Amazon Web Services 한국 블로그

AWS IAM 서비스 최종 접근 데이터 기능, 서울 리전 출시

지난해 말 AWS Identity and Access Management (IAM)에서 IAM 엔티티 (사용자, 그룹, 역할)가 AWS 서비스에 마지막으로 접근한 시간을 표시하는 기능인 Service Last Accessed Data 를 출시했습니다. 오늘부터 서울 리전에서 사용할 수 있습니다.

이 기능은 최소한 권한 부여에 크게 도움이 되는 기능입니다. IAM 사용자에게 불필요한 권한을 주지 않고, 최소한의 권한을 주는 것은 보안에 매우 중요한 요소입니다.

IAM 서비스에서 Access Advisor탭을 누르면, 아래 정보를 보실 수 있습니다.

  • 접근 정책에 대한 서비스 권한 목록
  • 사용자, 그룹 및 정책에 대한 서비스 권한 목록
  • 마지막으로 접근한 시간

아래 스크린샷은 마지막으로 접근한 서비스 목록에 대한 예제입니다.

Service Last Accessed Data의 정보가 추가되어 어떤 권한을 제거 할 수 있는지를보다 쉽게​​ 식별 할 수있게되었습니다. IAM 엔티티와 정책에 대해 다음과 같은 정보에 액세스 할 수 있습니다 :

  • 접근 정책이나 그룹에 관련된 모든 IAM 사용자 및 역할 Last Accessed Data
  • 기존 IAM 사용자, 역할 그룹에 서비스 권한을 부여하는 모든 정책

이러한 상세 데이터에 의해 접근 패턴과 정책 구성을 보다 쉽게​​ 이해할 수 있습니다. 결과적으로 더 나은 정보를 바탕으로 권한 관리 결정을 내릴 수 있습니다.

Service Last Accessed Data 활용한 IAM 권한 보기
여러분이 AWS 내부 사용자 및 클라우드 보안을 관리하는 IAM의 관리자라면, IAM 사용자 권한 및 역할에 대한 정책이 얼마나 넓게 적용되어 있는지를 알고 싶을 것입니다.

지금까지는 관리 정책의 Access Advisor 탭에서는 서비스가 언제 마지막으로 접근했는지 AWS CloudTrail 로그를 검색하지 않더라도 Access by Entities 열의 링크를 클릭하여 어떤 사용자 또는 역할이 서비스에 마지막으로 접근했는지, 해당 서비스와 관련된 모든 사용자 및 역할이 언제 마지막으로 접근했는지 바로 볼 수있게되었습니다.

예를 들어, 다음 스크린 샷은있는 관리 정책에서 부여 된 Amazon EC2의 권한에 대한 정보를 볼 수 있습니다. IAM 정책을 연결한 모든 사용자 및 역할이 실제로 EC2에 접근하는 것은 아닙니다. 즉, 사용자 및 역할 중 일부는 취소 가능한 과대 권한을 가지고 있는지를 보여줍니다.

Access Advisor를 통한 IAM 권한 변경하기
Service Last Accessed Data를 참조 후, 사용자 및 역할에서 필요없는 정책을 삭제하거나 분리하거나 싶을 경우, Policies Granting Permissions 서비스 권한 링크를 클릭하십시오. 그러면 AWS 관리 정책 및 IAM 그룹에서 상속된 정책이 표시됩니다. 대화 상자에서 정책의 이름을 클릭하여 해당 정책을 참조 할 수 쉽게 변경할 수 있습니다.

아래 화면은 IAM 사용자에게 부여되는 EC2에 대한 권한의 소스를 보여줍니다. 여러 관리용 인라인 정책이 정의되어 있고, 일부 정책을 삭제하거나 통합하는 것이 적절하다는 것을 시사하고 있습니다.

Service Last Accessed Data에 대한 자세한 사항은 Remove Unnecessary Permissions in Your IAM Policies by Using Service Last Accessed Data, Now Available: Get Even More Details from Service Last Accessed Data 혹은 Remove Unnecessary Permissions in Your IAM Policies by Using Service Last Accessed Data 블로그 글을 참고하시기 바랍니다.