

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# IAM Identity Center에서 MFA 구성
<a name="mfa-configure"></a>

ID 소스가 IAM Identity Center의 ID 스토어 AWS Managed Microsoft AD또는 AD Connector로 구성된 경우 IAM Identity Center에서 다중 인증(MFA) 기능을 구성할 수 있습니다. 현재 [외부 ID 제공업체](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html)에 대해서는 IAM Identity Center의 MFA가 지원되지 않습니다.

다음은 IAM Identity Center 설정 및 조직 기본 설정에 따른 일반적인 MFA 권장 사항입니다.
+ 사용자는 활성화된 모든 MFA 유형에 대해 여러 백업 인증자를 등록하는 것이 좋습니다. 이렇게 하면 MFA 디바이스가 고장 나거나 잘못 배치된 경우 액세스 권한이 손실되는 것을 방지할 수 있습니다.
+ 사용자가 이메일에 **액세스하기 위해 액세스 포털에 로그인해야 하는 경우 이메일로 전송된 일회용 암호를 제공해야** 함 옵션을 선택하지 마세요. AWS 예를 들어 사용자는 AWS 액세스 포털Microsoft 365에서를 사용하여 이메일을 읽을 수 있습니다. 이 경우 사용자는 확인 코드를 검색할 수 없으며 AWS 액세스 포털에 로그인할 수 없습니다. 자세한 내용은 [MFA 디바이스 적용 구성](how-to-configure-mfa-device-enforcement.md) 단원을 참조하십시오.
+ 구성한 RADIUS MFA를 이미 사용하고 있는 경우 IAM Identity Center 내에서 MFA를 활성화 Directory Service할 필요가 없습니다. IAM Identity Center의 MFA는 IAM Identity Center의 Microsoft Active Directory 사용자를 위한 RADIUS MFA의 대안입니다. 자세한 내용은 [RADIUS MFA](mfa-types.md#about-radius) 단원을 참조하십시오.
+ 다음 YouTube 비디오에서는 MFA 및 IAM Identity Center에 대한 개요를 제공합니다.

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/1iFvT8shnng?si=hpMeBAd85ypC3BTR/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/1iFvT8shnng?si=hpMeBAd85ypC3BTR)


**Topics**
+ [사용자에게 MFA에 대한 메시지 표시](mfa-getting-started.md)
+ [사용자 인증을 위한 MFA 유형 선택](how-to-configure-mfa-types.md)
+ [MFA 디바이스 적용 구성](how-to-configure-mfa-device-enforcement.md)
+ [사용자가 자신의 MFA 디바이스를 등록하도록 허용](how-to-allow-user-registration.md)

# 사용자에게 MFA에 대한 메시지 표시
<a name="mfa-getting-started"></a>

다음 단계를 사용하여 AWS 액세스 포털에 로그인하려고 할 때마다 작업 인력 사용자에게 다중 인증(MFA) 메시지가 표시되는 빈도를 확인할 수 있습니다. 시작하기 전에 먼저 [IAM Identity Center에서 사용 가능한 MFA 유형](mfa-types.md)를 이해하는 것이 좋습니다.

**중요**  
이 섹션의 지침은 [AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/)에 적용됩니다. [AWS Identity and Access Management](https://aws.amazon.com/iam/)(IAM)에는 적용되지 않습니다. IAM 사용자, 그룹 및 IAM 사용자 보안 인증은 IAM Identity Center 사용자, 그룹 및 사용자 보안 인증과 다릅니다. IAM 사용자용 MFA를 비활성화하는 방법에 대한 지침을 찾으려면 *AWS Identity and Access Management 사용 설명서*의 [MFA 디바이스 비활성화](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_disable.html)를 참조하세요.

**참고**  
외부 IdP를 사용하는 경우 **다중 인증** 섹션을 사용할 수 없게 됩니다. 외부 IdP가 MFA 설정을 관리하는 것이 아니라 IAM Identity Center에서 관리합니다.

**MFA 구성**

1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.

1. 왼쪽 탐색 창에서 **설정**을 선택합니다.

1. **설정** 페이지에서 **인증** 탭을 선택합니다.

1. **다중 인증** 섹션에서 **구성**을 선택합니다.

