기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS 관리형 Microsoft AD 암호 정책 이해
<a name="ms_ad_password_policies"></a>

AWS 관리형 Microsoft AD를 사용하면 AWS 관리형 Microsoft AD 도메인에서 관리하는 사용자 그룹에 대해 다양한 암호 및 계정 잠금 정책([세분화된 암호 정책](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/introduction-to-active-directory-administrative-center-enhancements--level-100-#fine_grained_pswd_policy_mgmt)이라고도 함)을 정의하고 할당할 수 있습니다. AWS 관리형 Microsoft AD 디렉터리를 생성하면 기본 도메인 정책이 생성되어 Active Directory에 적용됩니다. 이 정책에는 다음 설정이 포함되어 있습니다.


****  

| 정책 | 설정 | 
| --- | --- | 
| 암호 기록 강제 시행 | 24개 암호 저장 | 
| 최대 암호 수명 | 42일 \$1 | 
| 최소 암호 수명 | 1일 | 
| 최소 암호 길이 | 7자 | 
| 암호가 복잡성 요구 사항을 충족해야 함 | 활성화됨 | 
| 해독 가능한 암호화를 사용하여 암호 저장 | 비활성화됨 | 

**참고**  
\$1 최대 42일의 암호 수명에는 admin 암호가 포함됩니다.

예를 들어 중요도가 낮은 정보에만 액세스할 수 있는 직원에게 덜 엄격한 정책 설정을 할당할 수 있습니다. 정기적으로 기밀 정보에 액세스하는 고위 관리자에 대해서는 더 엄격한 설정을 적용할 수 있습니다.

다음 리소스는 Microsoft Active Directory의 세분화된 암호 정책 및 보안 정책에 대한 자세한 정보를 제공합니다.
+ [보안 정책 설정 구성](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/how-to-configure-security-policy-settings)
+ [암호 복잡성 요구 사항](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)
+ [암호 복잡성 보안 고려 사항](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements#security-considerations)

AWS 는 그룹에 구성하고 할당할 수 있는 AWS 관리형 Microsoft AD의 세분화된 암호 정책 세트를 제공합니다. 정책을 구성하려면 [Active Directory Administrative Center](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/adac/active-directory-administrative-center)와 같은 표준 Microsoft 정책 도구를 사용할 수 있습니다. Microsoft 정책 도구를 시작하려면 [AWS 관리형 Microsoft AD용 Active Directory 관리 도구 설치](ms_ad_install_ad_tools.md)을 참조하세요.

## 암호 정책 적용 방법
<a name="how_password_policies_applied"></a>

 암호 재설정 또는 변경 여부에 따라 세분화된 암호 정책이 적용되는 방식에는 차이가 있습니다. 도메인 사용자는 본인의 암호를 변경할 수 있습니다. 필요한 권한을 가진 Active Directory 관리자 또는 사용자는 [사용자 암호를 재설정](ms_ad_manage_users_groups_reset_password.md)할 수 있습니다. 자세한 정보는 다음 차트를 참조하세요.


****  

| 정책 | 암호 재설정 | 암호 변경 | 
| --- | --- | --- | 
| 암호 기록 강제 시행 | ![\[No\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/images/icon-no.png) 아니요 | ![\[Yes\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/images/icon-yes.png) 예 | 
| 최대 암호 수명 | ![\[Yes\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/images/icon-yes.png) 예 | ![\[Yes\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/images/icon-yes.png) 예 | 
| 최소 암호 수명 | ![\[No\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/images/icon-no.png) 아니요 | ![\[Yes\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/images/icon-yes.png) 예 | 
| 최소 암호 길이 | ![\[Yes\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/images/icon-yes.png) 예 | ![\[Yes\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/images/icon-yes.png) 예 | 
| 암호가 복잡성 요구 사항을 충족해야 함 | ![\[Yes\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/images/icon-yes.png) 예 | ![\[Yes\]](http://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/images/icon-yes.png) 예 | 

 이러한 차이는 보안에 영향을 미칩니다. 예를 들어 사용자의 암호가 재설정될 때마다 암호 적용 기록과 최소 암호 기간 정책은 적용되지 않습니다. 자세한 내용은 [비밀번호 기록](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/enforce-password-history#security-considerations) 및 [최소 비밀번호 사용 기간](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/minimum-password-age#security-considerations) 정책 시행과 관련된 보안 고려 사항에 대한 Microsoft 문서를 참조하세요.

