# AWS 계정 루트 사용자에 대한 다중 인증
**중요**
AWS는 가능한 한 AWS에 대한 MFA에 패스키나 보안 키를 사용할 것을 권장합니다. 패스키나 보안 키가 피싱과 같은 공격에 더 강하기 때문입니다. 자세한 내용은 [패스키 및 보안 키](#passkeys-security-keys-for-root) 섹션을 참조하세요.
다중 인증(MFA)은 보안을 강화하는 간단하고 효과적인 메커니즘입니다. 첫 번째 요소인 암호는 기억해야 하는 비밀이며 지식 요소라고도 합니다. 다른 요소로는 보유 요소(보안 키 등 귀하가 보유하는 것) 또는 고유 요소(생체인식 스캔 등 귀하에 대한 것)가 있습니다. 보안 강화를 위해 다중 인증(MFA)을 구성하여 AWS 리소스를 보호하는 것이 좋습니다.
**참고**
모든 AWS 계정 유형(독립 실행형, 관리 및 멤버 계정)은 루트 사용자에 대해 MFA를 구성해야 합니다. MFA가 아직 활성화되지 않은 경우 사용자는 AWS Management Console에 액세스하기 위해 처음 로그인을 시도한 날로부터 35일 이내에 MFA를 등록해야 합니다.
AWS 계정 루트 사용자와 IAM 사용자에 대해 MFA를 활성화할 수 있습니다. 루트 사용자에 대해 활성화한 MFA는 루트 사용자 자격 증명에만 영향을 줍니다. IAM 사용자에 대해 MFA를 활성화하는 방법에 대한 자세한 내용은 [IAM의 AWS 다중 인증](id_credentials_mfa.md) 단원을 참조하세요.
**참고**
AWS Organizations를 사용하여 관리하는 AWS 계정에는 자격 증명 복구 및 대규모 액세스를 방지하기 위해 멤버 계정의 [루트 액세스를 중앙에서 관리하는](id_root-user.md#id_root-user-access-management) 옵션이 있을 수 있습니다. 이 옵션을 활성화하는 경우 암호 및 MFA를 포함하여 멤버 계정에서 루트 사용자 자격 증명을 삭제하여 루트 사용자로 로그인, 암호 복구 또는 MFA 설정을 효과적으로 방지할 수 있습니다. 또는 암호 기반 로그인 방법을 유지 관리하려는 경우 계정 보호를 강화하기 위해 MFA를 등록하여 계정을 보호합니다.
루트 사용자에 대해 MFA를 활성화하기 전에 [계정 설정과 연락처 정보를 검토하고 업데이트](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html)하여 이메일 및 전화번호에 대한 액세스 권한이 있는지 확인합니다. MFA 디바이스가 분실 또는 도난되었거나 작동하지 않는 경우에도 해당 이메일과 전화번호를 사용하여 자격 증명을 확인하여 루트 사용자로 로그인할 수 있습니다. 다른 인증 요소를 사용하여 로그인하는 방법은 [IAM에서 MFA로 보호되는 ID 복구](id_credentials_mfa_lost-or-broken.md) 섹션을 참조하세요. 이 기능을 비활성화하려면 [AWS Support](https://console.aws.amazon.com/support/home#/)에 문의하세요.
AWS는 루트 사용자를 위해 다음과 같은 MFA 유형을 지원합니다.
+ [패스키 및 보안 키](#passkeys-security-keys-for-root)
+ [가상 인증 애플리케이션](#virtual-auth-apps-for-root)
+ [하드웨어 TOTP 토큰](#hardware-totp-token-for-root)
## 패스키 및 보안 키
AWS Identity and Access Management는 MFA용 패스키 및 보안 키를 지원합니다. FIDO 표준에 기반한 패스키는 퍼블릭 키 암호화 기법을 사용하여 암호보다 안전한 강력한 피싱 방지 인증을 제공합니다. AWS는 디바이스 바운드 패스키(보안 키)와 동기화된 패스키라는 두 가지 유형의 패스키를 지원합니다.
