IAM Access Analyzer API를 사용하여 액세스 미리 보기 - AWS Identity and Access Management

IAM Access Analyzer API를 사용하여 액세스 미리 보기

IAM Access Analyzer API를 사용하여 Amazon S3 버킷, AWS KMS 키, IAM 역할, Amazon SQS 대기열 및 Secrets Manager 암호에 대한 퍼블릭 및 크로스 계정 액세스를 미리 볼 수 있습니다. 소유한 기존 리소스나 배포할 새 리소스에 대해 제안된 권한을 제공하여 액세스를 미리 볼 수 있습니다.

리소스에 대한 외부 액세스를 미리 보려면 리소스의 계정 및 리전에 대한 활성 계정 분석기가 있어야 합니다. 또한 IAM Access Analyzer 및 액세스 미리 보기를 사용하는 데 필요한 권한이 있어야 합니다. 필요한 IAM Access Analyzer 및 권한을 활성화하는 방법에 대한 자세한 내용은 IAM Access Analyzer 활성화 섹션을 참조하세요.

리소스에 대한 액세스를 미리 보려면 CreateAccessPreview 작업을 사용하고 분석기 ARN과 리소스에 대한 액세스 제어 구성을 제공할 수 있습니다. 이 서비스는 액세스 미리 보기를 위한 고유 ID를 반환하며, GetAccessPreview 작업에서 이 ID를 사용하여 액세스 미리 보기의 상태를 확인할 수 있습니다. 상태가 Completed이면 ListAccessPreviewFindings 작업을 사용하여 액세스 미리 보기에 대해 생성된 결과를 검색할 수 있습니다. GetAccessPreviewListAccessPreviewFindings 작업은 약 24시간 내에 생성된 액세스 미리 보기 및 결과를 검색합니다.

검색된 각 결과에는 액세스를 설명하는 결과 세부 정보가 포함됩니다. 결과의 미리 보기 상태는 권한 배포 후 결과가 Active, Archived 또는 Resolved인지 여부와 changeType을 설명합니다. changeType은 액세스 미리 보기 검색 결과가 IAM Access Analyzer에서 식별된 기존 액세스와 어떻게 비교되는지에 대한 컨텍스트를 제공합니다.

  • New - 새로 도입된 액세스에 관한 결과입니다.

  • Unchanged - 미리 보기 결과가 변경되지 않고 유지되는 기존 결과입니다.

  • Changed - 미리 보기 결과가 상태가 변경된 기존 결과입니다.

statuschangeType을 사용하면 리소스 구성으로 기존 리소스 액세스가 어떻게 변경되는지 이해할 수 있습니다. changeTypeUnchanged 또는 Changed이면 IAM Access Analyzer 결과의 기존 ID 및 상태도 결과에 포함됩니다. 예를 들어 미리 보기 상태 Resolved이고 기존 상태가 ActiveChanged 결과는 리소스에 대한 기존 Active 결과가 제안된 권한 변경의 결과로 Resolved가 된다는 것을 나타냅니다.

ListAccessPreviews 작업을 사용하여 지정된 분석기의 액세스 미리 보기 목록을 검색할 수 있습니다. 이 작업은 약 1시간 내에 생성된 액세스 미리 보기에 대한 정보를 검색합니다.

일반적으로 액세스 미리 보기가 기존 리소스에 관한 것이고 구성 옵션을 지정하지 않은 상태로 두면 액세스 미리 보기에서는 기본적으로 기존 리소스 구성을 사용합니다. 액세스 미리 보기가 새 리소스에 관한 것이고 구성 옵션을 지정하지 않은 상태로 두면 액세스 미리 보기에서는 리소스 유형에 대한 기본값을 사용합니다. 각 리소스 유형의 구성 사례는 아래를 참조하세요.

Amazon S3 버킷에 대한 액세스 미리 보기

새 Amazon S3 버킷 또는 소유한 기존 Amazon S3 버킷에 대한 액세스 미리 보기를 생성하려면 버킷에 연결된 Amazon S3 버킷 정책, 버킷 ACL, 버킷 BPA 설정 및 Amazon S3 액세스 포인트(다중 리전 액세스 포인트 포함)를 지정하여 버킷 구성을 제안할 수 있습니다.

참고

새 버킷에 대한 액세스 미리 보기를 생성하기 전에 Amazon S3 HeadBucket 작업을 호출하여 명명된 버킷이 이미 있는지 확인하는 것이 좋습니다. 이 작업은 버킷이 있고 버킷에 액세스할 수 있는 권한이 있는지 확인하는 데 유용합니다.

버킷 정책 - 구성이 기존 Amazon S3 버킷에 관한 구성이고 Amazon S3 버킷 정책을 지정하지 않는 경우 액세스 미리 보기에서는 버킷에 연결된 기존 정책을 사용합니다. 액세스 미리 보기가 새 리소스에 대한 미리 보기이고 Amazon S3 버킷 정책을 지정하지 않는 경우 액세스 미리 보기에서는 정책이 없는 버킷을 가정합니다. 기존 버킷 정책의 삭제를 제안하려면 빈 문자열을 지정할 수 있습니다. 지원되는 버킷 정책 제한에 대한 자세한 내용은 버킷 정책 예를 참조하세요.

버킷 ACL 권한 - 버킷당 최대 100개의 ACL 권한을 제안할 수 있습니다. 제안된 권한 구성이 기존 버킷에 대한 것이면 액세스 미리 보기에서는 기존 권한 대신 제안된 권한 구성 목록을 사용합니다. 그렇지 않으면 액세스 미리 보기에서는 버킷의 기존 권한을 사용합니다.

