AWS 계정의 보안 인증 보고서 가져오기 - AWS Identity and Access Management
필요한 권한보고서 형식 이해자격 증명 보고서 가져오기(콘솔)자격 증명 보고서 가져오기(AWS CLI)자격 증명 보고서 가져오기(AWS API)

AWS 계정의 보안 인증 보고서 가져오기

계정의 모든 사용자와 암호, 액세스 키, MFA 디바이스 등 이들의 자격 증명 상태를 나열하는 자격 증명 보고서를 생성하고 다운로드할 수 있습니다. AWS Management Console, AWS SDK명령줄 도구 또는 IAM API에서 자격 증명 보고서를 가져올 수 있습니다.

자격 증명 보고서를 사용하면 감사 및 규정 준수에 도움이 됩니다. 이 보고서를 통해 암호, 액세스 키 업데이트 등 보안 인증 수명 주기 요구 사항이 어떤 영향을 주는지 감사할 수 있습니다. 외부 감사자에게 이 보고서를 제공하거나 보고서를 직접 다운로드할 권한을 감사자에게 부여할 수 있습니다.

최소 네 시간에 한 번씩 자격 증명 보고서를 생성할 수 있습니다. 보고서를 요청하면 IAM은 먼저 해당 AWS 계정의 보고서가 4시간 이내에 생성되었는지 여부를 확인합니다. 네 시간 이내에 생성된 경우 최신 보고서를 다운로드하고, 계정의 최신 보고서가 생성된지 네 시간이 넘었거나 해당 계정에 대한 이전 보고서가 없는 경우 IAM이 새 보고서를 생성하고 다운로드합니다.

필요한 권한

보고서를 생성하고 다운로드하려면 다음 권한이 필요합니다.

  • 자격 증명 보고서를 생성하려면 iam:GenerateCredentialReport

  • 보고서를 다운로드하려면 iam:GetCredentialReport

보고서 형식 이해

자격 증명 보고서는 CSV(쉼표로 구분된 값) 파일 형식으로 되어 있습니다. 공통 스프레드시트 소프트웨어로 CSV 파일을 열어 분석을 수행하거나 CSV 파일을 프로그래밍 방식으로 사용하고 사용자 지정 분석을 수행하는 애플리케이션을 구축할 수 있습니다.

CSV 파일에는 다음 열이 포함되어 있습니다:

사용자

사용자의 표시 이름입니다.

arn

사용자의 Amazon 리소스 이름(ARN)입니다. ARN에 대한 자세한 내용은 IAM ARN 섹션을 참조하세요.

user_creation_time

사용자가 생성된 날짜 및 시간(ISO 8601 날짜-시간 형식)입니다.

password_enabled

사용자에게 암호가 있는 경우 이 값은 TRUE입니다. 그렇지 않으면 FALSE입니다. AWS 계정 루트 사용자 값은 항상 not_supported입니다.

password_last_used

AWS 웹 사이트에 로그인하는 데 AWS 계정 루트 사용자 또는 사용자의 암호가 마지막으로 사용된 날짜 및 시간(ISO 8601 날짜-시간 형식)입니다. 사용자의 마지막 로그인 시간을 캡처하는 AWS 웹 사이트는 AWS Management Console, AWS 토론 포럼, AWS Marketplace입니다. 암호가 5분 내에 두 번 이상 사용된 경우, 첫 번째 사용만 이 필드에 기록됩니다.

  • 다음과 같은 경우 이 필드의 값은 no_information입니다.

    • 사용자의 암호가 사용된 적이 없는 경우.

    • 암호와 관련된 로그인 데이터가 없는 경우(예: IAM에서 2014년 10월 20일에 이 정보를 추적하기 시작한 이후로 사용자의 암호가 사용되지 않은 경우)

  • 사용자에게 암호가 없는 경우, 이 필드의 값은 N/A(해당 사항 없음)입니다.

중요

서비스 문제로 인해 암호가 마지막으로 사용된 데이터에 2018년 5월 3일 22:50 PDT ~ 2018년 5월 23일 14:08 PDT 사이의 암호 사용이 포함되어 있지 않습니다. 이는 IAM 콘솔에 표시되는 마지막 로그인 날짜, IAM 자격 증명 보고서의 암호가 마지막으로 사용된 날짜와 GetUser API 연산에 의해 반환되는 암호가 마지막으로 사용된 날짜에 영향을 줍니다. 사용자가 해당 기간에 로그인한 경우 반환되는 암호가 마지막으로 사용된 날짜는 사용자가 2018년 5월 3일 이전에 마지막으로 로그인한 날짜입니다. 사용자가 2018년 5월 23일 14:08 PDT 이후에 로그인한 경우 반환되는 암호가 마지막으로 사용된 날짜는 정확합니다.

