AWS Identity and Access Management Access Analyzer 사용하기 - AWS Identity and Access Management

AWS Identity and Access Management Access Analyzer 사용하기

AWS Identity and Access Management Access Analyzer에서 다음 기능이 제공됩니다.

외부 엔티티와 공유되는 리소스 식별

IAM Access Analyzer를 사용하면 외부 엔터티와 공유되는 조직 및 계정 내 리소스(예: Amazon S3 버킷 또는 IAM 역할)를 식별할 수 있습니다. 이렇게 하면 리소스 및 데이터에 대한 의도하지 않은 액세스라는 보안 위험을 식별할 수 있습니다. IAM Access Analyzer는 외부 보안 주체와 공유되는 리소스를 식별하기 위해 AWS 환경에서 리소스 기반 정책을 분석하는 로직 기반 추론을 사용합니다. 계정 외부에서 공유되는 리소스의 각 인스턴스에 대해 IAM Access Analyzer는 결과를 생성합니다. 결과에는 액세스에 대한 정보와 액세스 권한이 부여되는 외부 보안 주체에 대한 정보가 포함됩니다. 결과를 검토하여 액세스가 의도한 안전한 액세스인지 또는 액세스가 의도하지 않은 보안 위험인지 확인할 수 있습니다. 외부 엔터티와 공유되는 리소스를 식별하는 데 도움이 될 뿐 아니라 리소스 권한을 배포하기 전에 IAM Access Analyzer 검색 결과를 사용하여 정책이 리소스에 대한 퍼블릭 및 크로스 계정 액세스에 미치는 영향을 미리 볼 수 있습니다. 조사 결과는 시각적 요약 대시보드에 정리되어 있습니다. 대시보드는 공개 액세스 조사 결과와 교차 계정 액세스 조사 결과 간의 차이를 강조 표시하고 리소스 유형별로 조사 결과를 분류하여 제공합니다. 대시보드에 대한 자세한 내용은 IAM Access Analyzer 조사 결과 대시보드 보기 섹션을 참조하세요.

참고

외부 엔터티는 다른 AWS 계정, 루트 사용자, IAM 사용자 또는 역할, 페더레이션 사용자, 익명 사용자 또는 필터 생성에 사용할 수 있는 다른 엔터티일 수 있습니다. 자세한 내용은 AWS JSON 정책 요소: 보안 주체를 참조하세요.

IAM Access Analyzer를 활성화할 때 전체 조직 또는 계정에 대한 분석기를 생성하게 됩니다. 선택한 조직 또는 계정을 분석기의 신뢰 영역이라고 합니다. 분석기는 신뢰 영역 내에서 지원되는 모든 리소스를 모니터링합니다. 신뢰 영역 내에 있는 보안 주체에 의한 리소스 액세스는 신뢰할 수 있는 것으로 간주됩니다. IAM Access Analyzer가 활성화되면 신뢰 영역에서 지원되는 모든 리소스에 적용되는 정책이 분석됩니다. 첫 번째 분석 후 IAM Access Analyzer는 정기적으로 이들 정책을 분석합니다. 새 정책을 추가하거나 기존 정책을 변경한 경우, IAM Access Analyzer는 약 30분 내에 새 정책 또는 업데이트된 정책을 분석합니다.

정책을 분석할 때 IAM Access Analyzer가 신뢰 영역 내에 없는 외부 보안 주체에 액세스 권한을 부여하는 정책을 식별하면 결과가 생성됩니다. 각 결과에는 리소스에 대한 세부 정보, 리소스에 대한 액세스 권한이 있는 외부 엔터티, 적절한 작업을 수행할 수 있도록 부여된 권한에 대한 세부 정보가 포함되어 있습니다. 결과에 포함된 세부 정보를 확인하여 리소스 액세스가 의도적인지, 아니면 확인해야 할 잠재적 위험 요소인지 확인할 수 있습니다. 리소스에 정책을 추가하거나 기존 정책을 업데이트할 때 IAM Access Analyzer가 정책을 분석합니다. 또한 IAM Access Analyzer는 주기적으로 모든 리소스 기반 정책을 분석합니다.