## 지원되는 정책 설정
<a name="supportedpolicysettings"></a>

AWS 관리형 Microsoft AD에는 편집할 수 없는 우선 순위 값이 있는 5개의 세분화된 정책이 포함되어 있습니다. 각 정책에서 다수의 속성을 구성하여 암호 강도와 로그인 실패 시 계정 잠금 동작을 적용할 수 있습니다. 정책을 0개 이상의 Active Directory 그룹에 할당할 수 있습니다. 최종 사용자가 여러 그룹의 멤버이고 복수의 암호 정책을 할당 받은 경우 Active Directory가 가장 낮은 우선 순위 값의 정책을 적용합니다.

### AWS 사전 정의된 암호 정책
<a name="supportedpwdpolicies"></a>

다음 표에는 AWS 관리형 Microsoft AD 디렉터리에 포함된 5가지 정책과 할당된 우선 순위 값이 나와 있습니다. 자세한 내용은 [우선 순위](#precedence) 단원을 참조하십시오.


****  

| 정책 이름 | 우선 순위 | 
| --- | --- | 
| CustomerPSO-01 | 10 | 
| CustomerPSO-02 | 20 | 
| CustomerPSO-03 | 30 | 
| CustomerPSO-04 | 40 | 
| CustomerPSO-05 | 50 | 

#### 암호 정책 속성
<a name="passwordpolicyprop"></a>

비즈니스 요구 사항을 충족하는 규정 준수 표준을 준수하기 위해 암호 정책에서 다음 속성을 편집할 수 있습니다.
+ 정책 이름
+ [암호 기록 강제 시행](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/enforce-password-history)
+ [최소 암호 길이](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-length)
+ [최소 암호 수명](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/minimum-password-age)
+ [최대 암호 수명](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/maximum-password-age)
+ [해독 가능한 암호화를 사용하여 암호 저장](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/store-passwords-using-reversible-encryption)
+ [암호가 복잡성 요구 사항을 충족해야 함](https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements)

이러한 정책에서 우선 순위 값을 수정할 수 없습니다. 이러한 설정이 암호 적용에 미치는 영향에 대한 자세한 내용은 *Microsoft TechNet* 웹 사이트의 [AD DS: 세분화된 암호 정책을](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx) 참조하세요. 이러한 정책에 대한 일반 정보는 *Microsoft TechNet* 웹 사이트의 [Password policy](https://technet.microsoft.com/en-us/library/hh994572(v=ws.11).aspx)를 참조하세요.

### 계정 잠금 정책
<a name="supportedlockoutpolicies"></a>

암호 정책에서 다음 속성을 수정하여 로그인 실패 시 Active Directory가 계정을 잠글지 여부 및 방법을 지정할 수도 있습니다.
+ 로그인 시도 실패 허용 횟수
+ 계정 잠금 기간
+ 일정 기간 후 로그인 시도 실패 횟수 재설정

이러한 정책에 대한 일반 정보는 *Microsoft TechNet* 웹 사이트의 [계정 잠금 정책](https://technet.microsoft.com/en-us/library/hh994563(v=ws.11).aspx)을 참조하세요.

### 우선 순위
<a name="precedence"></a>

우선 순위 값이 낮은 정책일수록 우선 순위가 높아집니다. Active Directory 보안 그룹에 암호 정책을 할당합니다. 단일 보안 그룹에 단일 정책을 적용해야 하지만 단일 사용자가 복수의 암호 정책을 할당 받을 수 있습니다. 예를 들어 `jsmith`가 HR 그룹의 멤버이자 MANAGERS 그룹의 멤버라고 가정합시다. **CustomerPSO-05**(우선 순위 값 50)를 HR 그룹에 할당하고 **CustomerPSO-04**(우선 순위 값 40)를 MANAGERS에 할당한 경우, **CustomerPSO-04**의 우선 순위가 더 높으므로 Active Directory가 이 정책을 `jsmith`에 적용합니다.

특정 사용자 또는 그룹에 여러 정책을 할당하는 경우 Active Directory는 다음과 같이 적용할 정책을 결정합니다.

1. 사용자 객체에 직접 할당한 정책이 적용됩니다.

1. 사용자 객체에 직접 할당된 정책이 없는 경우 그룹 멤버십으로 인해 사용자에게 할당된 모든 정책 중 우선 순위 값이 가장 낮은 정책이 적용됩니다.

자세한 내용은 Microsoft *TechNet* 웹 사이트의 [AD DS: 세분화된 암호 정책](https://technet.microsoft.com/en-us/library/cc770394(v=ws.10).aspx)을 참조하세요.