버킷 액세스 포인트 - 분석에서는 버킷당 최대 100개의 액세스 포인트(다중 리전 액세스 포인트 포함)를 지원합니다. 여기에는 버킷당 제안할 수 있는 최대 10개의 새 액세스 포인트가 포함됩니다. 제안된 Amazon S3 구성이 기존 버킷에 대한 것이면 액세스 미리 보기에서는 기존 액세스 포인트 대신 제안된 액세스 포인트 구성을 사용합니다. 정책 없이 액세스 포인트를 제안하려면 빈 문자열을 액세스 포인트 정책으로 제공할 수 있습니다. 액세스 포인트 정책 제한에 대한 자세한 내용은 액세스 포인트 규제 및 제한을 참조하세요.

퍼블릭 액세스 차단 구성 - 제안된 구성이 기존 Amazon S3 버킷에 대한 것이고 구성을 지정하지 않는 경우 액세스 미리 보기에서는 기존 설정을 사용합니다. 제안된 구성이 새 버킷에 대한 구성이고 버킷 BPA 구성을 지정하지 않는 경우 액세스 미리 보기에서는 false를 사용합니다. 제안된 구성이 새 액세스 포인트 또는 다중 리전 액세스 포인트에 대한 구성이고 액세스 포인트 BPA 구성을 지정하지 않는 경우 액세스 미리 보기에서는 true를 사용합니다.

AWS KMS 키에 대한 액세스 미리 보기

새 AWS KMS 키 또는 소유하는 기존 AWS KMS 키에 대한 액세스 미리 보기를 생성하려면 키 정책과 AWS KMS 권한 구성을 지정하여 AWS KMS 키 구성을 제안할 수 있습니다.

AWS KMS 키 정책 - 구성이 기존 키에 대한 구성이고 키 정책을 지정하지 않는 경우 액세스 미리 보기에서는 키의 기존 정책을 사용합니다. 액세스 미리 보기가 새 리소스에 대한 미리 보기이고 키 정책을 지정하지 않는 경우 액세스 미리 보기에서는 기본 키 정책을 사용합니다. 제안된 키 정책은 빈 문자열이어서는 안 됩니다.

AWS KMS 권한 - 분석에서는 구성당 최대 100개의 KMS 권한을 지원합니다*.* 제안된 권한 구성이 기존 키에 대한 구성이면 액세스 미리 보기에서는 기존 권한 대신 제안된 권한 구성 목록을 사용합니다. 그렇지 않으면 액세스 미리 보기에서는 키의 기존 권한을 사용합니다.

IAM 역할에 대한 액세스 미리 보기

새 IAM 역할 또는 소유하는 기존 IAM 역할에 대한 액세스 미리 보기를 생성하려면 신뢰 정책을 지정하여 IAM 역할 구성을 제안할 수 있습니다.

역할 신뢰 정책 - 구성이 새 IAM 역할에 대한 구성인 경우 신뢰 정책을 지정해야 합니다. 구성이 소유한 기존 IAM 역할에 대한 구성이고 신뢰 정책을 제안하지 않는 경우 액세스 미리 보기에서는 역할의 기존 신뢰 정책을 사용합니다. 제안된 신뢰 정책은 빈 문자열이어서는 안 됩니다.

Amazon SQS 대기열에 대한 액세스 미리 보기

새 Amazon SQS 대기열 또는 소유한 기존 Amazon SQS 대기열에 대한 액세스 미리 보기를 생성하려면 대기열의 Amazon SQS 정책을 지정하여 Amazon SQS 대기열 구성을 제안할 수 있습니다.

Amazon SQS 대기열 정책 - 구성이 기존 Amazon SQS 대기열에 대한 구성이고 Amazon SQS 정책을 지정하지 않는 경우 액세스 미리 보기에서는 대기열의 기존 Amazon SQS 정책을 사용합니다. 액세스 미리 보기가 새 리소스에 대한 미리 보기이고 정책을 지정하지 않는 경우 액세스 미리 보기에서는 정책이 없는 Amazon SQS 대기열을 가정합니다. 기존 Amazon SQS 대기열 정책의 삭제를 제안하려면 Amazon SQS 정책에 빈 문자열을 지정할 수 있습니다.

Secrets Manager 암호에 대한 액세스 미리 보기

새 Secrets Manager 암호 또는 소유한 기존 Secrets Manager 암호에 대한 액세스 미리 보기를 생성하려면 암호 정책 및 AWS KMS 암호화 키(선택 사항)를 지정하여 Secrets Manager 암호 구성을 제안할 수 있습니다.

암호 정책 - 구성이 기존 암호에 대한 구성이고 암호 정책을 지정하지 않는 경우 액세스 미리 보기에서는 암호의 기존 정책을 사용합니다. 액세스 미리 보기가 새 리소스에 대한 미리 보기이고 정책을 지정하지 않는 경우 액세스 미리 보기에서는 정책이 없는 암호를 가정합니다. 기존 정책의 삭제를 제안하려면 빈 문자열을 지정할 수 있습니다.

AWS KMS 암호화 키 - 제안된 구성이 새 암호에 대한 구성이고 AWS KMS 키 ID를 지정하지 않는 경우 액세스 미리 보기에서는 AWS 계정의 기본 KSM 키를 사용합니다. AWS KMS 키 ID에 빈 문자열을 지정하는 경우 액세스 미리 보기에서는 AWS 계정의 기본 KMS 키를 사용합니다.