드문 경우지만 특정 조건에서 IAM Access Analyzer가 추가되거나 업데이트된 정책에 대한 알림을 받지 못해 생성된 결과가 지연될 수 있습니다. Amazon S3 버킷과 연결된 다중 리전 액세스 포인트를 생성 또는 삭제하거나 다중 리전 액세스 포인트에 대한 정책을 업데이트하는 경우 IAM Access Analyzer에서 검색 결과를 생성하거나 해결하는 데 최대 6시간까지 걸릴 수 있습니다. 또한 AWS CloudTrail 로그 전달 또는 리소스 제어 정책(RCP) 제한 변경 사항에 전송 문제가 있는 경우 정책을 변경해도 조사 결과에 보고된 리소스의 다시 스캔이 트리거되지 않습니다. 이런 경우 IAM Access Analyzer는 다음 주기적 검색 중에(24시간 이내) 새 정책 또는 업데이트된 정책을 분석합니다. 정책을 변경하면 결과에 보고된 액세스 문제가 해결되는지 확인하려는 경우 결과 세부 정보 페이지의 다시 검색(Rescan) 링크를 사용하거나 IAM Access Analyzer API의 StartResourceScan 작업을 사용하여 결과에 보고된 리소스를 다시 검색할 수 있습니다. 자세한 내용은 IAM Access Analyzer 조사 결과 해결을 참조하십시오.

중요

IAM Access Analyzer에서는 해당 Access Analyzer가 활성화된 AWS 리전의 리소스에 적용되는 정책만 분석합니다. AWS 환경의 모든 리소스를 모니터링하려면 지원되는 AWS 리소스를 사용 중인 각 리전에서 IAM Access Analyzer를 활성화하기 위해 분석기를 생성해야 합니다.

IAM Access Analyzer는 다음과 같은 리소스 유형을 분석합니다.

IAM 사용자 및 역할에 부여된 미사용 액세스 권한 식별

IAM Access Analyzer를 사용하면 AWS 조직 및 계정 내 미사용 액세스를 식별하고 검토할 수 있습니다. IAM Access Analyzer는 AWS 조직 및 계정의 모든 IAM 역할과 사용자를 지속적으로 모니터링하고 미사용 액세스에 대한 조사 결과를 생성합니다. 조사 결과에는 미사용 역할, IAM 사용자의 미사용 액세스 키, IAM 사용자의 미사용 암호가 강조 표시됩니다. 활성 IAM 역할 및 사용자의 경우, 조사 결과를 통해 미사용 서비스 및 작업을 파악할 수 있습니다.

외부 액세스 및 미사용 액세스 분석기의 조사 결과는 시각적 요약 대시보드에 정리되어 있습니다. 대시보드에는 조사 결과가 가장 많은 AWS 계정이 강조 표시되며 유형별로 조사 결과를 분류하여 제공합니다. 대시보드에 대한 자세한 내용은 IAM Access Analyzer 조사 결과 대시보드 보기 섹션을 참조하세요.

IAM Access Analyzer는 미사용 액세스를 식별할 수 있도록 AWS 조직 및 계정의 모든 역할에 대해 마지막으로 액세스한 정보를 검토합니다. IAM 작업 마지막으로 액세스한 정보는 AWS 계정 내 역할에 대한 미사용 작업을 식별하는 데 도움이 됩니다. 자세한 내용은 마지막으로 액세스한 정보를 사용하여 AWS에서 권한 재정의 단원을 참조하십시오.

