IAM Policy를 생성해, IAM User에게 MFA 설정 권한 부여하기

IAM Policy를 생성해, IAM User에게 MFA 설정 권한을 부여하는 방법을 정리해 봤습니다.
2023.12.09

안녕하세요 클래스메소드 김재욱(Kim Jaewook) 입니다. 이번에는 IAM Policy를 생성해, IAM User에게 MFA 설정 권한을 부여하는 방법을 정리해 봤습니다.

사전 준비

먼저 IAM User를 생성할 필요가 있습니다.

IAM User를 생성하는 방법에 대해서는 아래 블로그를 참고해 주세요.

IAM User를 생성했다면, 상기 이미지와 같이 IAM User로 로그인 할 수 있어야 합니다.

현재 IAM User에게는 아무런 권한이 없기 때문에 MFA를 설정하려고 하면, 액세스가 거부되었다는 메시지가 표시됩니다.

※ 어드민 권한을 주었다면, MFA 설정이 가능하지만 IAM User에게 어드민 권한을 주는 것은 보안상 문제가 될 수 있으므로, Policy를 만들어 특정 권한만을 할당하는 것이 바람직합니다.

IAM Policy 생성

먼저 IAM 콘솔 화면으로 들어옵니다.

  • 「정책」을 클릭합니다.
  • 「정책 생성」을 클릭합니다.

  • 「JSON」을 클릭해, 정책을 편집합니다.
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListUsers"
            ],
            "Resource": [
                "arn:aws:iam::Account-ID:user/"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListVirtualMFADevices"
            ],
            "Resource": [
                "arn:aws:iam::Account-ID:mfa/"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:EnableMFADevice",
                "iam:DeactivateMFADevice",
                "iam:ResyncMFADevice",
                "iam:ListMFADevices"
            ],
            "Resource": [
                "arn:aws:iam::*:mfa/*",
                "arn:aws:iam::*:user/${aws:username}"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:DeleteVirtualMFADevice",
                "iam:CreateVirtualMFADevice"
            ],
            "Resource": [
                "arn:aws:iam::*:mfa/*",
                "arn:aws:iam::*:user/${aws:username}"
            ]
        }
    ]
}

상기 코드를 입력합니다.

여기서「Account-ID」에는 AWS 계정 ID를 입력합니다.

  • 「정책 이름」을 입력합니다.

상기 정책 이름을 입력을 끝으로 IAM Policy 생성을 끝마칩니다.

IAM User에 IAM Policy 추가

IAM Policy를 추가할, IAM User로 들어와서「권한 추가」를 클릭합니다.

  • 「직접 정책 연결」을 선택합니다.
  • 조금 전 생성한 IAM Policy를 선택합니다.
  • 「다음」을 클릭합니다.

  • 「권한」추가를 클릭합니다.

MFA 설정 확인

IAM User로 접속한 다음,「보안 자격 증명」을 클릭합니다.

  • 「MFA 디바이스 할당」을 클릭합니다.

  • 디바이스 이름을 입력합니다.
  • 인증할 디바이스를 선택합니다.

마지막으로 디바이스를 인증합니다.

디바이스 인증이 끝나고, IAM User를 확인해 보면, MFA가 성공적으로 설정된 것을 확인할 수 있습니다.

다시 로그인해 보면, 상기와 같이 MFA 코드를 인증하라는 메시지가 출력되며, MFA 코드를 입력하면 로그인에 성공합니다.

본 블로그 게시글을 보시고 문의 사항이 있으신 분들은 kim.jaewook@classmethod.jp 로 연락 주시면 회신 드릴 수 있도록 하겠습니다 !