미사용 AWS 자격 증명 찾기 - AWS Identity and Access Management

미사용 AWS 자격 증명 찾기

AWS 계정의 보안을 강화하려면 불필요한 IAM 사용자 보안 인증(암호와 액세스 키)을 제거합니다. 예를 들어, 사용자가 조직을 떠나거나 AWS 액세스가 더 이상 필요하지 않은 경우 해당 자격 증명을 찾아서 더 이상 작동하지 않도록 해야 합니다. 더 이상 필요 없는 자격 증명을 삭제하는 것이 가장 좋습니다. 나중에 필요한 경우가 생기면 언제든지 다시 생성할 수 있습니다. 적어도 암호를 변경하거나 액세스 키를 비활성화하여 이전 사용자가 더 이상 액세스할 수 없게 해야 합니다.

미사용은 이와는 다른 것으로 보통 특정 기간 동안 사용되지 않은 자격 증명을 뜻합니다.

미사용 암호 찾기

AWS Management Console을 사용하여 사용자의 암호 사용 정보를 볼 수 있습니다. 사용자 수가 많을 경우 콘솔을 사용하여 각 사용자가 자신의 콘솔 암호를 사용한 최종 시각에 대한 정보가 담긴 자격 증명 보고서를 다운로드할 수 있습니다. AWS CLI 또는 IAM API에서 해당 정보에 액세스할 수도 있습니다.

미사용 암호를 확인하려면(콘솔)
  1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 사용자를 선택합니다.

  3. 필요할 경우 사용자 테이블에 Console last sign-in(콘솔 마지막 로그인) 열을 추가합니다.

    1. 테이블 위 맨 오른쪽에서 설정 아이콘( Settings icon )을 선택합니다.

    2. 표시되는 열 선택에서 콘솔 마지막 로그인을 선택합니다.

    3. 확인을 선택하여 사용자 목록으로 돌아갑니다.

  4. [Console last sign-in(콘솔 마지막 로그인)] 열에 사용자가 콘솔을 통해 마지막으로 AWS에 로그인한 날짜가 표시됩니다. 이 정보를 통해 지정된 기간 이상 동안 암호를 사용하여 로그인하지 않은 사용자를 확인할 수 있습니다. 암호 사용자 중 로그인한 적이 없는 사용자는 이 열에 없음이라고 표시됩니다. 없음은 암호가 없는 사용자를 나타냅니다. 최근에 사용된 적이 없는 암호는 삭제해야 할 자격 증명을 식별하기 위한 좋은 기준이 될 수 있습니다.

    중요

    서비스 문제로 인해 암호가 마지막으로 사용된 데이터에 2018년 5월 3일 22:50 PDT ~ 2018년 5월 23일 14:08 PDT 사이의 암호 사용이 포함되어 있지 않습니다. 이는 IAM 콘솔에 표시되는 마지막 로그인 날짜, IAM 자격 증명 보고서의 암호가 마지막으로 사용된 날짜와 GetUser API 연산에 의해 반환되는 암호가 마지막으로 사용된 날짜에 영향을 줍니다. 사용자가 해당 기간에 로그인한 경우 반환되는 암호가 마지막으로 사용된 날짜는 사용자가 2018년 5월 3일 이전에 마지막으로 로그인한 날짜입니다. 사용자가 2018년 5월 23일 14:08 PDT 이후에 로그인한 경우 반환되는 암호가 마지막으로 사용된 날짜는 정확합니다.

    마지막으로 사용된 암호 정보를 사용하여 사용되지 않는 자격 증명을 식별하고 삭제하는 경우(예: 지난 90일 동안 AWS에 로그인하지 않은 사용자 삭제) 2018년 5월 23일 이후의 날짜를 포함하도록 평가 기간을 조정하는 것이 좋습니다. 또는 사용자가 액세스 키를 사용하여 AWS에 프로그래밍 방식으로 액세스하는 경우 액세스 키가 마지막으로 사용된 정보가 모든 날짜에 대해 정확하므로 해당 정보를 참조할 수 있습니다.

자격 증명 보고서를 다운로드하여 미사용 암호를 찾으려면(콘솔)
  1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/ 에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 자격 증명 보고서를 선택합니다.

  3. 보고서 다운로드를 선택하여 status_reports_<date>T<time>.csv라는 쉼표 구분 값(CSV) 파일을 다운로드합니다. 5번째 열에는 날짜 또는 다음 중 하나가 있는 password_last_used 열이 포함됩니다.

    • 해당 없음 - 할당된 암호가 전혀 없는 사용자

    • no_information - IAM이 2014년 10월 20일에 암호 수명을 추적하기 시작한 이후 암호를 사용하지 않은 사용자

미사용 암호를 찾으려면(AWS CLI)

미사용 암호를 찾으려면 다음 명령을 실행합니다.