+ **보안 키**: YubiKey처럼 2차 인증 요소로 사용되는 물리적 디바이스입니다. 하나의 보안 키가 여러 루트 사용자 계정과 IAM 사용자를 지원할 수 있습니다.
+ **동기화된 패스키**: Google, Apple, Microsoft 계정 같은 공급자와 1Password, Dashlane, Bitwarden 같은 서드 파티 서비스의 자격 증명 관리자를 2차 인증 요소로 사용합니다.
Apple MacBook의 Touch ID와 같은 내장된 생체 인식 인증자를 사용하여 자격 증명 관리자의 잠금을 해제하고 AWS에 로그인할 수 있습니다. 패스키는 지문, 얼굴 또는 디바이스 PIN을 사용하여 선택한 공급자와 함께 생성됩니다. 또한 모바일 디바이스 또는 하드웨어 보안 키와 같은 한 디바이스에 있는 교차 디바이스 인증(CDA) 패스키로 노트북 등의 다른 디바이스에 로그인할 수 있습니다. 자세한 내용은 [교차 디바이스 인증](https://passkeys.dev/docs/reference/terms/#cross-device-authentication-cda)(CDA)을 참조하세요.
디바이스 간에 패스키를 동기화하여 AWS 로그인을 용이하게 하고 사용성과 복구 가능성을 높일 수 있습니다. 패스키 및 보안 키 활성화에 대한 자세한 내용은 [루트 사용자용 패스키 또는 보안 키 활성화(콘솔)](enable-fido-mfa-for-root.md) 섹션을 참조하세요.
FIDO Alliance는 FIDO 사양과 호환되는 모든 [FIDO 인증 제품](https://fidoalliance.org/certification/fido-certified-products/) 목록을 유지 관리합니다.
## 가상 인증 애플리케이션
가상 인증 애플리케이션은 전화 또는 기타 디바이스에서 실행되고 물리적 디바이스를 에뮬레이트합니다. 가상 인증 앱은 [시간 기반 일회용 암호](https://datatracker.ietf.org/doc/html/rfc6238)(TOTP) 알고리즘을 구현하고 단일 디바이스에서 여러 토큰을 지원합니다. 사용자는 로그인 중에 안내에 따라 디바이스의 유효 코드를 입력해야 합니다. 사용자에게 할당된 각 토큰은 고유해야 합니다. 사용자는 다른 사용자의 토큰의 코드를 입력하여 인증할 수 없습니다.
하드웨어 구매 승인을 기다리는 동안 또는 하드웨어 도착을 기다리는 동안 가상 MFA 디바이스를 사용하는 것이 좋습니다. 가상 MFA 디바이스로 사용할 수 있는 몇 가지 지원되는 앱의 목록은 [다중 인증(MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1) 섹션을 참조하세요. AWS를 사용하여 가상 MFA 디바이스를 설정하기 위한 지침은 [루트 사용자용 가상 MFA 디바이스 활성화(콘솔)](enable-virt-mfa-for-root.md) 섹션을 참조하세요.
## 하드웨어 TOTP 토큰
하드웨어 디바이스가 [시간 기반 일회용 암호(TOTP) 알고리즘](https://datatracker.ietf.org/doc/html/rfc6238)에 따라 6자리 숫자 코드를 생성합니다. 사용자는 로그인할 때 두 번째 웹페이지에서 디바이스의 유효 코드를 입력해야 합니다. 사용자에게 할당된 각 MFA 디바이스는 고유해야 합니다. 사용자는 다른 사용자의 디바이스의 코드를 입력하여 인증받을 수 없습니다. 지원되는 하드웨어 MFA 디바이스에 대한 자세한 내용은 [다중 인증(MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1) 섹션을 참조하세요. AWS를 사용하여 하드웨어 TOTP 토큰을 설정하는 지침은 [루트 사용자에 대해 하드웨어 TOTP 토큰 활성화(콘솔)](enable-hw-mfa-for-root.md) 섹션을 참조하세요.