**Topics**
+ [암호 정책 적용 방법](#how_password_policies_applied)
+ [지원되는 정책 설정](#supportedpolicysettings)
+ [AWS 관리형 Microsoft AD 사용자에게 암호 정책 할당](assignpasswordpolicies.md)
+ [AWS 관리형 Microsoft AD 암호 정책을 관리할 수 있는 사용자 위임](delegatepasswordpolicies.md)

**관련 AWS 보안 블로그 기사**
+ [AWS 관리형 Microsoft AD Directory Service 용를 사용하여 보안 표준을 충족하는 데 도움이 되도록 더욱 강력한 암호 정책을 구성하는 방법](https://aws.amazon.com/blogs/security/how-to-configure-even-stronger-password-policies-to-help-meet-your-security-standards-by-using-aws-directory-service-for-microsoft-active-directory/)

# AWS 관리형 Microsoft AD 사용자에게 암호 정책 할당
<a name="assignpasswordpolicies"></a>

**AWS AS Delegated Fine Grained Password Policy Administrators(위임 세분화된 암호 정책 관리자)** 보안 그룹의 멤버인 사용자 계정은 다음 절차를 사용하여 사용자 및 보안 그룹에 정책을 할당할 수 있습니다.

**사용자에게 암호 정책을 할당하려면**

1.  AWS Managed Microsoft AD 도메인에 조인한 모든 관리형 EC2 인스턴스에서 [Active Directory 관리 센터(ADAC)](https://technet.microsoft.com/en-us/library/dd560651.aspx)를 시작합니다.

1. [**Tree View**]로 전환하여 [**System\$1Password Settings Container**]로 이동합니다.

1. 편집하려는 세분화된 정책을 두 번 클릭합니다. [**Add**]를 클릭하여 정책 속성을 편집하고 사용자 또는 보안 그룹을 정책에 추가합니다. AWS Managed Microsoft AD에서 제공하는 기본 세분화 정책에 관한 자세한 내용은 [AWS 사전 정의된 암호 정책](ms_ad_password_policies.md#supportedpwdpolicies) 단원을 참조하세요.

1. 암호 정책이 적용되었는지 확인하려면 다음 PowerShell 명령을 실행합니다.

   ```
   [Get-ADUserResultantPasswordPolicy](https://docs.microsoft.com/en-us/powershell/module/activedirectory/get-aduserresultantpasswordpolicy?view=windowsserver2022-ps) -Identity 'username'
   ```

**참고**  
결과가 정확하지 않을 수 있으므로 `net user` 명령을 사용하지 마세요.

 AWS 관리형 Microsoft AD 디렉터리에서 암호 정책 5개를 구성하지 않으면 Active Directory는 기본 도메인 그룹 정책을 사용합니다. **암호 설정 컨테이너** 사용에 대한 자세한 내용은 이 [Microsoft 블로그 게시물](https://blogs.technet.microsoft.com/canitpro/2013/05/29/step-by-step-enabling-and-using-fine-grained-password-policies-in-ad/)을 참조하세요.

# AWS 관리형 Microsoft AD 암호 정책을 관리할 수 있는 사용자 위임
<a name="delegatepasswordpolicies"></a>

위임된 세분화된 암호 정책 관리자 보안 그룹에 계정을 추가하여 AWS 관리형 Microsoft AD에서 생성한 특정 사용자 계정에 암호 정책을 관리할 수 있는 권한을 위임할 수 있습니다. **AWS ** 이 그룹의 멤버가 된 계정에는 [이전](ms_ad_password_policies.md#supportedpwdpolicies)에 나열된 모든 암호 정책을 편집 및 구성할 수 있는 권한이 부여됩니다.

**암호 정책을 관리할 수 있는 권한을 위임하려면**

1.  AWS Managed Microsoft AD 도메인에 조인한 모든 관리형 EC2 인스턴스에서 [Active Directory 관리 센터(ADAC)](https://technet.microsoft.com/en-us/library/dd560651.aspx)를 시작합니다.

1. **트리 보기**로 전환하여 **AWS Delegated Groups(위임 그룹)** OU로 이동합니다. 이 OU에 대한 자세한 내용은 [AWS 관리형 Microsoft AD로 생성되는 항목](ms_ad_getting_started_what_gets_created.md)를 참조하세요.

1. **AWS Delegated Fine Grained Password Policy Administrators(위임 세분화된 암호 정책 관리자)** 사용자 그룹을 찾습니다. 도메인의 사용자 또는 그룹을 이 그룹에 추가합니다.