  • aws iam list-users는 각자 PasswordLastUsed 값이 있는 사용자 목록을 반환합니다. 값이 비어 있는 경우 사용자에게 암호가 없거나 2014년 10월 20일 IAM이 암호 수명을 추적하기 시작한 이후 암호가 사용되지 않은 것입니다.

미사용 암호를 찾으려면(AWS API)

미사용 암호를 찾으려면 다음 연산을 호출합니다.

  • ListUsers는 각각 <PasswordLastUsed> 값이 있는 사용자의 집합을 반환합니다. 값이 비어 있는 경우 사용자에게 암호가 없거나 2014년 10월 20일 IAM이 암호 수명을 추적하기 시작한 이후 암호가 사용되지 않은 것입니다.

자격 증명 보고서를 다운로드하기 위한 명령어에 대한 자세한 내용은 자격 증명 보고서 가져오기(AWS CLI)섹션을 참조하세요.

미사용 액세스 키 찾기

AWS Management Console을 사용하여 사용자의 액세스 키 사용 정보를 볼 수 있습니다. 사용자 수가 많을 경우 콘솔을 사용하여 자격 증명 보고서를 다운로드하여 각 사용자가 자신의 액세스 키를 마지막으로 사용한 때를 알 수 있습니다. AWS CLI 또는 IAM API에서 해당 정보에 액세스할 수도 있습니다.

미사용 액세스 키를 확인하려면(콘솔)
  1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 사용자를 선택합니다.

  3. 필요할 경우 사용자 테이블에 Access key last used(마지막으로 사용한 액세스 키) 열을 추가합니다.

    1. 테이블 위 맨 오른쪽에서 설정 아이콘( Settings icon )을 선택합니다.

    2. 표시되는 열 선택에서 마지막으로 사용한 액세스 키를 선택합니다.

    3. 확인을 선택하여 사용자 목록으로 돌아갑니다.

  4. Access key last used(마지막으로 사용한 액세스 키) 열에는 사용자가 프로그래밍 방식으로 AWS에 마지막으로 액세스한 때부터 경과한 일수가 표시됩니다. 이 정보를 통해 지정된 기간 이상 동안 액세스 키를 사용하지 않은 사용자를 확인할 수 있습니다. 액세스 키가 없는 사용자는 이 열에 가 표시됩니다. 최근에 사용된 적이 없는 액세스 키는 삭제해야 할 자격 증명을 식별하기 위한 좋은 기준이 될 수 있습니다.

자격 증명 보고서를 다운로드하여 미사용 액세스 키를 찾으려면(콘솔)
  1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/ 에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 Credential Report(자격 증명 보고서)를 선택합니다.

  3. 보고서 다운로드를 선택하여 status_reports_<date>T<time>.csv라는 쉼표 구분 값(CSV) 파일을 다운로드합니다. 열 11부터 13에는 액세스 키 1의 마지막 사용 날짜, 리전 및 서비스 정보가 표시됩니다. 열 16부터 18에는 액세스 키 2에 대해 동일한 정보가 표시됩니다. 값이 해당 없음으로 되어 있는 것은 사용자에게 액세스 키가 없거나 2015년 4월 22일 IAM이 액세스 키 수명을 추적하기 시작한 이후 사용자가 액세스 키를 사용하지 않았다는 것입니다.

미사용 액세스 키를 확인하려면(AWS CLI)

미사용 액세스 키를 찾으려면 다음 명령을 실행합니다.

  • aws iam list-access-keysAccessKeyID를 포함해 사용자의 액세스 키에 대한 정보를 반환합니다.

  • aws iam get-access-key-last-used는 액세스 키 ID를 받아들여 LastUsedDate 액세스 키의 마지막 사용 및 Region 마지막으로 요청된 서비스의 ServiceName을 포함하는 출력을 반환합니다. LastUsedDate가 없는 경우 2015년 4월 22일 IAM이 액세스 키 수명을 추적하기 시작한 이후 액세스 키가 사용되지 않은 것입니다.

미사용 액세스 키를 확인하려면(AWS API)

미사용 액세스 키를 찾으려면 다음 연산을 호출합니다.

  • ListAccessKeys는 지정된 사용자와 연결된 액세스 키에 대한 AccessKeyID 값의 목록을 반환합니다.

  • GetAccessKeyLastUsed는 액세스 키 ID를 받아들여 값의 집합을 반환합니다. LastUsedDate, 액세스 키가 마지막으로 사용된 Region 및 마지막으로 요청된 서비스의 ServiceName이 포함되어 있습니다. 값이 비어 있는 경우 사용자에게 액세스 키가 없거나 2015년 4월 22일 IAM이 액세스 키 수명을 추적하기 시작한 이후 액세스 키가 사용되지 않은 것입니다.

자격 증명 보고서를 다운로드하기 위한 명령어에 대한 자세한 내용은 자격 증명 보고서 가져오기(AWS CLI)섹션을 참조하세요.