[AWS] IAM 정책: 사용자 보호를 위한 비밀번호 정책과 MFA 설정

AWS IAM 정책 중에서도 비밀번호 정책(PW Policy)과 다중 인증(Multi-Factor Authentication, MFA)에 대해 심도 있게 알아보겠습니다. IAM 정책은 AWS 리소스에 대한 접근 권한을 세부적으로 제어할 수 있는 강력한 도구입니다. 특히, 비밀번호 정책과 MFA 설정은 계정 보안을 강화하는 데 중요한 역할을 합니다. 

---

비밀번호 정책(PW Policy)

비밀번호 정책은 IAM 사용자와 그룹이 손상되지 않도록 보호하는 중요한 보안 설정입니다. 강력한 비밀번호 정책을 정의함으로써 계정 보안을 강화할 수 있습니다.

비밀번호 정책 정의

비밀번호 정책을 정의하면 IAM 사용자들이 사용하는 비밀번호의 복잡성과 변경 주기를 관리할 수 있습니다. 이는 계정 보안을 강화하는 데 필수적입니다.

비밀번호 강도 설정

• 최소 길이 설정: 비밀번호의 최소 길이를 설정하여 단순한 비밀번호 사용을 방지합니다.
• 특수 문자 유형 요구: 비밀번호에 특수 문자를 포함하도록 요구하여 복잡성을 높입니다.

예시: 비밀번호 최소 길이를 12자로 설정대문자, 소문자, 숫자, 특수 문자를 모두 포함하도록 요구

비밀번호 정책 적용

• 비밀번호 허용 여부 설정: IAM 사용자들이 비밀번호를 사용하여 AWS 콘솔에 로그인할 수 있는지 여부를 설정합니다.
• 비밀번호 만료 설정: 일정 기간 후에 비밀번호를 변경하도록 요구하여 비밀번호의 유효성을 유지합니다.

예시: 비밀번호 만료 주기를 90일로 설정하여 정기적으로 비밀번호를 변경하도록 강제

---

다중 인증(MFA)

IAM - 다중 인증

 

다중 인증(Multi-Factor Authentication, MFA)은 사용자가 알고 있는 비밀번호와 소유한 보안 장치를 결합하여 계정 보안을 강화하는 방법입니다. MFA를 통해 비밀번호가 유출되더라도 추가적인 인증 절차를 거쳐야 계정에 접근할 수 있으므로 보안이 크게 향상됩니다.

AWS MFA의 이해

MFA의 구성 요소

• 지식 요소(Knowledge Factor): 사용자가 알고 있는 정보, 예를 들어 비밀번호.
• 소유 요소(Ownership Factor): 사용자가 소유한 장치, 예를 들어 MFA 토큰.

MFA의 동작 방식

• 사용자가 AWS 콘솔에 로그인할 때, 비밀번호와 함께 MFA 장치에서 생성된 일회용 코드를 입력해야 합니다.
• 예를 들어, Alice는 자신의 비밀번호와 MFA 생성 토큰을 사용하여 로그인할 수 있습니다.

MFA 이점: 비밀번호를 도난당하거나, 해킹당하여 비밀번호를 잊어버린 경우에도, 해커가 앨리스의 물리적 장치도 확보해야 하므로 계정이 손상되지 않는다는 것입니다.

---

MFA 장치 종류

AWS는 다양한 종류의 MFA 장치를 지원하여 사용자가 자신의 보안 요구사항에 맞는 장치를 선택할 수 있도록 합니다.

• 가상 MFA 장치(Virtual MFA Devices)
  • 예시: Google Authenticator, Authy
  • 설명: 스마트폰 앱을 사용하여 MFA 코드를 생성합니다.
• 유니버셜 세컨드 펙터(Universal 2nd Factor, U2F) 보안 키 
  • 예시: YubiKey
  • 설명: 물리적인 보안 키를 사용하여 MFA 인증을 수행합니다.
  • 특징: 단일 보안 키로 여러 루트 및 IAM 사용자를 지원합니다.

• 하드웨어 MFA 장치(Hardware MFA Devices)
  • 예시: Gemalto의 하드웨어 보안 토큰, SurePassID의 보안 토큰
  • 설명: 물리적인 장치를 사용하여 MFA 인증을 수행합니다.
  • 특징: 특히 보안이 중요한 환경(AWS GovCloud 등)에서 유용하게 사용됩니다.

---

MFA 설정 방법

AWS 콘솔에서 MFA를 설정하는 방법을 단계별로 알아보겠습니다.

• AWS 콘솔에 로그인한 후, IAM 서비스를 선택후, 계정 설정 탭으로 이동합니다.
• Quick Links에서 보안 자격 증명(Security credentials) 탭으로 이동

• 상단의 MFA 할당 버튼을 클릭하거나, 멀티 팩터 인증(MFA) 부분에서 MFA 디바이스 할당 버튼을 클릭합니다.

MFA 장치 유형 선택

• 다중 인증(MFA) 장치 관리(Set up MFA device) 버튼을 클릭합니다.
• 가상 MFA 장치(Virtual MFA device), U2F 보안 키, 또는 하드웨어 MFA 장치(Hardware MFA device) 중 하나를 선택합니다.
• 예를 들어, 가상 MFA 장치를 선택하고 계속(Continue) 버튼을 클릭합니다.

MFA 장치 설정

• 스마트폰에 MFA 앱(Google Authenticator, Authy 등)을 설치한 후, 앱에서 제공하는 QR 코드를 스캔합니다.
• 생성된 MFA 코드를 두 번 입력하여 설정을 완료합니다.

• MFA 등록이 완료되면, 사용자 계정은 비밀번호와 MFA 코드를 함께 사용하여 로그인할 수 있습니다.

예시 이미지 입니다.

---

비밀번호 정책(PW Policy)과 다중 인증(MFA) 설정은 AWS IAM에서 사용자와 그룹을 보호하는 데 핵심적인 역할을 합니다. 강력한 비밀번호 정책을 정의하고, MFA를 필수 또는 권장 설정함으로써 계정 보안을 크게 강화할 수 있습니다.

주요 포인트

• 비밀번호 정책 정의: 최소 길이 설정과 특수 문자 요구를 통해 강력한 비밀번호를 사용하도록 합니다.
• 비밀번호 만료 설정: 일정 기간 후 비밀번호를 변경하도록 하여 보안을 유지합니다.
• MFA 설정: 비밀번호와 추가 인증 요소를 결합하여 계정 접근의 보안을 강화합니다.
• MFA 장치 선택: 가상 MFA 장치, U2F 보안 키, 하드웨어 MFA 장치 등 다양한 MFA 장치를 선택하여 보안을 강화합니다.

Tip: 보안을 최우선으로 고려하여 비밀번호 정책과 MFA 설정을 주기적으로 검토하고 업데이트하세요.
특히, 중요한 계정(예: 루트 계정)에는 반드시 MFA를 설정하여 추가적인 보호를 받으세요.

---

참고 자료

• AWS 공식 문서 - IAM 사용자 및 그룹: IAM User Guide
• AWS 공식 문서 - IAM 정책: IAM Policies
• AWS 공식 문서 - 다중 인증(MFA): Managing MFA Devices
• AWS 공식 문서 - 비밀번호 정책: IAM Password Policy