마지막으로 사용된 암호 정보를 사용하여 사용되지 않는 자격 증명을 식별하고 삭제하는 경우(예: 지난 90일 동안 AWS에 로그인하지 않은 사용자 삭제) 2018년 5월 23일 이후의 날짜를 포함하도록 평가 기간을 조정하는 것이 좋습니다. 또는 사용자가 액세스 키를 사용하여 AWS에 프로그래밍 방식으로 액세스하는 경우 액세스 키가 마지막으로 사용된 정보가 모든 날짜에 대해 정확하므로 해당 정보를 참조할 수 있습니다.

password_last_changed

사용자의 암호가 마지막으로 설정된 날짜 및 시간(ISO 8601 날짜-시간 형식)입니다. 사용자에게 암호가 없는 경우, 이 필드의 값은 N/A(해당 사항 없음)입니다. AWS 계정(루트)의 값은 항상 not_supported입니다.

password_next_rotation

계정에 암호 교체를 요구하는 암호 정책이 있는 경우, 사용자가 새 암호를 설정해야 할 때 이 필드에 날짜 및 시간(ISO 8601 날짜-시간 형식)이 포함됩니다. AWS 계정(루트)의 값은 항상 not_supported입니다.

mfa_active

사용자에 대해 멀티 팩터 인증(MFA) 디바이스를 사용하도록 설정된 경우, 이 값은 TRUE입니다. 그렇지 않은 경우 이 값은 FALSE입니다.

access_key_1_active

사용자에게 액세스 키가 있고 액세스 키의 상태가 Active이면, 이 값은 TRUE입니다. 그렇지 않은 경우 이 값은 FALSE입니다.

access_key_1_last_rotated

사용자의 액세스 키가 생성되었거나 마지막으로 변경된 날짜 및 시간(ISO 8601 날짜-시간 형식)입니다. 사용자에게 활성 상태의 액세스 키가 없는 경우, 이 필드의 값은 N/A(해당 사항 없음)입니다.

access_key_1_last_used_date

사용자의 액세스 키를 AWS API 요청 서명에 마지막으로 사용한 날짜 및 시간(ISO 8601 날짜-시간 형식)입니다. 액세스 키가 15분 내에 두 번 이상 사용된 경우, 첫 번째 사용만 이 필드에 기록됩니다.

다음과 같은 경우 이 필드의 값은 N/A(해당 사항 없음)입니다.

  • 사용자에게 액세스 키가 없는 경우.

  • 액세스 키가 사용된 적이 없는 경우.

  • IAM에서 2015년 4월 22일에 이 정보를 추적하기 시작한 이후로 액세스 키가 사용되지 않은 경우

access_key_1_last_used_region

액세스 키가 마지막으로 사용된 AWS 리전입니다. 액세스 키가 15분 내에 두 번 이상 사용된 경우, 첫 번째 사용만 이 필드에 기록됩니다.

다음과 같은 경우 이 필드의 값은 N/A(해당 사항 없음)입니다.

  • 사용자에게 액세스 키가 없는 경우.

  • 액세스 키가 사용된 적이 없는 경우.

  • IAM에서 2015년 4월 22일에 이 정보의 추적을 시작하기 전에 액세스 키가 마지막으로 사용된 경우

  • 마지막으로 사용한 서비스가 리전 전용이 아닌 경우(예: Amazon S3)

access_key_1_last_used_service

액세스 키로 가장 최근에 액세스한 AWS 제품입니다. 이 필드의 값은 서비스의 네임스페이스를 사용합니다. 예를 들어 Amazon S3의 경우 s3, Amazon EC2의 경우 ec2를 사용합니다. 액세스 키가 15분 내에 두 번 이상 사용된 경우, 첫 번째 사용만 이 필드에 기록됩니다.

다음과 같은 경우 이 필드의 값은 N/A(해당 사항 없음)입니다.

  • 사용자에게 액세스 키가 없는 경우.

  • 액세스 키가 사용된 적이 없는 경우.

  • IAM에서 2015년 4월 22일에 이 정보의 추적을 시작하기 전에 액세스 키가 마지막으로 사용된 경우

access_key_2_active

사용자에게 두 번째 액세스 키가 있고 두 번째 키의 상태가 Active이면, 이 값은 TRUE입니다. 그렇지 않은 경우 이 값은 FALSE입니다.

참고

사용자는 쉽게 교체할 수 있도록 최대 2개의 액세스 키를 보유할 수 있습니다. 이 경우 키를 먼저 업데이트한 다음 이전 키를 삭제하면 됩니다. 액세스 키 업데이트에 대한 자세한 내용은 액세스 키 업데이트 섹션을 참조하세요.

access_key_2_last_rotated

사용자의 두 번째 액세스 키가 생성되었거나 마지막으로 변경된 날짜 및 시간(ISO 8601 날짜-시간 형식)입니다. 사용자에게 활성 상태의 두 번째 액세스 키가 있는 경우, 이 필드의 값은 N/A(해당 사항 없음)입니다.

access_key_2_last_used_date

AWS API 요청에 서명하는 데 사용자의 두 번째 액세스 키가 마지막으로 사용된 날짜 및 시간(ISO 8601 날짜-시간 형식)입니다. 액세스 키가 15분 내에 두 번 이상 사용된 경우, 첫 번째 사용만 이 필드에 기록됩니다.

