IAM에서 다중 MFA 디바이스 지원 문제

최근 AWS의 다중 MFA 지원에서 발생하는 문제는 IAM 사용자가 장기 액세스 키 자격 증명을 보유하고, MFA를 추가하는 특권을 가지고 있지만 실제로 사용하지 않았고, MFA를 추가한 후 액세스 특권이 증가하는 경우에 발생했습니다. 이러한 조건에서 액세스 키와 비밀 키만 보유하는 것은 자격 증명과 구성된 MFA를 모두 보유하는 것과 동일했습니다. 이 문제는 새로운 다중 MFA 기능과 IAM 사용자가 MFA를 추가하기 전에 제한된 액세스로 MFA 장치를 자체 관리하는 것의 조합에서 발생했습니다. 이 문제는 AWS Management Console 기반 액세스 또는 연합된 주체에 영향을 미치지 않았습니다. 2023년 4월 21일부터 이 문제는 IAM 사용자가 기존 MFA를 보유하고 있는 경우, sts:GetSessionToken을 통해 얻은 임시 자격 증명을 사용하여 액세스 키와 비밀 키 자격 증명을 사용하여 MFA 장치를 관리하도록 요구하는 방식으로 해결되었습니다. AWS는 영향을 받는 고객에게 통보하고 MFA 구성의 정확성을 확인할 것을 권장했습니다. 이 문제는 MWR Cybersec의 연구원들이 확인하고 책임감 있게 공개했습니다.