외부 및 미사용 액세스에 대한 조사 결과
IAM Access Analyzer는 사용자의 AWS 계정 또는 조직 내 외부 액세스 및 미사용 액세스에 대한 조사 결과를 생성합니다. 외부 액세스의 경우, IAM Access Analyzer는 신뢰 영역 내에 있지 않은 보안 주체에 대한 신뢰 영역의 리소스에 액세스 권한을 부여하는 리소스 기반 정책의 각 인스턴스에 대한 결과를 생성합니다. 외부 액세스 분석기를 생성할 때 분석할 조직 또는 AWS 계정을 선택합니다. 분석기에 대해 선택한 조직 또는 계정의 모든 보안 주체는 신뢰할 수 있는 것으로 간주됩니다. 동일한 조직 또는 계정의 보안 주체는 신뢰할 수 있으므로 조직 또는 계정 내의 리소스 및 보안 주체는 분석기의 신뢰 영역을 구성합니다. 신뢰 영역 내에서의 모든 공유는 안전한 것으로 간주되므로 IAM Access Analyzer에서 결과가 생성되지 않습니다. 예를 들어 조직을 분석기의 신뢰 영역으로 선택하면 조직의 모든 리소스 및 보안 주체가 신뢰 영역 내에 있습니다. 조직 구성원 계정 중 하나의 Amazon S3 버킷에 대한 권한을 다른 조직 구성원 계정의 보안 주체에게 부여하면 IAM Access Analyzer가 결과를 생성하지 않습니다. 그러나 조직의 멤버가 아닌 계정의 보안 주체에게 권한을 부여하면 IAM Access Analyzer가 결과를 생성합니다.
IAM Access Analyzer는 AWS 조직 및 계정에 부여된 미사용 액세스에 대한 조사 결과도 생성합니다. 미사용 액세스 분석기를 생성하면 IAM Access Analyzer는 AWS 조직 및 계정의 모든 IAM 역할과 사용자를 지속적으로 모니터링하고 미사용 액세스에 대한 조사 결과를 생성합니다. IAM Access Analyzer는 미사용 액세스에 대해 다음과 같은 유형의 조사 결과를 생성합니다.
-
미사용 역할 - 지정된 사용 창 내에 액세스 활동이 없는 역할입니다.
-
미사용 IAM 사용자 액세스 키 및 암호 - 지정된 사용 기간에 AWS 계정에 액세스하는 데 사용되지 않은 IAM 사용자 소유의 자격 증명입니다.
-
미사용 권한 - 지정된 사용 기간 내에 역할이 사용하지 않은 서비스 수준 및 작업 수준 권한입니다. IAM Access Analyzer는 역할에 연결된 자격 기반 정책을 통해 해당 역할이 액세스할 수 있는 서비스와 작업을 결정합니다. IAM Access Analyzer는 모든 서비스 수준 권한에 대한 미사용 권한 검토를 지원합니다. 미사용 액세스 조사 결과에 대해 지원되는 작업 수준 권한의 전체 목록은 IAM 작업에서 마지막으로 액세스한 정보와 관련된 서비스 및 작업을 참조하세요.
참고
IAM Access Analyzer는 외부 액세스 조사 결과를 무료로 제공하며, 매월 분석기별로 분석된 IAM 역할 및 사용자 수를 기준으로 미사용 액세스 조사 결과에 대해 요금을 부과합니다. 요금에 대한 자세한 내용은 IAM Access Analyzer 요금
주제
- IAM Access Analyzer 조사 결과 작동 방식 이해
- AWS Identity and Access Management Access Analyzer 시작하기
- IAM Access Analyzer 조사 결과 대시보드 보기
- IAM Access Analyzer 조사 결과 검토
- IAM Access Analyzer 조사 결과 필터링
- IAM Access Analyzer 조사 결과 보관
- IAM Access Analyzer 조사 결과 해결
- 외부 액세스를 위한 IAM Access Analyzer 리소스 유형
- IAM Access Analyzer의 위임된 관리자
- 외부 및 미사용 액세스 분석기 삭제
- 아카이브 규칙
- Amazon EventBridge로 AWS Identity and Access Management Access Analyzer 모니터링
- AWS Security Hub와 IAM Access Analyzer의 통합
- AWS CloudTrail을 사용하여 IAM Access Analyzer API 호출 로깅
- IAM Access Analyzer 필터 키
- AWS Identity and Access Management Access Analyzer에 서비스 연결 역할 사용