IAM Access Analyzer 내부 액세스 분석기 생성

리전에서 내부 액세스 분석기를 사용 설정하려면 해당 리전에서 분석기를 생성해야 합니다. 내부 액세스 분석기는 리소스에 대한 액세스 권한을 모니터링하려는 각 리전에서 생성해야 합니다.

IAM Access Analyzer는 분석기별로 매월 모니터링되는 리소스 수를 기준으로 내부 액세스 분석에 대한 요금을 부과합니다. 요금에 대한 자세한 내용은 IAM Access Analyzer 요금을 참조하세요.

참고

분석기를 생성하거나 업데이트한 후에 조사 결과를 사용할 수 있을 때까지 시간이 걸릴 수 있습니다.

IAM Access Analyzer는 70,000개 이상의 위탁자(IAM 사용자 및 역할 결합)가 포함된 조직에 대해 내부 액세스 조사 결과를 생성할 수 없습니다.

AWS 조직에서는 하나의 조직 수준 내부 액세스 분석기만 생성할 수 있습니다.

AWS 계정을 신뢰 영역으로 설정하여 내부 액세스 분석기 생성

1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

2. 분석기 액세스에서 분석기 설정을 선택합니다.

3. Create analyzer(분석기 생성)를 선택합니다.

4. 분석 섹션에서 리소스 분석 - 내부 액세스를 선택합니다.

5. 분석기 상세 정보 섹션에서 표시된 리전이 IAM Access Analyzer를 활성화하려는 리전인지 확인합니다.

6. 분석기의 이름을 입력합니다.

7. 현재 계정을 분석기의 신뢰 영역으로 선택합니다.

   참고

   계정이 AWS Organizations 관리 계정 또는 위임된 관리자 계정이 아닌 경우, 계정을 신뢰 영역으로 하여 분석기를 하나만 생성할 수 있습니다.

8. 분석할 리소스 섹션에서 모니터링할 분석기의 리소스를 추가합니다.

   • 계정별로 리소스를 추가하려면 추가 > 선택한 계정의 리소스 추가를 선택합니다.

     1. 지원되는 모든 리소스 유형을 선택하거나 특정 리소스 유형 정의를 선택하고 리소스 유형 목록에서 리소스 유형을 선택합니다.

        내부 액세스 분석기는 다음과 같은 리소스 유형을 지원합니다.

        • Amazon Simple Storage Service 버킷

        • Amazon Simple Storage Service 디렉터리 버킷

        • Amazon Relational Database Service DB 스냅샷

        • Amazon Relational Database Service DB 클러스터 스냅샷

        • Amazon DynamoDB Streams

        • Amazon DynamoDB 테이블

     2. 리소스 추가(Add resources)를 선택합니다.

   • Amazon 리소스 이름(ARN)으로 리소스를 추가하려면 추가 > 리소스 ARN에 붙여넣어 리소스 추가를 선택합니다.

     1. 각 리소스 ARN에 대해 계정 소유자 ID와 리소스 ARN을 쉼표로 구분하여 입력합니다. 한 줄에 하나의 계정 소유자 ID와 리소스 ARN을 입력합니다.

     2. 리소스 추가(Add resources)를 선택합니다.

   • CSV 파일로 리소스를 추가하려면 리소스 추가 > CSV를 업로드하여 리소스 추가를 선택합니다.

     AWS 리소스 탐색기를 사용하여 계정에서 리소스를 검색하고 CSV 파일을 내보낼 수 있습니다. 그런 다음 CSV 파일을 업로드하여 분석기가 모니터링할 리소스를 구성할 수 있습니다.

     1. 파일 선택을 선택한 후 컴퓨터에서 CSV 파일을 선택합니다.

     2. 리소스 추가(Add resources)를 선택합니다.

9. 선택 사항. 분석기에 적용할 태그를 추가합니다.

10. Create analyzer(분석기 생성)를 선택합니다.

IAM Access Analyzer를 활성화하기 위해 내부 액세스 분석기를 생성하면 AWSServiceRoleForAccessAnalyzer라는 이름의 서비스 연결 역할이 계정에서 생성됩니다.

조직을 신뢰 영역으로 설정하여 내부 액세스 분석기 생성

1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

2. 분석기 액세스에서 분석기 설정을 선택합니다.

3. Create analyzer(분석기 생성)를 선택합니다.

4. 분석 섹션에서 리소스 분석 - 내부 액세스를 선택합니다.

5. 분석기 상세 정보 섹션에서 표시된 리전이 IAM Access Analyzer를 활성화하려는 리전인지 확인합니다.

6. 분석기의 이름을 입력합니다.

7. 전체 조직을 분석기의 신뢰 영역으로 선택합니다.

8. 분석할 리소스 섹션에서 모니터링할 분석기의 리소스를 추가합니다.

   • 계정에 리소스를 추가하려면 리소스 추가 > 선택한 계정의 리소스 추가를 선택합니다.

     1. 지원되는 모든 리소스 유형을 선택하거나 특정 리소스 유형 정의를 선택하고 리소스 유형 목록에서 리소스 유형을 선택합니다.

        내부 액세스 분석기는 다음과 같은 리소스 유형을 지원합니다.

        • Amazon Simple Storage Service 버킷

        • Amazon Simple Storage Service 디렉터리 버킷

        • Amazon Relational Database Service DB 스냅샷

        • Amazon Relational Database Service DB 클러스터 스냅샷

        • Amazon DynamoDB Streams

        • Amazon DynamoDB 테이블

     2. 조직에서 계정을 선택하려면 조직에서 선택을 선택합니다. 계정 선택 섹션에서 계층 구조를 선택하여 조직 구조별로 계정을 선택하거나 목록을 선택하여 조직의 모든 계정 목록에서 계정을 선택합니다.

        조직의 계정을 수동으로 입력하려면 AWS 계정 ID 입력을 선택합니다. AWS 계정 ID 필드에 쉼표로 구분된 AWS 계정 ID를 하나 이상 입력합니다.

     3. 리소스 추가(Add resources)를 선택합니다.

   • Amazon 리소스 이름(ARN)으로 리소스를 추가하려면 리소스 추가 > 리소스 ARN에 붙여넣어 리소스 추가를 선택합니다.

     1. 각 리소스 ARN에 대해 계정 소유자 ID와 리소스 ARN을 쉼표로 구분하여 입력합니다. 한 줄에 하나의 계정 소유자 ID와 리소스 ARN을 입력합니다.

     2. 리소스 추가(Add resources)를 선택합니다.

   • CSV 파일로 리소스를 추가하려면 리소스 추가 > CSV를 업로드하여 리소스 추가를 선택합니다.

     AWS 리소스 탐색기를 사용하여 계정에서 리소스를 검색하고 CSV 파일을 내보낼 수 있습니다. 그런 다음 CSV 파일을 업로드하여 분석기가 모니터링할 리소스를 구성할 수 있습니다.

     1. 파일 선택을 선택한 후 컴퓨터에서 CSV 파일을 선택합니다.

     2. 리소스 추가(Add resources)를 선택합니다.

9. 선택 사항. 분석기에 적용할 태그를 추가합니다.

10. 제출을 선택합니다.

조직을 신뢰 영역으로 설정하여 내부 액세스 분석기를 생성하면 조직의 각 계정에 AWSServiceRoleForAccessAnalyzer라는 이름의 서비스 연결 역할이 생성됩니다.