마지막으로 액세스한 정보를 사용하여 AWS에서 권한 재정의 - AWS Identity and Access Management

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

마지막으로 액세스한 정보를 사용하여 AWS에서 권한 재정의

관리자는 엔터티(사용자 또는 역할)에 필요한 것 이상의 권한을 부여할 수 있습니다. IAM은 사용되지 않은 사용 권한을 식별하여 제거할 수 있도록 마지막으로 액세스한 정보를 제공합니다. 마지막으로 액세스한 정보를 사용하여 정책을 재정의하고 엔터티가 사용하는 서비스 및 작업에 대한 액세스만 허용할 수 있습니다. 그러면 최소 권한 모범 사례를 더 효과적으로 준수할 수 있습니다. IAM 또는 AWS Organizations에 있는 엔터티 또는 정책에 대해 마지막으로 액세스한 정보를 볼 수 있습니다.

다음에 대해 마지막으로 액세스한 정보 유형 IAM

IAM 엔터티에 대해 마지막으로 액세스한 정보, 즉 허용된 AWS 서비스 정보와 허용된 작업 정보의 두 가지 유형을 볼 수 있습니다. 이 정보에는 시도한 날짜와 시간이 포함됩니다. 마지막으로 액세스한 작업 정보는 Amazon S3 관리 작업에 사용할 수 있습니다. 관리 작업에는 생성, 삭제 및 수정 작업이 포함됩니다. IAM에 대해 마지막으로 액세스한 정보를 보는 방법에 대한 자세한 내용은 다음에 대해 마지막으로 액세스한 정보 보기 IAM 단원을 참조하십시오.

마지막으로 액세스한 정보를 사용하여 IAM 엔터티에 부여할 권한을 결정하는 데 대한 예제 시나리오는 마지막으로 액세스한 정보 사용에 대한 시나리오 예 단원을 참조하십시오.

관리 작업에 대한 정보가 제공되는 방법에 대한 자세한 내용은 마지막으로 액세스한 정보에 대해 알아야 할 사항 단원을 참조하십시오.

다음에 대한 마지막 액세스 정보 AWS Organizations

마스터 계정 자격 증명을 사용하여 로그인할 경우 AWS Organizations 엔터티 또는 정책에 대해 마지막으로 액세스한 서비스 정보를 볼 수 있습니다. AWS Organizations 엔터티에는 조직 루트, 조직 단위(OU) 또는 계정이 포함됩니다. AWS Organizations에 대해 마지막으로 액세스한 정보에는 SCP(서비스 제어 정책)에서 허용하는 서비스에 대한 정보가 포함됩니다. 이 정보는 조직 또는 계정에서 서비스에 마지막으로 액세스하려고 시도한 보안 주체와 그 시기를 나타냅니다. AWS Organizations에 대해 마지막으로 액세스한 정보를 보는 방법과 보고서에 대한 자세한 내용은 다음에 대해 마지막으로 액세스한 정보 보기 조직 단원을 참조하십시오.

마지막으로 액세스한 정보를 사용하여 조직 엔터티에 부여할 권한을 결정하는 데 대한 예제 시나리오는 마지막으로 액세스한 정보 사용에 대한 시나리오 예 단원을 참조하십시오.

마지막으로 액세스한 정보에 대해 알아야 할 사항

마지막으로 액세스한 보고서의 정보를 사용하여 IAM 엔터티 또는 조직 엔터티의 권한을 변경하려면 먼저 정보에 대한 다음 세부 정보를 검토하십시오.

  • 추적 기간 – 최근 활동은 일반적으로 4시간 이내에 IAM 콘솔에 나타납니다. 서비스 정보에 대한 추적 기간은 지난 400일입니다. 작업 정보에 대한 추적 기간은 2020년 4월 12일에 시작되었습니다. 자세한 정보는 장소 AWS 마지막으로 액세스한 정보 추적 단원을 참조하십시오.

  • PassRoleiam:PassRole 작업이 추적되지 않으며 마지막으로 액세스한 IAM 서비스 정보에 포함되지 않습니다.

  • 마지막으로 액세스한 작업 정보 – 마지막으로 액세스한 작업 정보는 IAM 엔티티가 액세스한 Amazon S3 관리 작업에 사용할 수 있습니다. IAM 에서는 CloudTrail에서 기록한 Amazon S3 관리 이벤트에 대한 작업 정보를 제공합니다. 경우에 따라 CloudTrail 관리 이벤트를 제어 플레인 작업 또는 제어 플레인 이벤트라고도 합니다. 관리 이벤트를 통해 AWS 계정의 리소스에 대해 수행한 관리 작업을 파악할 수 있습니다. CloudTrail의 관리 이벤트에 대한 자세한 내용은 Cloudtrail을 사용한 관리 이벤트 로깅을 참조하십시오.

