IAM Access Analyzer 결과 작동 방식 - AWS Identity and Access Management

IAM Access Analyzer 결과 작동 방식

이 항목에서는 IAM Access Analyzer에서 AWS 리소스에 대한 액세스를 모니터링하는 방법을 익히는 데 도움이 되도록 IAM Access Analyzer에서 사용되는 개념과 용어에 대해 설명합니다.

외부 액세스

외부 액세스 분석기의 경우, AWS Identity and Access Management Access Analyzer는 IAM 정책을 동등한 논리적 명령문으로 변환하는 Zelkova를 기반으로 구축되었으며 문제에 대해 범용 및 특수 논리 해석기(만족성 모듈로 이론)를 실행합니다. IAM Access Analyzer는 정책의 내용에 따라 정책이 허용하는 행동 클래스를 특성화하기 위해 점점 더 구체적인 쿼리가 있는 Zelkova를 정책에 반복적으로 적용합니다. 만족성 모듈로 이론에 대한 자세한 내용은 만족성 모듈로 이론을 참조하세요.

외부 액세스 결과의 경우, IAM Access Analyzer는 외부 엔터티가 신뢰 영역 내의 리소스에 액세스했는지를 확인하기 위해 액세스 로그를 검사하지 않습니다. 외부 엔터티가 리소스에 액세스하지 않은 경우에도 리소스 기반 정책에서 리소스에 대한 액세스를 허용할 때는 결과를 생성합니다. IAM Access Analyzer는 또한 결정을 내릴 때 외부 계정의 상태를 고려하지 않습니다. 즉, 계정 111122223333이 Amazon S3 버킷에 액세스할 수 있음을 나타내는 경우에는 사용자 상태, 역할, 서비스 제어 정책(SCP) 및 해당 계정의 기타 관련 구성에 대해서는 알 수 없습니다. 이것은 고객 개인 정보 보호를 위한 것입니다. IAM Access Analyzer는 누가 다른 계정을 소유하고 있는지 고려하지 않습니다. 또한 이것은 보안용입니다. IAM Access Analyzer 고객이 계정을 소유하지 않은 경우, 계정에 현재 리소스에 액세스할 수 있는 보안 주체가 없더라도 외부 엔터티가 리소스에 대한 액세스 권한을 획득할 수 있음을 아는 것이 중요합니다.

IAM Access Analyzer에서는 외부 사용자가 직접 영향을 줄 수 없거나 권한 부여에 영향력을 행사하는 특정 IAM 조건 키만 고려합니다. IAM Access Analyzer에서 고려하는 조건 키의 예는 IAM Access Analyzer 필터 키를 참조하세요.

현재 IAM Access Analyzer에서는 AWS 서비스 보안 주체 또는 내부 서비스 계정에서 결과를 보고하지 않습니다. 드물지만 IAM Access Analyzer에서 정책 문이 외부 엔터티에 대한 액세스 권한을 부여하는지 여부를 완전히 확인할 수 없는 경우에는 거짓 긍정 결과를 선언하는 오류가 발생합니다. IAM Access Analyzer는 계정의 리소스 공유를 포괄적으로 볼 수 있도록 설계되었으며 거짓 부정을 최소화하기 위해 노력합니다.

미사용 액세스

리소스에 대한 외부 액세스 조사 결과를 생성하는 분석기를 이미 생성했더라도 역할에 미사용 액세스 조사 결과에 대한 분석기를 만들어야 합니다. IAM Access Analyzer는 분석기를 생성한 후 액세스 활동을 검토하여 미사용 액세스를 식별합니다. IAM Access Analyzer는 AWS 조직 및 계정의 모든 역할, 사용자 액세스 키, 사용자 암호에 대해 마지막으로 액세스한 정보를 검토하여 미사용 액세스를 식별하는 데 도움을 줍니다. 활성 IAM 역할 및 사용자의 경우 IAM Access Analyzer는 IAM 서비스 및 작업이 마지막으로 액세스한 정보를 사용하여 미사용 권한을 식별합니다. 미사용 액세스 분석기를 사용하여 AWS 조직 및 계정 수준에서 검토 프로세스를 확장할 수 있습니다. 마지막으로 액세스한 작업 정보를 사용하여 개별 역할을 심층적으로 조사할 수 있습니다.

요약 대시보드

외부 액세스와 미사용 액세스 모두에 대해 IAM Access Analyzer는 조사 결과를 요약 대시보드에 정리합니다. 외부 액세스의 경우 요약 대시보드는 퍼블릭 액세스 결과와 교차 계정 액세스 조사 결과 간의 구분을 강조 표시하고 리소스 유형별로 조사 결과를 분류하여 제공합니다. 미사용 액세스의 경우 대시보드는 조사 결과가 가장 많은 AWS 계정을 강조 표시하고 유형별로 검색 조사 결과를 분류하여 제공합니다. 외부 또는 미사용 액세스에 대한 분석기를 만들면 IAM Access Analyzer는 미사용 권한이 있는 역할에 초점을 맞춘 새로운 조사 결과를 대시보드에 자동으로 추가합니다.