기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Toolkit for Visual Studio의 다중 인증(MFA)
<a name="mfa-credentials"></a>

다중 인증(MFA)은 AWS 계정에 대한 추가 보안입니다. MFA를 사용하려면 사용자가 AWS 웹 사이트 또는 서비스에 액세스할 때 AWS 지원되는 MFA 메커니즘에서 로그인 자격 증명과 고유한 인증을 제공해야 합니다.

AWS 는 MFA 인증을 위해 가상 디바이스와 하드웨어 디바이스를 모두 지원합니다. 다음은 스마트폰 애플리케이션을 통해 활성화된 가상 MFA 디바이스의 예제입니다. MFA 디바이스 옵션에 대한 자세한 정보는 *IAM 사용 설명서*의 [AWS에서 다중 인증(MFA) 사용](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)을 참조하세요.

## 1단계: IAM 사용자에게 액세스 권한을 위임하기 위한 IAM 역할 생성
<a name="create-mfa-role"></a>

다음 절차에서는 IAM 사용자에게 권한을 할당하기 위한 역할 위임 설정 방법을 설명합니다. 역할 위임에 대한 자세한 정보는 *AWS Identity and Access Management 사용 설명서*의 [IAM 사용자에게 권한을 위임하기 위한 역할 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html)을 참조하세요.

1. [https://console.aws.amazon.com/iam](https://console.aws.amazon.com/iam)에서 IAM 콘솔로 이동하세요.

1. 탐색 창에서 **역할**을 선택한 후 **역할 생성**을 선택하세요.

1. **역할 생성** 페이지에서 **다른 AWS 계정**을 선택하세요.

1. 필요한 **계정 ID**를 입력하고 **MFA 필요** 확인란을 선택하세요.
**참고**  
12자리 계정 번호(ID)를 찾으려면 콘솔의 탐색 표시줄에서 **지원**을 선택한 후 **지원 센터**를 선택하세요.

1. **다음: 권한**을 선택합니다.

1. 기존 정책을 역할에 연결하거나 역할에 대한 새 정책을 생성하세요. 이 페이지에서 선택하는 정책에 따라 IAM 사용자가 도구 키트를 사용하여 액세스할 수 있는 AWS 서비스가 결정됩니다.

1. 정책을 연결한 후 역할에 IAM 태그를 추가하는 옵션으로 **다음: 태그**를 선택하세요. 계속하려면 **다음: 검토**를 선택하세요.

1. **검토** 페이지에서 필수 **역할 이름**(예: *toolkit-role*)을 입력하세요. **역할 설명** 옵션을 추가할 수도 있습니다.

1. **역할 생성**을 선택합니다.

1. 확인 메시지(예: “**toolkit-role** 역할이 생성됨”)가 표시되면 메시지에서 역할 이름을 선택하세요.

1. **요약** 페이지에서 복사 아이콘을 선택한 후 **역할 ARN**을 복사하여 파일에 붙여넣습니다. (이 ARN은 IAM 사용자가 역할을 위임하도록 구성할 때 필요합니다.)

## 2단계: 역할 권한을 위임하는 IAM 사용자 생성
<a name="create-mfa-user"></a>

이 단계에서는 권한이 없는 IAM 사용자를 생성하여 인라인 정책을 추가할 수 있습니다.

1. [https://console.aws.amazon.com/iam](https://console.aws.amazon.com/iam)에서 IAM 콘솔로 이동하세요.

1. 탐색 창에서 **사용자** 및 **사용자 추가**를 차례로 선택하세요.

1. **사용자 추가** 페이지에서 필수 **사용자 이름**(예: *toolkit-user*)을 입력하고 **프로그래밍 액세스** 확인란을 선택합니다.

1. **다음: 권한**, **다음: 태그**, **다음: 검토**를 선택하여 다음 페이지로 이동하세요. 사용자가 해당 역할의 권한을 위임하게 되므로 이 단계에서는 권한을 추가하지 않습니다.

1. **검토** 페이지에 **이 사용자는 권한이 없음** 메시지가 표시됩니다. **사용자 생성**을 선택합니다.

1. **성공** 페이지에서 **.csv 다운로드**를 선택하여 액세스 키 ID 및 비밀 액세스 키가 포함된 파일을 다운로드하세요. (보안 인증 정보 파일에 사용자 프로필을 정의하는 경우에는 둘 다 필요합니다.)

1. **닫기**를 선택하세요.

## 3단계: IAM 사용자가 역할을 위임할 수 있도록 허용하는 정책 추가
<a name="add-mfa-policy"></a>

 다음 절차에서는 사용자에게 역할 (및 해당 역할의 권한)을 위임하게 하는 인라인 정책을 생성합니다.

1. IAM 콘솔의 **사용자** 페이지에서 방금 생성한 IAM 사용자(예: *toolkit-user*)를 선택하세요.

1. **요약** 페이지의 **권한** 탭에서 **인라인 정책 추가**를 선택하세요.

1. **정책 생성** 페이지에서 **서비스 선택**을 선택하고 **서비스 찾기**에 **STS**를 입력한 다음 결과에서 **STS**를 선택합니다.

1. **작업**에 *Assumerole*이라는 용어를 입력하기 시작합니다. **AssumeRole** 확인란이 나타나면 해당 확인란을 선택하세요.