물리적 MFA 디바이스를 사용하려는 경우 하드웨어 TOTP 디바이스 대신 FIDO 보안 키를 사용하는 것이 좋습니다. FIDO 보안 키는 배터리 요구 사항이 없고 피싱 방지가 가능하다는 이점이 있으며, 단일 디바이스에서 여러 루트 및 IAM 사용자를 지원하여 보안을 강화합니다.
**Topics**
+ [패스키 및 보안 키](#passkeys-security-keys-for-root)
+ [가상 인증 애플리케이션](#virtual-auth-apps-for-root)
+ [하드웨어 TOTP 토큰](#hardware-totp-token-for-root)
+ [루트 사용자용 패스키 또는 보안 키 활성화(콘솔)](enable-fido-mfa-for-root.md)
+ [루트 사용자용 가상 MFA 디바이스 활성화(콘솔)](enable-virt-mfa-for-root.md)
+ [루트 사용자에 대해 하드웨어 TOTP 토큰 활성화(콘솔)](enable-hw-mfa-for-root.md)
# 루트 사용자용 패스키 또는 보안 키 활성화(콘솔)
루트 사용자 패스키 구성 및 활성화는 AWS Management Console에서만 가능하고 AWS CLI 또는 AWS API에서는 불가능합니다.
**루트 사용자 패스키 또는 보안 키를 활성화하려면(콘솔)**
1. [AWS Management Console](https://console.aws.amazon.com/)을 열고 루트 사용자 자격 증명을 사용하여 로그인합니다.
자세한 지침은 *AWS Sign-In 사용 설명서*의 [루트 사용자로 AWS Management Console에 로그인](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html)을 참조하세요.
1. 탐색 표시줄 오른쪽에서 계정 이름을 선택하고 **Security credentials**(보안 자격 증명)를 선택합니다.
![\[탐색 메뉴의 보안 자격 증명\]](http://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)
1. 루트 사용자 **내 보안 자격 증명** 페이지의 **다중 인증(MFA)**에서 **MFA 디바이스 할당**을 선택합니다.
1. **MFA 디바이스 이름** 페이지에서 **디바이스 이름**을 입력하고 **패스키 또는 보안 키**를 선택한 후 **다음**을 선택합니다.
1. **디바이스 설정**에서 패스키를 설정합니다. 얼굴이나 지문 같은 생체 인식 데이터 또는 디바이스 PIN을 사용하거나 컴퓨터의 USB 포트에 FIDO 보안 키를 삽입한 다음 탭하여 패스키를 생성합니다.
1. 브라우저의 지침에 따라 패스키 공급자를 선택하거나 여러 디바이스에서 사용할 패스키를 저장할 위치를 선택합니다.
1. **계속**을 선택합니다.
이제 AWS에서 사용할 패스키를 등록했습니다. 다음에 루트 사용자 자격 증명을 사용하여 로그인할 때 패스키로 인증하여 로그인 절차를 완료해야 합니다.
FIDO 보안 키 문제를 해결하는 데 도움이 필요한 경우 [패스키 및 FIDO 보안 키 관련 문제 해결](troubleshoot_mfa-fido.md) 섹션을 참조하세요.
# 루트 사용자용 가상 MFA 디바이스 활성화(콘솔)
AWS Management Console을 사용하여 루트 사용자의 가상 MFA 디바이스를 구성 및 활성화할 수 있습니다. AWS 계정에 대해 MFA 디바이스를 활성화하려면 루트 사용자 보안 인증으로 AWS에 로그인해야 합니다.
**루트 사용자에 사용하기 위해 가상 MFA 디바이스를 구성 및 활성화하려면(콘솔)**
1. [AWS Management Console](https://console.aws.amazon.com/)을 열고 루트 사용자 자격 증명을 사용하여 로그인합니다.
자세한 지침은 *AWS Sign-In 사용 설명서*의 [루트 사용자로 AWS Management Console에 로그인](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html)을 참조하세요.