  • 보고서 소유자 – 보고서를 생성하는 보안 주체만 보고서 세부 정보를 볼 수 있습니다. 즉, AWS Management 콘솔에서 정보를 볼 때 정보가 생성 및 로드될 때까지 기다려야 할 수 있습니다. AWS CLI 또는 AWS API를 사용하여 보고서 세부 정보를 가져오는 경우 자격 증명이 보고서를 생성한 보안 주체의 자격 증명과 일치해야 합니다. 역할 또는 연동 사용자에 대해 임시 자격 증명을 사용하는 경우 동일한 세션 중에 보고서를 생성하고 검색해야 합니다. 위임된 역할 세션 보안 주체에 대한 자세한 내용은 AWS JSON 정책 요소: Principal 단원을 참조하십시오.

  • IAM 엔터티 – IAM에 대한 정보에는 계정의 IAM 엔터티(사용자 또는 역할)가 포함됩니다. 조직에 대한 정보에는 지정된 조직 엔터티의 보안 주체(IAM 사용자, IAM 역할 또는 AWS 계정 루트 사용자)가 포함됩니다. 이 정보에는 인증되지 않은 시도가 포함되지 않습니다.

  • IAM 정책 유형 – IAM에 대한 정보에는 IAM 엔터티의 정책이 허용하는 서비스가 포함됩니다. 이러한 정책은 역할에 연결되거나 사용자에게 직접 또는 그룹을 통해 연결됩니다. 다른 정책 유형에서 허용하는 액세스는 보고서에 포함되어 있지 않습니다. 제외된 정책 유형에는 리소스 기반 정책, 액세스 제어 목록, AWS Organizations SCP, IAM 권한 경계 및 세션 정책이 있습니다. 서비스 연결 역할에서 제공하는 권한은 연결된 서비스에 의해 정의되며 IAM에서 수정할 수 없습니다. 서비스 연결 역할에 대한 자세한 내용은 서비스 연결 역할 사용 단원을 참조하십시오. 다양한 정책 유형을 평가하여 액세스를 허용 또는 거부하는 방법을 알아보려면 정책 평가 로직 단원을 참조하십시오.

  • 조직 정책 유형 – AWS Organizations에 대한 정보에는 조직 엔터티의 상속된 서비스 제어 정책(SCP)이 허용하는 서비스만 포함됩니다. SCP는 루트, OU 또는 계정에 연결된 정책입니다. 다른 정책 유형에서 허용하는 액세스는 보고서에 포함되어 있지 않습니다. 제외된 정책 유형에는 자격 증명 기반 정책, 리소스 기반 정책, 액세스 제어 목록, IAM 권한 경계 및 세션 정책이 있습니다. 다른 정책 유형이 액세스를 허용하거나 거부하는 방법을 알아보려면 정책 평가 로직 단원을 참조하십시오.

  • 정책 ID 지정 – AWS CLI 또는 AWS API를 사용하여 조직에서 마지막으로 액세스한 정보에 대한 보고서를 생성할 때 선택적으로 정책 ID를 지정할 수 있습니다. 그러면 생성되는 보고서에는 해당 정책이 허용하는 서비스에 대한 정보만 포함됩니다. 이 정보에는 지정된 조직 엔터티 또는 엔터티 하위의 가장 최근 계정 활동이 포함됩니다. 자세한 내용은 aws iam generate-organizations-access-report 또는 GenerateOrganizationsAccessReport를 참조하십시오.

  • 조직 마스터 계정 – 마지막으로 액세스한 서비스 정보를 보려면 조직의 마스터 계정에 로그인해야 합니다. IAM 콘솔, AWS CLI 또는 AWS API를 사용하여 마스터 계정에 대한 정보를 보도록 선택할 수 있습니다. 마스터 계정은 SCP에 의해 제한을 받지 않으므로 생성되는 보고서에는 모든 AWS 서비스가 나열됩니다. CLI 또는 API에 정책 ID를 지정할 경우 해당 정책이 무시됩니다. 각 서비스에 대해 보고서에는 마스터 계정에 대한 정보만 포함됩니다. 그러나 다른 조직 엔터티에 대한 보고서는 마스터 계정의 활동에 대한 정보를 반환하지 않습니다.

  • 조직 설정 – 관리자는 조직에 대한 데이터를 생성하려면 조직 루트에서 SCP를 활성화해야 합니다.

필요한 권한

AWS Management 콘솔에서 마지막으로 액세스한 정보를 보려면 필요한 권한을 부여하는 정책이 있어야 합니다.

