술이 있습니다.
AWS 계정(루트)을 대체하는 IAM 특권 사용자 생성 절차(1)
AWS 계정(루트)을 대체하는 IAM 특권 사용자 생성 절차(2) 에서 만든 IAM 권한 있는 사용자에 대한 다중 요소 인증(MFA)을 활성화합니다.

1. 먼저 IAM 권한이 있는 사용자 계정으로 로그인합니다.



2. IAM 서비스를 클릭합니다.



3. IAM 서비스 화면에서 왼쪽의 사용자 메뉴를 선택하고 오른쪽 사용자 목록에서 IAM 권한 있는 사용자를 클릭합니다.


4. 사용자 정보 화면에서 로그인 자격 증명으로 스크롤하고 MFA 장치 관리 버튼을 클릭합니다.



5. 이번에는 Google Authenticator를 사용하므로 '가상 MFA 기기'를 선택하고 '다음 단계' 버튼을 클릭합니다.



6. '앞으로 MFA 앱을 설치하세요'라는 메시지가 표시되고 아직 설치하지 않은 경우 여기에서 스마트폰에 Google Authenticator를 설치하세요.


7. 다음으로 진행하면 OR 코드가 표시됩니다. 스마트폰에서 Google Authenticator를 실행하여 OR 코드를 스캔합니다. Google Authenticator에 표시된 6자리 숫자를 '인증 코드 1'에 입력하고 30초 후 숫자가 변경되면 '인증 코드 2'에 입력합니다. 2개 입력하면 「가상 MFA의 활성화」버튼을 클릭해 확정합니다.



8. iPhone 화면은 다음과 같습니다. 숫자가 끝나면 OR 코드에 포함된 "IAM 사용자 이름@계정 별칭"이 표시되므로 식별에 사용할 수 있습니다.



9. 로그아웃한 후 IAM 사용자로 다시 로그인하면 오류가 발생합니다. MFA는 이미 활성화되어 있습니다.



10. 'MFA 토큰이 있습니다.'를 선택하고 'MFA 코드'에 스마트폰의 Google Authenticator에 표시된 6자리 숫자를 입력합니다. 30초 후에 비활성화되므로 빨리 로그인 버튼을 클릭하세요.



11. 성공하면 관리 화면이 표시됩니다.


이제 다중 요소 인증이 활성화된 IAM 특권 사용자로 평소 AWS 관리 업무를 수행할 수 있게 되었습니다.

"IAM 모범 사례"에서는 AWS 계정의 MFA도 활성화한다고 썼습니다. 그러나 MFA 디바이스의 분실 및 고장시 AWS에 MFA의 무효화를 의뢰할 필요가 있으므로 이번에 생략했습니다. IAM 사용자의 MFA 비활성화는 AWS 계정으로 로그인한 후 4단계와 동일한 작업 방식으로 직접 수행할 수 있으므로 번거롭지 않습니다.