1. 탐색 표시줄 오른쪽에서 계정 이름을 선택하고 **Security credentials**(보안 자격 증명)를 선택합니다.
![\[탐색 메뉴의 보안 자격 증명\]](http://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)
1. **Multi-Factor Authentication (MFA)**(다중 인증(MFA)) 섹션에서 **Assign MFA device**(MFA 디바이스 할당)를 선택합니다.
1. 마법사에서 **디바이스 이름**을 입력하고 **인증 앱**을 선택한 후 **다음**을 선택합니다.
IAM은 QR 코드 그래픽을 포함하여 가상 MFA 디바이스의 구성 정보를 생성 및 표시합니다. 그래픽은 QR 코드를 지원하지 않는 디바이스 상에서 수동 입력할 수 있는 보안 구성 키를 표시한 것입니다.
1. 디바이스에서 가상 MFA 앱을 엽니다.
가상 MFA 앱이 다수의 가상 MFA 디바이스 또는 계정을 지원하는 경우 새로운 가상 MFA 디바이스 또는 계정을 생성하는 옵션을 선택합니다.
1. 앱을 구성하는 가장 쉬운 방법은 앱을 사용하여 QR 코드를 스캔하는 것입니다. 코드를 스캔하지 못하는 경우 구성 정보를 직접 입력할 수 있습니다. IAM에서 생성된 QR 코드와 보안 구성 키는 AWS 계정과 연동되기 때문에 다른 계정에서는 사용할 수 없습니다. 하지만 사용하던 MFA 디바이스에 대한 액세스 권한을 잃은 경우 재사용을 통해 계정에 대한 새로운 MFA 디바이스를 구성할 수 있습니다.
+ QR 코드를 사용하여 가상 MFA 디바이스를 구성하려면, 마법사에서 **Show QR code(QT 코드 표시)**를 선택합니다. 그리고 코드 스캔에 대한 앱 지침을 따릅니다. 예를 들어 카메라 모양의 아이콘을 선택하거나, **계정 바코드 스캔(Scan account barcode)**과 같은 명령을 선택한 다음, 디바이스의 카메라를 사용하여 QR 코드를 스캔할 수 있습니다.
+ **Set up device**(디바이스 설정) 마법사에서 **Show secret key**(보안 키 표시)를 선택한 다음 MFA 앱에 보안 키를 입력합니다.
**중요**
QR 코드 또는 보안 구성 키를 안전하게 백업하거나, 혹은 계정의 여러 MFA 디바이스를 활성화하세요. [현재 지원되는 MFA 유형](https://aws.amazon.com/iam/features/mfa/)을 조합하여 최대 **8**개의 MFA 디바이스를 AWS 계정 루트 사용자 및 IAM 사용자에게 등록할 수 있습니다. 예를 들어 가상 MFA 디바이스가 호스팅되어 있는 스마트폰을 분실하는 경우 가상 MFA 디바이스를 사용할 수 없습니다. 이 경우 사용자에게 연결된 추가 MFA 디바이스가 없거나 [루트 사용자 MFA 디바이스 복구](id_credentials_mfa_lost-or-broken.md#root-mfa-lost-or-broken)로도 계정에 로그인할 수 없는 경우 계정에 로그인할 수 없으며 [고객 서비스에 문의](https://support.aws.amazon.com/#/contacts/aws-mfa-support)하여 계정에 대한 MFA 보호를 제거해야 합니다.
그 디바이스는 6자리 번호를 생성합니다.
1. 마법사의 **MFA code 1**(MFA 코드 1) 상자에 현재 가상 MFA 디바이스에 표시된 일회용 암호를 입력합니다. 디바이스가 새로운 일회용 암호를 생성할 때까지 최대 30초 기다립니다. 그런 다음 두 번째 일회용 암호를 **MFA code 2(MFA 코드 2)** 상자에 입력합니다. **Add MFA**(MFA 추가)를 선택합니다.