에 대한 권한 IAM 정보

IAM 콘솔을 사용하여 IAM 사용자, 역할 또는 정책에 대해 마지막으로 액세스한 정보를 사용하려면 다음 작업을 포함하는 정책이 있어야 합니다.

  • iam:GenerateServiceLastAccessedDetails

  • iam:Get*

  • iam:List*

이러한 권한을 사용하면 사용자가 다음을 확인할 수 있습니다.

  • 관리형 정책에 연결된 사용자, 그룹 또는 역할

  • 사용자 또는 역할이 액세스할 수 있는 서비스

  • 서비스에 마지막으로 액세스한 시간

  • 특정 S3 작업을 마지막으로 사용하려고 시도한 시간

AWS CLI 또는 AWS API를 사용하여 IAM에 대해 마지막으로 액세스한 정보를 사용하려면 사용할 작업과 일치하는 권한이 있어야 합니다.

  • iam:GenerateServiceLastAccessedDetails

  • iam:GetServiceLastAccessedDetails

  • iam:GetServiceLastAccessedDetailsWithEntities

  • iam:ListPoliciesGrantingServiceAccess

이 예제에서는 다음과 같은 정책을 생성할 수 있는 방법을 보여 줍니다.에서는 IAM에서 마지막으로 액세스한 정보를 볼 수 있습니다. 또한 모든 IAM에 대한 읽기 전용 액세스를 허용합니다.이 정책은 콘솔에서 이 작업을 완료하는 데 필요한 권한도 부여합니다.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:GenerateServiceLastAccessedDetails", "iam:Get*", "iam:List*" ], "Resource": "*" }

에 대한 권한 AWS Organizations 정보

IAM 콘솔을 사용하여 조직의 루트, OU 또는 계정 엔터티에 대한 보고서를 보려면 다음 작업을 포함하는 정책이 있어야 합니다.

  • iam:GenerateOrganizationsAccessReport

  • iam:GetOrganizationsAccessReport

  • organizations:DescribeAccount

  • organizations:DescribeOrganization

  • organizations:DescribeOrganizationalUnit

  • organizations:DescribePolicy

  • organizations:ListChildren

  • organizations:ListParents

  • organizations:ListPoliciesForTarget

  • organizations:ListRoots

  • organizations:ListTargetsForPolicy

AWS CLI 또는 AWS API를 사용하여 조직에 대해 마지막으로 액세스한 정보를 사용하려면 다음 작업을 포함하는 정책이 있어야 합니다.

  • iam:GenerateOrganizationsAccessReport

  • iam:GetOrganizationsAccessReport

  • organizations:DescribePolicy

  • organizations:ListChildren

  • organizations:ListParents

  • organizations:ListPoliciesForTarget

  • organizations:ListRoots

  • organizations:ListTargetsForPolicy

이 예제에서는 다음과 같은 정책을 생성할 수 있는 방법을 보여 줍니다.에서는 조직에 대해 마지막으로 액세스한 서비스 정보를 볼 수 있습니다. 또한 모든 조직에 대한 읽기 전용 액세스를 허용합니다.이 정책은 콘솔에서 이 작업을 완료하는 데 필요한 권한도 부여합니다.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:GenerateOrganizationsAccessReport", "iam:GetOrganizationsAccessReport", "organizations:Describe*", "organizations:List*" ], "Resource": "*" } }

iam:OrganizationsPolicyId 조건 키를 사용하여 특정 조직 정책에 대해서만 보고서 생성을 허용할 수도 있습니다. 정책에 대한 예는 IAM: 다음에 대해 마지막으로 액세스한 서비스 정보 보기 조직 정책을 참조하십시오.

문제 해결 활동 IAM 및 조직 법인

경우에 따라 AWS Management 콘솔에서 마지막으로 액세스한 정보 테이블이 비어 있을 수 있습니다. AWS CLI 또는 AWS API 요청이 빈 정보 세트 또는 null 필드를 반환할 수도 있습니다. 이러한 경우 다음 문제를 검토하십시오.

  • 마지막으로 액세스한 작업 정보의 경우 표시될 것으로 예상되는 작업이 목록에 반환되지 않을 수 있습니다. IAM 엔터티에 작업에 대한 권한이 없거나 마지막으로 액세스한 정보에 대한 작업을 AWS에서 아직 추적하지 않기 때문에 이러한 문제가 발생할 수 있습니다.

  • IAM 사용자의 경우 사용자가 직접 또는 그룹 멤버십을 통해 인라인 또는 관리형 정책이 하나 이상 연결되어 있는지 확인합니다.

  • IAM 그룹의 경우 그룹에 인라인 또는 관리형 정책이 하나 이상 연결되어 있는지 확인합니다.

