IAM 방어 매커니즘
- 비밀번호 정책(최소 길이, 특정 유형, 일정 주기 변경 등)
- MFA(다요소 인증) → 시험을 위해 숙지!!
- 비밀번호와 보안 장치를 함께 사용하는 것
- MFA 장치 종류
- Virtual MFA device
- Google Authenticator(Phone Only)
- Authy(Multi-device), 컴퓨터와 핸드폰에서 같이 사용 가능
- 원하는 수만큼의 계정 및 사용자 등록 가능
- Universal 2nd Factor (U2F) Security Key
- Yubico사의 YubiKey가 있음, AWS의 제3자회사
- 물리적 장치
- 하나의 보안 킨에서 여러 루트 계정과 IAM 사용자를 지원
- Hardware Key Fob MFA Device
- Gemalto의 제품, AWS의 제3자회사
- Hardware Key Fob MFA Device for AWS GovCloud(US)
- 미국 정부 클라우드인 AWS GovCloud 사용하는 경우 필요
- SurePassID의 제품, AWS의 제3자회사
- Virtual MFA device
IAM MFA 실습
-
비밀번호 정책 변경
- IAM > 계정 설정 > 암호 정책 편집 > 사용자 지정
-
루트 계정에 MFA 설정
1. 계정 이름 클릭 > 보안 자격 증명 클릭(My Security Credentials)
2. MFA 활성화
3. Device 선택
4. 호환되는 애플리케이션 설치 ex) Authy 5. Authy 어플의 Add Account에 들어가서 QR 코드 스캔 6. 계정의 닉네임과 로고 선택 후 Save 7. MFA 코드1 확인 후 입력, 15초 후 MFA 코드2 확인 후 입력 8. MFA 추가 클릭
