카테고리 없음

AWS IAM 계정 MFA 설정 정책

plli 2025. 5. 30. 17:09

다른 사람에게 AWS IAM 계정을 생성 후 전달하는 경우 MFA 설정을 권하지만 하지 않고 사용하는 경우가 많다.

그래서 MFA 설정을 약간 강제시키는 정책을 계정에 추가하여 전달한다.

 

MFA 설정 정책

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListUsers"
            ],
            "Resource": [
                "arn:aws:iam::acount_id 입력:user/"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListVirtualMFADevices"
            ],
            "Resource": [
                "arn:aws:iam::acount_id 입력:mfa/"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:EnableMFADevice",
                "iam:DeactivateMFADevice",
                "iam:ResyncMFADevice",
                "iam:ListMFADevices"
            ],
            "Resource": [
                "arn:aws:iam::*:mfa/*",
                "arn:aws:iam::*:user/${aws:username}"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:DeleteVirtualMFADevice",
                "iam:CreateVirtualMFADevice"
            ],
            "Resource": [
                "arn:aws:iam::*:mfa/*",
                "arn:aws:iam::*:user/${aws:username}"
            ]
        }
    ]
}

 

MFA 를 설정하지 않으면 서비스를 사용할 수 없다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
            # 서비스 추가
            # MFA 를 설정하지 않으면 S3 를 사용할 수 없다.
                "s3:*"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}

 

 

계정 생성

 

이 계정에 

AmazonS3FullAccess 와 위 2개 정책을 생성하여 총 3개의 정책 할당

 

IAM 계정으로 로그인을 하고 s3 서비스로 이동한다.

 

이렇게 액세스 거부가 뜬다.

 

MFA 설정을 한다.

 

 

모바일 앱을 사용하기 때문에 "인증 관리자 앱" 선택

 

 

QR 코드를 모바일 OTP 앱에 등록하고 MFA 코드1, MFA 코드2 기입

 

 

적용 완료.

 

이제 로그아웃 후 재로그인을 한다.

 

접속 후 S3 서비스로 이동

 

이렇게 S3 를 확인할 수 있다.

 

중요@@@

첫 로그인 - 보안 자격 증명 - MFA 설정 - 로그아웃 - 재로그인