1. **리소스 섹션**에서 **특정 항목**이 선택되어 있는지 확인하고 **ARN 추가**를 클릭하여 액세스를 제한하세요.

1. **ARN 추가** 대화 상자의 **역할에 대한 ARN 지정**에 1단계에서 생성한 역할의 ARN을 추가하세요.

   역할의 ARN을 추가하면 해당 역할과 관련된 신뢰할 수 있는 계정 및 역할 이름이 **계정** 및 **경로가 있는 역할 이름**에 표시됩니다.

1. **추가**를 선택합니다.

1. **정책 생성** 페이지로 돌아가서 **요청 조건 지정(선택 사항)**을 선택하고 **MFA 필요** 확인란을 선택한 다음 **닫기**를 선택하여 확인합니다.

1. [**정책 검토(Review policy)**]를 선택합니다.

1. **정책 검토** 페이지에서 정책의 **이름**을 입력한 후 **정책 생성**을 선택하세요.

   **권한** 탭에는 IAM 사용자에게 직접 연결된 새 인라인 정책이 표시됩니다.

## 4단계: IAM 사용자에 대한 가상 MFA 디바이스 관리
<a name="manage-virtual-mfa"></a>

1. 스마트폰에 가상 MFA 애플리케이션을 다운로드하고 설치하세요.

    지원되는 애플리케이션 목록은 [다단계 인증](https://aws.amazon.com/iam/features/mfa/?audit=2019q1) 리소스 페이지를 참조하세요.

1. IAM 콘솔의 탐색 표시줄에서 **사용자**를 선택한 다음 역할을 위임할 사용자(이 경우 *toolkit-user*)를 선택하세요.

1. **요약** 페이지에서 **보안 인증 정보** 탭을 선택하고 **할당된 MFA 디바이스**에 대해 **관리**를 선택하세요다.

1. **MFA 디바이스 관리** 창에서 **가상 MFA 디바이스**를 선택한 후 **계속**을 선택하세요.

1. **가상 MFA 디바이스 설정** 창에서 **QR 코드 보기**를 선택한 다음 스마트폰에 설치한 가상 MFA 애플리케이션을 사용하여 코드를 스캔하세요.

1. QR 코드를 스캔한 후 가상 MFA 애플리케이션은 일회용 MFA 코드를 생성합니다. **MFA 코드 1**과 **MFA 코드 2**에 연속된 두 개의 MFA 코드를 입력하세요.

1. **Assign MFA(MFA 할당)**을 선택합니다.

1. 사용자의 **보안 인증 정보** 탭으로 돌아가서 새 **할당된 MFA 디바이스**의 ARN을 복사하세요.

   ARN에는 12자리 계정 ID가 포함되며 형식은 다음과 비슷합니다. `arn:aws:iam::123456789012:mfa/toolkit-user` 다음 단계에서 MFA 프로필을 정의할 때 이 ARN을 사용합니다.

## 5단계: MFA를 허용하는 프로필 생성
<a name="mfa-profiles"></a>

다음 절차에서는 Toolkit for Visual Studio에서 AWS 서비스에 액세스할 때 MFA를 허용하는 프로파일을 생성합니다.

만든 프로필에는 이전 단계에서 복사하여 저장한 세 가지 정보가 포함됩니다.
+ IAM 사용자의 액세스 키(액세스 키 ID 및 비밀 액세스 키)
+ IAM 사용자에게 권한을 위임하는 역할의 ARN 
+ IAM 사용자에게 할당된 가상 MFA 디바이스의 ARN 

자격 증명이 포함된 AWS 공유 AWS 자격 증명 파일 또는 SDK 스토어에서 다음 항목을 추가합니다.

```
[toolkit-user]
aws_access_key_id = AKIAIOSFODNN7EXAMPLE
aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

[mfa]
source_profile = toolkit-user
role_arn = arn:aws:iam::111111111111:role/toolkit-role
mfa_serial = arn:aws:iam::111111111111:mfa/toolkit-user
```

제공된 예제에는 두 개의 프로필이 정의되어 있습니다.
+ `[toolkit-user]` 프로필에는 2단계에서 IAM 사용자를 생성할 때 생성되어 저장된 액세스 키와 비밀 액세스 키가 포함됩니다.
+ `[mfa]` 프로필은 다중 인증이 지원되는 방식을 정의합니다. 다음과 같은 세 가지 항목이 있습니다.

  ◦ `source_profile`: 이 프로필에서 `role_arn` 설정에 지정된 역할을 위임하는 데 사용되는 보안 인증 정보가 있는 프로필을 지정합니다. 이 경우에는 `toolkit-user` 프로필입니다.

  ◦`role_arn`: 이 프로필을 사용하여 요청된 작업을 수행하는 데 사용할 IAM 역할의 Amazon 리소스 이름(ARN)을 지정합니다. 이 경우에는 1단계에서 생성한 역할의 ARN입니다.

  ◦`mfa_serial`: 사용자가 역할을 위임할 때 사용해야 하는 MFA 디바이스의 ID 또는 일련 번호를 지정합니다. 이 경우에는 3단계에서 설정한 가상 디바이스의 ARN입니다.