1. **다중 인증 구성** 페이지의 **사용자에게 MFA에 대한 메시지 표시**에서 비즈니스에 필요한 보안 수준에 따라 다음 인증 모드 중 하나를 선택합니다.
   + **로그인할 때마다(상시 접속)**

     이 모드(기본 설정)에서는 등록된 MFA 디바이스가 있는 사용자가 로그인할 때마다 IAMIdentity Center에 메시지가 표시됩니다. 이는 가장 안전한 설정이며 AWS 액세스 포털에 로그인할 때마다 MFA를 사용하도록 요구하여 조직 또는 규정 준수 정책을 적용하도록 합니다. 예를 들어, PCI DSS는 고위험 결제 거래를 지원하는 애플리케이션에 액세스하기 위해 로그인할 때마다 MFA 사용을 강력히 권장합니다.
   + **로그인 컨텍스트가 변경될 때만 (컨텍스트 인식)**

     이 모드에서 IAM Identity Center는 로그인하는 동안 사용자에게 디바이스를 신뢰하는지 묻는 옵션을 제공합니다. 사용자가 디바이스를 신뢰한다고 표시하면 IAM Identity Center는 사용자에게 MFA를 요청하는 메시지를 한 번 표시하고 사용자의 후속 로그인을 위해 로그인 컨텍스트(디바이스, 브라우저, 위치 등)를 분석합니다. IAM Identity Center는 후속 로그인 시 사용자가 이전에 신뢰할 수 있는 컨텍스트로 로그인하고 있는지 확인합니다. 사용자의 로그인 컨텍스트가 변경되면 IAM Identity Center는 사용자에게 이메일 주소 및 비밀번호 보안 인증 정보 외에 MFA를 입력하라는 메시지를 표시합니다.

     이 모드는 작업 공간에서 자주 로그인하지만 **상시 작동** 옵션보다 안전하지 않은 사용자에게 사용 편의성을 제공합니다. 로그인 컨텍스트가 변경되는 경우에만 MFA를 입력하라는 메시지가 표시됩니다.
   + **사용 안 함(비활성화)**

     이 모드에서는 모든 사용자가 표준 사용자 이름과 비밀번호로만 로그인합니다. 이 옵션을 선택하면 IAM Identity Center MFA가 비활성화되므로 이는 권장되지 않습니다.

      사용자의 Identity Center 디렉터리에 대해 MFA가 비활성화되어 있지만 사용자 세부 정보에서 MFA 디바이스를 관리할 수 없으며 Identity Center 디렉터리 사용자는 AWS 액세스 포털에서 MFA 디바이스를 관리할 수 없습니다.
**참고**  
이미에서 RADIUS MFA를 사용하고 Directory Service있고 이를 기본 MFA 유형으로 계속 사용하려는 경우 인증 모드를 비활성화된 상태로 두어 IAM Identity Center에서 MFA 기능을 우회할 수 있습니다. **비활성화** 모드에서 **컨텍스트 인식** 또는 **상시 접속** 모드로 변경하면 기존 RADIUS MFA 설정이 재정의됩니다. 자세한 내용은 [RADIUS MFA](mfa-types.md#about-radius) 단원을 참조하십시오.

1. **변경 사항 저장**을 선택합니다.

   **관련 주제**
   + [사용자 인증을 위한 MFA 유형 선택](how-to-configure-mfa-types.md)
   + [MFA 디바이스 적용 구성](how-to-configure-mfa-device-enforcement.md)
   + [사용자가 자신의 MFA 디바이스를 등록하도록 허용](how-to-allow-user-registration.md)

# 사용자 인증을 위한 MFA 유형 선택
<a name="how-to-configure-mfa-types"></a>

다음 절차에 따라 AWS 액세스 포털에서 멀티 팩터 인증(MFA) 메시지가 표시될 때 사용자가 인증할 수 있는 디바이스 유형을 선택합니다.

**사용자의 MFA 유형을 구성하는 방법**

1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.

1. 왼쪽 탐색 창에서 **설정**을 선택합니다.

1. **설정** 페이지에서 **인증** 탭을 선택합니다.

1. **다중 인증** 섹션에서 **구성**을 선택합니다.

1. **다중 인증 구성** 페이지의 **사용자는 다음 MFA 유형으로 인증할 수 있습니다**에서 비즈니스 요구 사항에 따라 다음 MFA 유형 중 하나를 선택합니다. 자세한 내용은 [IAM Identity Center에서 사용 가능한 MFA 유형](mfa-types.md) 단원을 참조하십시오.
   + **보안 키 및 내장된 인증자**
   + **인증 앱**

1. **변경 사항 저장**을 선택합니다.

# MFA 디바이스 적용 구성
<a name="how-to-configure-mfa-device-enforcement"></a>

다음 절차에 따라 사용자가 AWS 액세스 포털에 로그인할 때 등록된 MFA 디바이스를 가지고 있어야 하는지 확인합니다.

IAM의 MFA에 대한 자세한 내용은 [AWS IAM 다중 요소 인증(MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)을 참조하세요.

**사용자의 MFA 디바이스 적용을 구성하는 방법**

1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.

1. 왼쪽 탐색 창에서 **설정**을 선택합니다.

1. **설정** 페이지에서 **인증** 탭을 선택합니다.

1. **다중 인증** 섹션에서 **구성**을 선택합니다.

