IAM Access Analyzer를 이용한 3단계 보안 점검
1단계: 분석기(Analyzer) 생성 및 신뢰 영역(Zone of Trust) 설정
먼저 무엇을 '내부'로 볼지 기준을 정해야 합니다.
IAM 콘솔 → [Access Analyzer] → [분석기 생성]을 클릭합니다.
신뢰 영역(Zone of Trust): '현재 계정'만 보호할지, 아니면 '현재 조직(Organization)' 전체를 내부로 볼지 선택합니다.
팁: 조직 단위로 설정하면 계정 간 공유(Cross-account) 중 우리 회사 계정끼리의 공유는 '정상'으로 분류하고, 순수 외부와의 공유만 '위험'으로 찾아줍니다.
2단계: 외부 노출 결과(Findings) 분석
분석기가 생성되면 즉시 S3, IAM 역할, KMS 키 등을 스캔하여 결과를 보여줍니다.
결과 확인: [검토 결과(Findings)] 탭에서 '외부(External)'라고 표시된 항목을 확인합니다.
유형 파악:
Public Access: 인터넷 전체에 열려 있는 위험한 상태 (우선 조치 대상!).
Cross-account Access: 특정 외부 AWS 계정에 권한을 준 상태 (파트너사 연동 등).
상태 관리: 의도된 공유라면 [보관(Archive)] 처리하여 리스트에서 숨기고, 위험한 공유는 즉시 조치합니다.
3단계: 권한 제거 및 정책 수정 (Remediation)
위험한 공유를 발견했다면 해당 리소스의 정책(Policy)을 수정해야 합니다.
결과 상세 페이지에서 [리소스 편집(Edit resource policy)] 링크를 클릭합니다.
정책 내용 중
Principal: "*"또는 외부 계정 ID가 포함된 문구(Statement)를 삭제하거나 수정합니다.수정 후 다시 분석기를 돌리면 해당 항목이 [해결됨(Resolved)]으로 바뀝니다. 이 화면이 바로 보안 심사 제출용 증빙 자료가 됩니다.
핵심 기능: 미사용 권한 분석 (Unused Access)
보안 심사에서는 외부 노출뿐만 아니라 안 쓰는데 가지고 있는 권한(Least Privilege 위반)도 지적 대상입니다.
기능 | 외부 노출 분석 (External Access) | 미사용 권한 분석 (Unused Access) |
목적 | 외부 침투 경로 차단 | 최소 권한 원칙(Principle of Least Privilege) 준수 |
대상 | S3, KMS, IAM Role 등의 리소스 정책 | IAM 사용자/역할의 권한 설정 |
핵심 질문 | "누가 밖에서 들어올 수 있는가?" | "이 직원이 지난 90일간 이 권한을 썼는가?" |
Tip
정책 유효성 검사(Policy Validation) 기능이 강화되어, 정책을 작성하는 즉시 "이건 외부 노출 위험이 있습니다"라고 미리 경고해 주니 적극 활용하세요.
댓글
댓글 0개
이 문서에는 댓글을 달 수 없습니다.