IAM Access Analyzer 미사용 액세스 분석기 생성

현재 계정에 미사용 액세스 분석기 생성

다음 절차를 통해 단일 AWS 계정을 위한 미사용 액세스 분석기를 생성합니다. 미사용 액세스의 경우 분석기에 대한 조사 결과는 리전에 따라 변경되지 않습니다. 리소스가 있는 각 리전에 분석기를 만들 필요는 없습니다.

IAM Access Analyzer는 분석기별로 매월 분석된 IAM 역할 및 사용자 수를 기준으로 미사용 액세스 분석에 대한 요금을 부과합니다. 요금에 대한 자세한 내용은 IAM Access Analyzer 요금을 참조하세요.

1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

2. 분석기 액세스에서 분석기 설정을 선택합니다.

3. Create analyzer(분석기 생성)를 선택합니다.

4. 분석 섹션에서 미사용 액세스 분석을 선택합니다.

5. 분석기의 이름을 입력합니다.

6. 추적 기간에는 미사용 권한에 대한 조사 결과를 생성할 기간(일수)을 입력합니다. 예를 들어 90일을 입력하면 분석기는 마지막 스캔 이후 90일 이상 미사용 권한에 대해 선택한 계정 내의 IAM 엔터티에 대한 조사 결과를 생성합니다. 1일~365일의 값을 선택할 수 있습니다.

7. 분석기 상세 정보 섹션에서 표시된 리전이 IAM Access Analyzer를 활성화하려는 리전인지 확인합니다.

8. 분석 범위에서 현재 계정을 선택합니다.

   참고

   계정이 AWS Organizations 관리 계정 또는 위임된 관리자 계정이 아닌 경우, 선택된 계정으로 분석기를 하나만 생성할 수 있습니다.

9. 선택 사항. 태그가 있는 IAM 사용자 및 역할 제외 섹션에서 미사용 액세스 분석에서 제외할 IAM 사용자 및 역할에 대한 키 값 페어를 지정할 수 있습니다. 키 값 페어와 일치하는 제외된 IAM 사용자 및 역할에 대해서는 조사 결과가 생성되지 않습니다. 태그 키에 1~128자 길이의 값을 입력합니다. 이때 aws:을 접두사로 사용하지 않습니다. 값에 0~256자 길이의 값을 입력할 수 있습니다. 값을 입력하지 않으면 지정된 태그 키가 있는 모든 위탁자에 규칙이 적용됩니다. 제외할 키 값 페어를 추가하려면 새로운 제외 추가를 선택합니다.

10. 선택 사항. 분석기에 적용할 태그를 추가합니다.

11. Create analyzer(분석기 생성)를 선택합니다.

IAM Access Analyzer를 활성화하기 위해 미사용 액세스 분석기를 생성하면 AWSServiceRoleForAccessAnalyzer라는 이름의 서비스 연결 역할이 계정에서 생성됩니다.

현재 조직에서 미사용 액세스 분석기 생성

다음 절차를 따라 조직에서 미사용 액세스 분석기를 만들어 조직의 모든 AWS 계정을 중앙에서 검토할 수 있습니다. 미사용 액세스 분석의 경우 분석기에 대한 조사 결과는 리전에 따라 변경되지 않습니다. 리소스가 있는 각 리전에 분석기를 만들 필요는 없습니다.

IAM Access Analyzer는 분석기별로 매월 분석된 IAM 역할 및 사용자 수를 기준으로 미사용 액세스 분석에 대한 요금을 부과합니다. 요금에 대한 자세한 내용은 IAM Access Analyzer 요금을 참조하세요.

참고

구성원 계정이 조직에서 제거되면 미사용 액세스 분석기는 24시간 후부터 새 조사 결과를 생성하지 않으며 해당 계정에 대한 기존 조사 결과 업데이트를 중단합니다. 조직에서 제거된 구성원 계정과 관련된 조사 결과는 90일 후에 영구적으로 제거됩니다.

1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

2. Access analyzer(분석기 액세스)를 선택합니다.

3. 분석기 설정을 선택합니다.

4. Create analyzer(분석기 생성)를 선택합니다.

5. 분석 섹션에서 미사용 액세스 분석을 선택합니다.

6. 분석기의 이름을 입력합니다.

7. 추적 기간에는 미사용 권한에 대한 조사 결과를 생성할 기간(일수)을 입력합니다. 예를 들어 90일을 입력하면 분석기는 분석기의 마지막 스캔 이후 90일 이상 미사용 권한에 대해 선택한 조직의 계정 내 IAM 엔터티에 대한 조사 결과를 생성합니다. 1일~365일의 값을 선택할 수 있습니다.

8. 분석기 상세 정보 섹션에서 표시된 리전이 IAM Access Analyzer를 활성화하려는 리전인지 확인합니다.

9. 분석 범위에서 현재 조직을 선택합니다.

10. 선택 사항. AWS 계정 분석에서 제외 섹션에서 미사용 액세스 분석에서 제외할 조직 내 AWS 계정을 선택할 수 있습니다. 제외된 계정에 대해서는 조사 결과가 생성되지 않습니다.

    1. 제외할 개별 계정 ID를 지정하려면 AWS 계정 ID 지정을 선택하고 AWS 계정 ID 필드에 계정 ID를 쉼표로 구분하여 입력합니다. 제외를 선택합니다. 그러면 제외할 AWS 계정 테이블에 계정이 나열됩니다.

    2. 조직의 계정 목록에서 제외할 계정을 선택하려면 조직에서 선택을 선택합니다.

       1. 조직에서 계정 제외 필드에서 이름, 이메일 및 계정 ID로 계정을 검색할 수 있습니다.

       2. 계층 구조를 선택하여 조직 단위별로 계정을 보거나 목록을 선택하여 조직의 모든 개별 계정 목록을 봅니다.

       3. 모든 현재 계정 제외를 선택하여 조직 단위의 모든 계정을 제외하거나 제외를 선택하여 개별 계정을 제외합니다.

    그러면 제외할 AWS 계정 테이블에 계정이 나열됩니다.

    참고

    제외된 계정에는 조직 분석기 소유자 계정이 포함될 수 없습니다. 조직에 새 계정이 추가되면 이전에 조직 단위 내의 모든 현재 계정을 제외한 경우에도 해당 계정은 분석에서 제외되지 않습니다. 미사용 액세스 분석기를 생성한 후 계정을 제외하는 방법에 대한 자세한 내용은 IAM Access Analyzer 미사용 액세스 분석기 관리 섹션을 참조하세요.

11. 선택 사항. 태그가 있는 IAM 사용자 및 역할 제외 섹션에서 미사용 액세스 분석에서 제외할 IAM 사용자 및 역할에 대한 키 값 페어를 지정할 수 있습니다. 키 값 페어와 일치하는 제외된 IAM 사용자 및 역할에 대해서는 조사 결과가 생성되지 않습니다. 태그 키에 1~128자 길이의 값을 입력합니다. 이때 aws:을 접두사로 사용하지 않습니다. 값에 0~256자 길이의 값을 입력할 수 있습니다. 값을 입력하지 않으면 지정된 태그 키가 있는 모든 위탁자에 규칙이 적용됩니다. 제외할 키 값 페어를 추가하려면 새로운 제외 추가를 선택합니다.

12. 선택 사항. 분석기에 적용할 태그를 추가합니다.

13. Create analyzer(분석기 생성)를 선택합니다.

IAM Access Analyzer를 활성화하기 위해 미사용 액세스 분석기를 생성하면 AWSServiceRoleForAccessAnalyzer라는 이름의 서비스 연결 역할이 계정에서 생성됩니다.