1. **다중 인증 구성** 페이지의 **사용자에게 아직 등록된 MFA 디바이스가 없는 경우**에서 비즈니스 요구 사항에 따라 다음 중 하나를 선택합니다.
   + **로그인 시 MFA 디바이스를 등록하도록 요구**

     이는 IAM Identity Center에 대해 MFA를 처음 구성할 때 기본 설정입니다. 아직 등록된 MFA 디바이스가 없는 사용자가 비밀번호 인증에 성공한 후 로그인하는 동안 디바이스를 직접 등록하도록 요구하려면 이 옵션을 사용합니다. 이를 통해 인증 디바이스를 개별적으로 등록하고 사용자에게 배포할 필요 없이 MFA로 조직의 AWS 환경을 보호할 수 있습니다. 셀프 등록을 하는 동안 사용자는 이전에 활성화한 사용 가능한 [IAM Identity Center에서 사용 가능한 MFA 유형](mfa-types.md) 중에서 원하는 디바이스를 등록할 수 있습니다. 등록을 완료한 후 사용자는 새로 등록한 MFA 디바이스에 친숙한 이름을 지정할 수 있으며, 그러면 IAM Identity Center는 사용자를 원래 대상으로 리디렉션합니다. 사용자 디바이스를 분실하거나 도난당한 경우 계정에서 해당 디바이스를 제거하기만 하면 됩니다. 그러면 IAM Identity Center에서 다음 로그인 시 새 디바이스를 직접 등록하도록 요구합니다.
   + **로그인 시 이메일로 전송된 일회용 비밀번호 입력 요구**

     사용자에게 이메일로 인증 코드를 보내도록 할 때 이 옵션을 사용합니다. 이메일은 특정 디바이스에 바인딩되지 않기 때문에 이 옵션은 업계 표준 다중 인증 기준을 충족하지 못합니다. 하지만 비밀번호만 사용하는 것보다 보안 기능이 향상됩니다. 이메일 인증은 사용자가 MFA 디바이스를 등록하지 않은 경우에만 요청됩니다. **컨텍스트 인식** 인증 방법이 활성화된 경우 사용자는 이메일을 수신하는 디바이스를 신뢰할 수 있는 디바이스로 표시할 수 있습니다. 이후에는 해당 디바이스, 브라우저, IP 주소 조합으로 향후 로그인할 때 이메일 코드를 인증할 필요가 없습니다.
**참고**  
Active Directory를 IAM Identity Center 지원 ID 소스로 사용하는 경우 이메일 주소는 항상 Active Directory `email` 속성을 기반으로 합니다. 사용자 지정 Active Directory 속성 매핑은 이 동작을 재정의하지 않습니다.
   + **로그인 차단**

     모든 사용자가 AWS에 로그인하기 전에 MFA를 사용하도록 강제하려면 **로그인 차단** 옵션을 사용합니다.
**중요**  
인증 방법이 **컨텍스트 인식**으로 설정된 경우 사용자는 로그인 페이지에서 **이 디바이스는 신뢰할 수 있는 디바이스입니다** 체크박스를 선택할 수 있습니다. 이 경우 **로그인 차단** 설정이 활성화되어 있더라도 해당 사용자에게 MFA를 입력하라는 메시지가 표시되지 않습니다. 이러한 사용자에게 메시지가 표시되도록 하려면 인증 방법을 **상시 접속**으로 변경합니다.
   + **로그인 허용**

     사용자가 AWS 액세스 포털에 로그인하는 데 MFA 디바이스가 필요하지 않음을 나타내려면이 옵션을 사용합니다. MFA 디바이스를 등록한 사용자에게는 계속해서 MFA를 입력하라는 메시지가 표시됩니다.

1. **변경 사항 저장**을 선택합니다.

# 사용자가 자신의 MFA 디바이스를 등록하도록 허용
<a name="how-to-allow-user-registration"></a>

IAM Identity Center 관리자는 사용자가 자신의 MFA 디바이스를 자체 등록할 수 있도록 허용할 수 있습니다.

**사용자가 자신의 MFA 디바이스를 등록하도록 허용하려면**

1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.

1. 왼쪽 탐색 창에서 **설정**을 선택합니다.

1. **설정** 페이지에서 **인증** 탭을 선택합니다.

1. **다중 인증** 섹션에서 **구성**을 선택합니다.

1. **다중 인증 구성** 페이지의 **MFA 디바이스를 관리할 수 있는 대상**에서 **사용자가 자신의 MFA 디바이스를 추가하고 관리할 수 있음**을 선택합니다.

1. **변경 사항 저장**을 선택합니다.

**참고**  
사용자를 위한 셀프 등록을 설정한 후 사용자에게 [MFA를 위한 디바이스 등록시작하기 전 준비 사항](user-device-registration.md) 절차에 대한 링크를 보내는 것이 좋습니다. 이 주제에서는 자신의 MFA 디바이스를 설정하는 방법을 자세히 설명합니다.