**중요**
코드를 생성한 후 즉시 요청을 제출하세요. 코드를 생성한 후 너무 오래 기다렸다 요청을 제출할 경우 MFA 디바이스가 사용자와 연결은 되지만 MFA 디바이스가 동기화되지 않습니다. 이는 시간 기반 일회용 암호(TOTP)가 잠시 후에 만료되기 때문입니다. 이 경우, [디바이스를 재동기화](id_credentials_mfa_sync.md)할 수 있습니다.
이제 AWS에서 디바이스를 사용할 준비가 끝났습니다. AWS Management Console의 MFA 사용 방법에 대한 자세한 내용은 [MFA 지원 로그인](console_sign-in-mfa.md) 섹션을 참조하세요.
# 루트 사용자에 대해 하드웨어 TOTP 토큰 활성화(콘솔)
AWS Management Console에서만 루트 사용자에 대한 물리적 MFA 디바이스를 구성하고 활성화할 수 있으며, AWS CLI 또는 AWS API에서는 활성화할 수 없습니다.
**참고**
**MFA를 사용하여 로그인** 및 **인증 디바이스 문제 해결**과 같은 다른 텍스트가 나타날 수 있습니다. 그러나 동일한 기능이 제공됩니다. 어느 경우든 대체 인증 요소를 사용하여 계정 이메일 주소 및 전화번호를 확인할 수 없는 경우 [AWS Support](https://aws.amazon.com/forms/aws-mfa-support)에 문의하여 MFA 설정을 삭제합니다.
**자신의 루트 사용자에 대해 하드웨어 TOTP 토큰을 활성화하려면(콘솔)**
1. [AWS Management Console](https://console.aws.amazon.com/)을 열고 루트 사용자 자격 증명을 사용하여 로그인합니다.
자세한 지침은 *AWS Sign-In 사용 설명서*의 [루트 사용자로 AWS Management Console에 로그인](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to-root-user-sign-in-tutorial.html)을 참조하세요.
1. 탐색 표시줄 오른쪽에서 계정 이름을 선택하고 **Security credentials**(보안 자격 증명)를 선택합니다.
![\[탐색 메뉴의 보안 자격 증명\]](http://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)
1. **Multi-factor authentication (MFA)(멀티 팩터 인증(MFA))** 섹션을 확장합니다.
1. **Assign MFA device**(MFA 디바이스 할당)를 선택합니다.
1. 마법사에서 **Device name**(디바이스 이름)을 입력하고 **Hardware TOTP token**(하드웨어 TOTP 토큰), **Next**(다음)를 차례로 선택합니다.
1. **Serial number(일련 번호)** 상자에 MFA 디바이스 뒷면에 있는 일련 번호를 입력합니다.
1. **MFA code 1(MFA 코드 1)** 상자에 MFA 디바이스에 표시된 6자리 번호를 입력합니다. 디바이스 전면의 버튼을 눌러야 번호가 표시되는 경우도 있습니다.
![\[IAM 대시보드, MFA 디바이스\]](http://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/images/MFADevice.png)
1. 디바이스가 코드를 새로 고칠 때까지 30초 동안 기다린 다음 **MFA code 2(MFA 코드 2)** 상자에 다음 6자리 번호를 입력합니다. 다시 디바이스 전면의 버튼을 눌러야 두 번째 번호가 표시되는 경우도 있습니다.
1. **Add MFA**(MFA 추가)를 선택합니다. 이제 MFA 디바이스가 AWS 계정과 연결되었습니다.
**중요**
인증 코드를 생성한 후 바로 요청을 제출하세요. 코드를 생성한 후 너무 오래 기다렸다 요청을 제출할 경우 MFA 디바이스가 사용자와 연결은 되지만 MFA 디바이스가 동기화되지 않습니다. 이는 시간 기반 일회용 암호(TOTP)가 잠시 후에 만료되기 때문입니다. 이 경우, [디바이스를 재동기화](id_credentials_mfa_sync.md)할 수 있습니다.
다음에 루트 사용자 자격 증명을 사용하여 로그인할 때도 MFA 디바이스의 코드를 입력해야 합니다.