Amazon Web Services 한국 블로그

AWS IAM Access Analyzer – 수학적 자동 추론을 통한 접근 제어 기능 추가 (서울 리전 포함)

AWS IAM Access Analyzer는 클라우드 자원에 연결된 액세스 제어 정책을 수학적으로 분석하여, AWS 계정 내의 접근 제어의 전체적인 영향을 파악할 수 있으므로 외부의 의도하지 않은 액세스로부터 보호할 수 있습니다.

IAM Access Analyzer는 Amazon Simple Storage Service(S3) 버킷, IAM 역할, AWS Key Management Service(KMS) 키, AWS Lambda 함수 및 Amazon Simple Queue Service(SQS) 대기열에 대한 모든 정책을 지속적으로 모니터링합니다.

몇 가지 예를 살펴보겠습니다. IAM Access Analyzer 스캔 결과에 소스 IP 11.0.0.0/15에서 시작된, ID가 123456789012인 AWS 계정에서 my-bucket-1이라는 S3 버킷에 액세스할 수 있는 것으로 표시될 수 있습니다. 또는 IAM Access Analyzer가 다른 계정의 사용자에게 키 삭제를 허용하는 KMS 키 정책을 감지하여 사용자가 정책 조정을 통해 해결할 수 있는 데이터 손실 위험을 식별할 수 있습니다. 스캔 결과에 의도적 액세스 경로가 표시될 경우 아카이브될 수 있습니다.

그렇다면, IAM Access Analyzer의 작동 원리는 무엇일까요? IAM Access Analyzer는 서비스 내 접근 정책을 평가하여 지정된 리소스에 액세스할 수 있는 방법을 결정합니다. 이러한 분석은 역사적 사건이나 패턴 일치 또는 무차별 대입 테스트를 기반으로 하지 않는다는 것입니다. 대신 IAM Access Analyzer는 정책을 의미론적으로 이해합니다. 모든 가능한 액세스 경로를 수학적 증명으로 검증하고 수천 개의 정책을 단 몇 초 만에 분석할 수 있습니다. 이 작업은 자동 추론이라는 인지 과학을 사용하여 수행됩니다.

자동 추론에 대해 알아보려는 경우 먼저 짧은 동영상 설명을 살펴볼 것을 적극 추천합니다. 조금 더 깊게 알아보고 싶다면 AWS Automated Reasoning Group의 이사인 Byron Cook이 전하는 이 re:Invent 자동화 추론에 관한 설명을 확인하시기 바랍니다. 방법론을 이해하는 데 관심이 있다면 카모마일 차 한 잔을 마시며 담요를 덮고 Semantic-based Automated Reasoning for AWS Access Policies using SMT 사본을 살펴보십시오.

IAM Access Analyzer를  시작하려면, IAM 콘솔로 이동하여 왼쪽에 있는 메뉴에서 Access Analyzer를 선택한 다음 Create analyzer를 클릭하십시오.

Access Analyzer 생성

Analyzer는 생성 시 사용한 계정에 스캔 결과를 생성합니다. 또한 Analyzer는 생성 시 정의한 리전 내에서 작동하므로 스캔 결과를 확인하려고 하는 각 리전에 Analyzer를 생성하십시오.

여기서는 Analyzer가 생성된 후 액세스 가능한 리소스를 보여 주는 스캔 결과가 콘솔에 나타납니다. 제 계정에 KMS 키, IAM 역할 등 다른 계정 및 연합된 사용자가 액세스할 수 있는 리소스를 보여 주는 몇 가지 스캔 결과가 생성되었습니다.Access Analyzer 스캔 결과 보기

첫 번째 스캔 결과를 클릭하고 해당 KMS 키에 대한 액세스 정책을 확인하겠습니다.

Access Analyzer 스캔 결과

이 스캔 결과를 통해 열린 액세스 경로와 관련 리소스 및 보안 주체에 대한 세부 정보를 확인할 수 있습니다. KMS 콘솔로 이동하여 이 액세스가 의도된 액세스임을 확인하고 이 스캔 결과를 아카이브했습니다.

모든 IAM Access Analyzer 스캔 결과는 IAM 콘솔에 표시되며, IAM Access Analyzer API를 통해서도 액세스할 수 있습니다. S3 버킷과 관련된 스캔 결과는 S3 콘솔에서 직접 볼 수 있습니다. 그런 다음, S3 콘솔에서 바로 버킷 정책을 업데이트하여 열린 액세스 경로를 닫을 수 있습니다.

S3에서의 Access Analyzer 스캔 결과

또한 IAM Access Analyzer가 생성한 스캔 결과 중 우선순위가 높은 항목을 AWS Security Hub에서 확인할 수 있어 규정 준수 및 보안 관련 팀원에게 포괄적인 단일 정보 소스가 보장됩니다. 또한 IAM Access AnalyzerCloudWatch Events와 통합되므로 사용자 지정 규칙을 통해 스캔 결과에 관한 알림에 자동으로 응답하거나 알림을 자동으로 전송할 수 있습니다.

본 서비스는 AWS IAM 서비스가 제공되는 모든 리전에서 무료로 제공되니 지금 사용해 보시기 바랍니다.

— Brandon