AWS 모범 사례와 비교하여 정책 검증

IAM Access Analyzer 정책 검증에서 제공하는 기본 정책 확인을 사용하여 IAM 정책 문법AWS 모범 사례에 따라 정책을 검증할 수 있습니다. AWS CLI, AWS API 또는 IAM 콘솔의 JSON 정책 편집기를 사용하여 정책을 생성 또는 편집할 수 있습니다. 보안 경고, 오류, 일반 경고 및 정책에 대한 제안 사항이 포함된 정책 유효성 검사 결과를 볼 수 있습니다. 이러한 조사 결과는 AWS 모범 사례 준수 기능을 갖춘 정책을 작성하는 데 도움이 되는 실행 가능한 권장 사항을 제공합니다. 정책 검증을 사용하여 정책을 검증하는 방법에 대한 자세한 내용은 IAM Access Analyzer에서 정책 검증 섹션을 참조하세요.

지정된 보안 표준에 따라 정책을 검증

IAM Access Analyzer 사용자 지정 정책 확인을 사용하여 지정된 보안 표준에 따라 정책을 검증할 수 있습니다. AWS CLI, AWS API 또는 IAM 콘솔의 JSON 정책 편집기를 사용하여 정책을 생성 또는 편집할 수 있습니다. 콘솔을 통해 업데이트된 정책이 기존 버전과 비교하여 새 액세스를 허용하는지 확인할 수 있습니다. AWS CLI 및 AWS API를 통해 중요하다고 생각되는 특정 IAM 작업이 정책에서 허용되지 않는지 확인할 수도 있습니다. 이러한 확인에서 새 액세스 권한을 부여하는 정책 내용을 강조 표시합니다. 정책이 보안 표준을 준수할 때까지 정책 내용을 업데이트하고 확인을 다시 실행할 수 있습니다. 사용자 지정 정책 확인을 통해 정책을 검증하는 방법에 대한 자세한 내용은 IAM Access Analyzer 정책 확인을 통한 정책 검증 섹션을 참조하세요.

정책 생성

IAM Access Analyzer는 AWS CloudTrail 로그를 분석하여 지정된 날짜 범위 내에서 IAM 엔터티(사용자 또는 역할)가 사용한 작업 및 서비스를 식별합니다. 그런 다음 해당 액세스 활동을 기반으로 하는 IAM 정책을 생성합니다. 생성된 정책을 IAM 사용자 또는 역할에 연결하여 엔터티의 권한을 세분화하는 데 사용할 수 있습니다. IAM Access Analyzer를 사용하여 정책을 생성하는 방법에 대한 자세한 내용은 IAM Access Analyzer 정책 생성 섹션을 참조하세요.

IAM Access Analyzer 요금

IAM Access Analyzer는 매월 분석기별로 분석된 IAM 역할 및 사용자 수를 기준으로 미사용 액세스 분석에 대한 요금을 부과합니다.

  • 생성한 각 미사용 액세스 분석기에 대한 요금이 청구됩니다.

  • 여러 리전에 걸쳐 미사용 액세스 분석기를 생성하면 각 분석기에 대한 요금이 부과됩니다.

  • 서비스 연결 역할은 미사용 액세스 활동이 분석되지 않으며 분석된 총 IAM 역할 수에 포함되지 않습니다.

IAM Access Analyzer는 새 액세스를 확인하기 위해 IAM Access Analyzer에 보낸 API 요청 수를 기준으로 사용자 지정 정책 확인에 대한 요금을 부과합니다.

IAM Access Analyzer에 관련된 전체적인 요금 및 가격 목록은 IAM Access Analyzer 요금을 참조하세요.

청구 요금은 AWS Billing and Cost Management 콘솔청구 및 비용 관리 대시보드에서 확인할 수 있습니다. 청구서에는 요금 내역을 자세하게 확인할 수 있는 사용 보고서 링크가 포함됩니다. AWS 계정 결제에 대한 자세한 내용은 AWS Billing 사용 설명서를 참조하세요.

AWS 결제, 계정 및 이벤트에 관련된 질문은 AWS Support에 문의하세요.