  • IAM 그룹의 경우 보고서는 그룹 정책을 사용하여 서비스에 액세스한 멤버에 대해서만 마지막으로 액세스한 서비스 정보를 반환합니다. 멤버가 다른 정책을 사용했는지 여부를 확인하려면 해당 사용자에 대해 마지막으로 액세스한 정보를 검토하십시오.

  • IAM 역할의 경우 역할에 인라인 또는 관리형 정책이 하나 이상 연결되어 있는지 확인합니다.

  • IAM 엔터티(사용자 또는 역할)의 경우 해당 엔터티의 사용 권한에 영향을 줄 수 있는 다른 정책 유형을 검토합니다. 여기에는 리소스 기반 정책, 액세스 제어 목록, AWS Organizations 정책, IAM 권한 경계 또는 세션 정책이 있습니다. 자세한 내용은 정책 유형 또는 단일 계좌 내의 정책 평가 단원을 참조하십시오.

  • IAM 정책의 경우 지정된 관리형 정책이 하나 이상의 사용자, 멤버가 있는 그룹 또는 역할에 연결되어 있는지 확인합니다.

  • 조직 엔터티(루트, OU 또는 계정)의 경우 조직 마스터 계정 자격 증명을 사용하여 로그인되어 있는지 확인합니다.

  • 조직 루트에서 SCP가 활성화되어 있는지 확인합니다.

  • 마지막으로 액세스한 작업 정보는 일부 Amazon S3 작업에만 사용할 수 있습니다.

변경을 수행할 때 IAM 콘솔 보고서에 작업이 나타날 때까지 최소 4시간을 기다리십시오. AWS CLI 또는 AWS API를 사용하는 경우 업데이트된 정보를 표시하려면 새 보고서를 생성해야 합니다.

장소 AWS 마지막으로 액세스한 정보 추적

AWS는 표준 AWS 리전에 대해 마지막으로 액세스한 정보를 수집합니다. AWS에서 리전을 추가하면 AWS에서 각 리전의 정보 추적을 시작한 날짜와 함께 해당 리전이 다음 테이블에 추가됩니다.

  • 서비스 정보 – 서비스 추적 기간은 지난 400일이며 해당 리전에서 작년에 이 기능을 지원하기 시작한 경우 이보다 짧습니다.

  • 작업 정보 – Amazon S3 관리 작업에 대한 추적 기간은 2020년 4월 12일에 시작되었습니다. 리전 추적 시작 날짜가 2020년 4월 12일 이후인 경우 해당 날짜는 해당 리전에 대해 작업이 추적을 시작하는 날짜이기도 합니다.

리전 이름 리전 추적 시작 날짜
미국 동부(오하이오) us-east-2 2017년 10월 27일
미국 동부(버지니아 북부) us-east-1 2015년 10월 1일
미국 서부(캘리포니아 북부 지역) us-west-1 2015년 10월 1일
미국 서부(오레곤) us-west-2 2015년 10월 1일
아시아 태평양(홍콩) ap-east-1 2019년 4월 24일
아시아 태평양(뭄바이) ap-south-1 2016년 6월 27일
아시아 태평양(서울) ap-northeast-2 2016년 1월 6일
아시아 태평양(싱가포르) ap-southeast-1 2015년 10월 1일
아시아 태평양(시드니) ap-southeast-2 2015년 10월 1일
아시아 태평양(도쿄) ap-northeast-1 2015년 10월 1일
캐나다(중부) ca-central-1 2017년 10월 28일
유럽(프랑크푸르트) eu-central-1 2015년 10월 1일
유럽(스톡홀름) eu-north-1 2018년 12월 12일
유럽(아일랜드) eu-west-1 2015년 10월 1일
유럽(런던) eu-west-2 2017년 10월 28일
유럽(밀라노) eu-south-1 2020년 4월 28일
유럽(파리) eu-west-3 2017년 12월 18일
중동(바레인) me-south-1 2019년 7월 29일
아프리카(케이프타운) af-south-1 2020년 4월 22일
남아메리카(상파울루) sa-east-1 2015년 12월 11일

앞의 테이블에 나와 있지 않은 리전은 마지막으로 액세스한 정보를 아직 제공하지 않습니다.

AWS 리전은 AWS 리소스를 지리적 영역에 모아 놓은 것입니다. 리전은 파티션으로 그룹화됩니다. 표준 리전은 aws 파티션에 속하는 리전입니다. 여러 파티션에 대한 자세한 내용은 AWS General Reference의 Amazon 리소스 이름(ARN) 형식을 참조하십시오. 리전에 대한 자세한 내용은 AWS General Reference의 AWS 지역 정보를 참조하십시오.