2-3. IAM MFA 개요 (AWS Certified Developer Associate)

이전시간까지 우리는 IAM을 사용해 사용자와 그룹을 생성해 AWS서비스를 관리하는 방법을 배웠다.

이번 시간에는 이 그룹과 사용자들의 정보가 침해당하지 않도록 보호하는 밥법을 알아보자!

 

이는 크게 두가지 방어 메커니즘이 존재한다!

 

1. 비밀번호 정책

 - 비밀번호 최소 길이 설정

 - 특정 유형의 글자 요구

 - IAM을 통해 사용자들의 비밀번호 변경을 금지

 - 일정 기간이 지나면 비밀번호를 만료시키기

 - 사용자가 비밀번호의 재사용을 막아 변경시 동일한 or 이전 비밀번호는 사용하지 못하게 설정

 

**** 중요

2. MFA (Multi Factor Authentication)

--> 사용자들은 계정에 접근해 다양한 작업을 할 수 있는데 특히 관리자는 구성변경,리소스 삭제등 작업이 가능해 적어도 루트 계정만큼은 반드시 보호해야된다. 이때 우리는 MFA 방법을 필수로 사용하는것이 좋다.

 2-1. MFA방식이란?

 Pwd you know + secrity device you own즉 비밀번호 + 특정 보안장치를 함께 사용하는 것을 의미한다.

 

2-2 MFA 장치 옵션은 어떤것이 있나?? (시험 출제)

1. 가상 MFA 장치(Virtual MFA Device) 

 ex) Google Authenticator(Phon only 핸드폰 하나에만 가능 ) , Authy(multi-device 여러토큰을 생성할 수 있음)

2. U2F 보안키 (물리적으로 존재)

Yubikey(AWS 자체에서 제공하는 것이 아닌 3자 회사 장치이다.)

3.Haedware Key Fob MFA Device

Gemalto의 제품 Provided by Gemalto

4.Hardware Key Fob MFA Device for AWS GovCloud(us)

만약 미국정부 클라우드 GovCloud를 사용하면 특수한 팝잉 있는 키도 있다.

 

3. 실습

 

3-1. 비밀번호 정책 설정

IAM/Account Settings page

IAM dashboard 좌측에 Account Settings 목록을 클릭하면 위와같은 화면 나온다, 여기서 Password Policy / Edit 버튼을 클릭하면 

비밀번호 정책 변경 페이지

위와같은 변경 페이지가 나온다! 이를 통해 첫번째 방어 매커니즘인 비밀번호 정책을 사용하는 실습이다.

 

3-2 MFA

우리는 요놈을 잘알아야된다.

이번 실습은 루드 계정에 MFA를 설정해보겠다! (***루트는 괭창히 중요해요..) 음.. .해당 강의에서는 MFA토큰을 생성하면 잃어버릴시 로그인이 불가능 하다고 이야기하는데... 사진만.. ㅎㅎㅎ

 

 - 자 먼저 루트계정으로 접속해 그림과 같이 우측 상단에 Security credentials를 클릭해 해당 페이지로 이동하고 Assing MFA device를 클릭하면 MFA를 생성하는 페이지가 나온다. 

MFA 방식을 선택하는 페이지

 - 루트 계정에 적요할 MFA 방식을 선택하고 다음 클릭

(디바이스로 관리하려면 본인의 휴대폰 OS에 따라 사용가능한 어플리케이션이 있으니 아래 웹페이지에서 확인하고 선택하기!)

https://aws.amazon.com/iam/features/mfa/?audit=2019q1 

IAM - Multi-Factor Authentication

 

나머지는.. ㅎㅎ