다음과 같은 경우 이 필드의 값은 N/A(해당 사항 없음)입니다.

  • 사용자에게 두 번째 액세스 키가 없는 경우.

  • 사용자의 두 번째 액세스 키가 사용된 적이 없는 경우.

  • IAM에서 2015년 4월 22일에 이 정보의 추적을 시작하기 전에 사용자의 두 번째 액세스 키가 마지막으로 사용된 경우

access_key_2_last_used_region

사용자의 두 번째 액세스 키가 마지막으로 사용된 AWS 리전입니다. 액세스 키가 15분 내에 두 번 이상 사용된 경우, 첫 번째 사용만 이 필드에 기록됩니다. 다음과 같은 경우 이 필드의 값은 N/A(해당 사항 없음)입니다.

  • 사용자에게 두 번째 액세스 키가 없는 경우.

  • 사용자의 두 번째 액세스 키가 사용된 적이 없는 경우.

  • IAM에서 2015년 4월 22일에 이 정보의 추적을 시작하기 전에 사용자의 두 번째 액세스 키가 마지막으로 사용된 경우

  • 마지막으로 사용한 서비스가 리전 전용이 아닌 경우(예: Amazon S3)

access_key_2_last_used_service

사용자의 두 번째 액세스 키로 가장 최근에 액세스한 AWS 서비스입니다. 이 필드의 값은 서비스의 네임스페이스를 사용합니다. 예를 들어 Amazon S3의 경우 s3, Amazon EC2의 경우 ec2를 사용합니다. 액세스 키가 15분 내에 두 번 이상 사용된 경우, 첫 번째 사용만 이 필드에 기록됩니다. 다음과 같은 경우 이 필드의 값은 N/A(해당 사항 없음)입니다.

  • 사용자에게 두 번째 액세스 키가 없는 경우.

  • 사용자의 두 번째 액세스 키가 사용된 적이 없는 경우.

  • IAM에서 2015년 4월 22일에 이 정보의 추적을 시작하기 전에 사용자의 두 번째 액세스 키가 마지막으로 사용된 경우

cert_1_active

사용자에게 X.509 서명 인증서가 있고 해당 인증서의 상태가 Active인 경우, 이 값은 TRUE입니다. 그렇지 않은 경우 이 값은 FALSE입니다.

cert_1_last_rotated

사용자의 서명 인증서가 생성되었거나 마지막으로 변경된 날짜 및 시간(ISO 8601 날짜-시간 형식)입니다. 사용자에게 활성 상태의 서명 인증서가 있는 경우, 이 필드의 값은 N/A(해당 사항 없음)입니다.

cert_2_active

사용자에게 두 번째 X.509 서명 인증서가 있고 해당 인증서의 상태가 Active인 경우, 이 값은 TRUE입니다. 그렇지 않은 경우 이 값은 FALSE입니다.

참고

사용자는 인증서 교체가 쉽도록 최대 두 개의 X.509 서명 인증서를 보유할 수 있습니다.

cert_2_last_rotated

사용자의 두 번째 서명 인증서가 생성되었거나 마지막으로 변경된 날짜 및 시간(ISO 8601 날짜-시간 형식)입니다. 사용자에게 활성 상태의 두 번째 서명 인증서가 있는 경우, 이 필드의 값은 N/A(해당 사항 없음)입니다.

자격 증명 보고서 가져오기(콘솔)

AWS Management Console을 사용하여 자격 증명 보고서를 CSV(쉼표로 구분된 값) 파일로 다운로드할 수 있습니다.

자격 증명 보고서를 다운로드하려면(콘솔)

  1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 자격 증명 보고서를 선택합니다.

  3. 보고서 다운로드를 선택합니다.

자격 증명 보고서 가져오기(AWS CLI)

자격 증명 보고서를 다운로드하려면(AWS CLI)

  1. 자격 증명 보고서를 생성합니다. AWS에는 단일 보고서가 저장됩니다. 보고서가 있는 경우 자격 증명 보고서를 생성하면 이전 보고서를 덮어씁니다. aws iam generate-credential-report

  2. 마지막으로 생성된 보고서를 봅니다. aws iam get-credential-report

자격 증명 보고서 가져오기(AWS API)

자격 증명 보고서를 다운로드하려면(AWS API)

  1. 자격 증명 보고서를 생성합니다. AWS에는 단일 보고서가 저장됩니다. 보고서가 있는 경우 자격 증명 보고서를 생성하면 이전 보고서를 덮어씁니다. GenerateCredentialReport

  2. 마지막으로 생성된 보고서를 봅니다. GetCredentialReport