IAM Access Analyzer 조사 결과 작동 방식 이해 - AWS Identity and Access Management

IAM Access Analyzer 조사 결과 작동 방식 이해

이 항목에서는 IAM Access Analyzer에서 AWS 리소스에 대한 액세스를 모니터링하는 방법을 익히는 데 도움이 되도록 IAM Access Analyzer에서 사용되는 개념과 용어에 대해 설명합니다.

외부 액세스 조사 결과

외부 액세스 조사 결과는 신뢰 영역 외부에서 공유되는 리소스의 각 인스턴스에 대해 한 번만 생성됩니다. 리소스 기반 정책이 수정될 때마다 IAM Access Analyzer가 정책을 분석합니다. 업데이트된 정책이 결과에서 이미 식별되었지만 사용 권한 또는 조건이 다른 리소스를 공유하는 경우, 리소스를 공유하는 해당 인스턴스에 대해 새 결과가 생성됩니다. 첫 번째 조사 결과에서의 액세스가 제거되면 해당 조사 결과는 해결됨 상태로 업데이트됩니다.

조사 결과를 아카이브하거나 조사 결과를 생성한 액세스 권한을 제거할 때까지 모든 조사 결과는 활성 상태로 유지됩니다. 액세스 권한을 제거하면 조사 결과 상태가 해결됨으로 업데이트됩니다.

참고

IAM Access Analyzer에 대한 정책을 수정한 후 리소스를 분석하고 외부 액세스 조사 결과를 업데이트하기까지 최대 30분이 걸릴 수 있습니다.

IAM Access Analyzer가 외부 액세스에 대한 조사 결과를 생성하는 방법

AWS Identity and Access Management Access Analyzer는 Zelkova라는 기술을 사용하여 IAM 정책을 분석하고 리소스에 대한 외부 액세스를 식별합니다.

Zelkova는 IAM 정책을 동등한 논리적 명령문으로 변환하여 일련의 범용 및 특수 논리 해석기(만족성 모듈로 이론)를 통해 실행합니다. IAM Access Analyzer는 정책의 내용에 따라 허용되는 액세스 유형을 특성화하기 위해 점점 더 구체적인 쿼리를 사용하여 Zelkova를 정책에 반복적으로 적용합니다. 만족성 모듈로 이론에 대한 자세한 내용은 만족성 모듈로 이론을 참조하세요.

외부 액세스 결과의 경우, IAM Access Analyzer는 외부 엔터티가 신뢰 영역 내의 리소스에 실제로 액세스했는지를 확인하기 위해 액세스 로그를 검사하지 않습니다. 대신, 외부 엔터티가 리소스에 액세스했는지 여부와 관계없이 리소스 기반 정책에서 리소스에 대한 액세스를 허용할 때는 결과를 생성합니다.

또한 IAM Access Analyzer는 또한 결정을 내릴 때 외부 계정의 상태를 고려하지 않습니다. 계정 111122223333이 Amazon S3 버킷에 액세스할 수 있음을 나타내는 경우에는 해당 계정의 사용자, 역할, 서비스 제어 정책(SCP) 또는 기타 관련 구성에 대해서는 알 수 없습니다. 이는 고객 개인 정보 보호를 위한 것입니다. IAM Access Analyzer는 누가 다른 계정을 소유하고 있는지 알 수 없기 때문입니다. 이는 보안을 위한 것이기도 합니다. 현재 이를 사용할 수 있는 활성 보안 주체가 없더라도 잠재적인 외부 액세스에 대해 아는 것이 중요하기 때문입니다.

IAM Access Analyzer에서는 외부 사용자가 직접 영향을 줄 수 없거나 권한 부여에 영향력을 행사하는 특정 IAM 조건 키만 고려합니다. IAM Access Analyzer에서 고려하는 조건 키의 예는 IAM Access Analyzer 필터 키를 참조하세요.

현재 IAM Access Analyzer에서는 AWS 서비스 보안 주체 또는 내부 서비스 계정에서 조사 결과를 보고하지 않습니다. 드물지만 Access Analyzer에서 정책문이 외부 엔터티에 대한 액세스 권한을 부여하는지 여부를 완전히 확인할 수 없는 경우에는 거짓 긍정 결과를 선언하는 오류가 발생합니다. 이는 IAM Access Analyzer가 계정의 리소스 공유에 대한 포괄적인 보기를 제공하고 거짓 부정을 최소화하도록 설계되었기 때문입니다.

미사용 액세스 조사 결과

미사용 액세스 조사 결과는 분석기를 생성하는 동안 지정된 일수를 기준으로 선택한 계정 또는 조직 내의 IAM 엔터티에 대해 생성됩니다. 다음 조건 중 하나가 충족되는 경우 다음 번에 분석기가 엔터티를 스캔할 때 새로운 조사 결과가 생성됩니다.

  • 지정된 일수 동안 역할이 비활성 상태입니다.

  • 미사용 권한, 미사용 사용자 암호 또는 미사용 사용자 액세스 키가 지정된 일수를 초과했습니다.

참고

사용되지 않은 액세스 조사 결과는 ListFindingsV2 API 작업을 통해서만 사용할 수 있습니다.

IAM Access Analyzer가 미사용 액세스에 대한 조사 결과를 생성하는 방법

미사용 액세스를 분석하려면 리소스에 대한 외부 액세스 조사 결과를 생성하는 분석기를 이미 생성했더라도 역할에 미사용 액세스 조사 결과에 대한 별도의 분석기를 만들어야 합니다.

IAM Access Analyzer는 미사용 액세스 분석기를 생성한 후 액세스 활동을 검토하여 미사용 액세스를 식별합니다. IAM Access Analyzer는 AWS 조직 및 계정의 모든 역할, 사용자 액세스 키, 사용자 암호에 대해 마지막으로 액세스한 정보를 검토합니다. 이는 미사용 액세스를 식별하는 데 도움이 됩니다.

활성 IAM 역할 및 사용자의 경우 IAM Access Analyzer는 IAM 서비스 및 작업이 마지막으로 액세스한 정보를 사용하여 미사용 권한을 식별합니다. 이렇게 하면 AWS 조직 및 계정 수준에서 검토 프로세스를 확장할 수 있습니다. 또한 마지막으로 액세스한 작업 정보를 사용하여 개별 역할을 심층적으로 조사할 수도 있습니다. 이를 통해 어떤 특정 권한이 사용되지 않는지 더 세밀하게 파악할 수 있습니다.

미사용 액세스 전용 분석기를 만들면 AWS 환경 전반의 미사용 액세스를 종합적으로 검토 및 식별하여 기존 외부 액세스 분석기에서 생성된 조사 결과를 보완할 수 있습니다.