AWS IAM Access Analyzer 기능
개요
IAM Access Analyzer는 권한을 설정, 확인 및 조정할 수 있는 도구를 제공하여 최소 권한을 사용하도록 안내합니다. 포괄적인 권한 분석 및 정책 검증 도구인 IAM Access Analyzer는 액세스 탐지, 정책 검사 및 정책 생성을 제공합니다.
IAM Access Analyzer는 입증 가능한 보안을 사용하여 외부, 내부 및 미사용 액세스에 대한 포괄적인 조사 결과와 사용자 지정 정책 검사를 제공합니다. 입증할 수 있는 보안은 수학적 논리를 적용하여 인프라에 대한 중요한 질문(예: AWS 권한)에 답하는 데 도움이 되는 자동 추론 기술을 사용합니다. AWS 자동 추론 도구 및 방법이 클라우드에 대해 더 높은 수준의 보안을 보장하는 방법을 알아보려면 자동 추론이란 무엇인가요?를 참조하거나 Formal Reasoning About the Security of Amazon Web Services 백서를 다운로드하세요.
세분화된 권한 설정
모두 열기
IAM 액세스 분석기는 AWS CloudTrail 로그에 캡처된 액세스 활동을 기반으로 세분화된 정책을 생성합니다. 즉, 애플리케이션을 구축하고 실행한 후 애플리케이션 작업에 필요한 권한만 부여하는 IAM 정책을 생성할 수 있습니다.
IAM Access Analyzer의 안내에 따라 IAM 모범 사례를 기반으로 안전하게 기능하는 정책을 작성하고 검증할 수 있습니다. 예를 들어, 정책에 IAM:PassRole 권한을 포함하고 리소스 요소에 별표를 표시하면 IAM Access Analyzer가 이 정책에 보안 경고 플래그를 지정합니다. IAM Access Analyzer에는 보안 경고, 오류, 일반 경고, 정책에 대한 IAM 모범 사례 제안의 네 가지 정책 검증 조사 결과 유형이 포함되어 있습니다. 조사 결과는 AWS 모범 사례와 보안 표준을 준수하고 제대로 작동하는 정책을 작성하는 데 도움이 되는 유용한 권장 사항을 제공합니다.
사용자의 액세스 권한과 액세스 대상 확인
모두 열기
IAM Access Analyzer는 기존 외부 액세스가 의도를 충족하는지 확인하는 데 필요한 지침을 제공합니다. IAM Access Analyzer는 입증 가능한 보안 보장을 위해 자동화된 추론 도구를 사용하여 AWS 리소스에 대한 모든 외부 액세스를 분석합니다. IAM Access Analyzer를 활성화하면 신규 또는 업데이트된 리소스 권한이 지속적으로 모니터링되고 퍼블릭 및 교차 계정 액세스를 부여하는 권한을 식별하는 데 도움이 되는 정보가 제공됩니다. 예를 들어 Amazon S3 버킷 정책이 변경되면 IAM Access Analyzer는 계정 외부의 사용자가 버킷에 액세스할 수 있게 되었음을 알려줍니다. IAM Access Analyzer에서는 이 동일한 분석을 사용하여 권한 변경을 배포하기 전에 퍼블릭 및 크로스 계정 액세스를 손쉽게 검토하고 검증할 수 있습니다.
IAM Access Analyzer는 AWS 조직 내에서 중요한 AWS 리소스에 액세스할 수 있는 사용자를 식별합니다. 자동 추론을 사용하여 여러 정책을 종합적으로 평가하고 사용자나 역할이 S3, DynamoDB 또는 RDS 리소스에 액세스할 수 있을 때 조사 결과를 생성합니다. 통합 대시보드에 조사 결과가 집계되어 액세스 검토 및 관리가 간소화됩니다. Amazon EventBridge를 사용하여 새로운 조사 결과를 개발 팀에 자동으로 알려 의도하지 않은 액세스를 제거할 수 있습니다. 내부 액세스 조사 결과는 보안 팀이 중요 리소스에 대한 액세스 제어를 강화할 수 있는 가시성을 제공하고 규정 준수 팀이 액세스 제어 감사 요구 사항을 입증하는 데 도움이 됩니다.
IAM Access Analyzer는 배포에 앞서 IAM 정책이 보안 표준을 준수하는지 확인합니다. 사용자 지정 정책 검사는 자동 추론 기능을 활용하여 보안 팀이 정책 미준수 업데이트를 사전에 탐지할 수 있도록 합니다. 예를 들어, 이전 버전보다 허용 수준이 높은 IAM 정책 변경 사항에는 추가 검토 플래그가 지정됩니다. 보안 팀은 이러한 검사 기능을 통해 정책을 간편하게 검토한 후 회사 보안 표준을 준수하는 정책은 자동 승인하고 표준 미준수 정책은 심층 조사할 수 있습니다. 보안 및 개발 팀에서는 사용자 지정 정책 검사를 개발자가 정책을 작성할 때 사용하는 도구 및 환경(예: CI/CD 파이프라인)에 통합하여 대규모 정책 검토를 자동화할 수 있습니다.
액세스 세분화
모두 열기
IAM Access Analyzer는 미사용 액세스 권한을 간단하게 검사하여 최소 권한을 적용하도록 안내합니다. 보안 팀은 IAM Access Analyzer를 사용하여 AWS 조직 전반에 걸쳐 미사용 액세스 권한을 파악하고 권한 조정 방식을 자동화할 수 있습니다. IAM Access Analyzer는 계정을 지속적으로 분석하여 미사용 액세스를 식별하며 미사용 액세스 문제를 해결하는 데 도움이 되는 실행 가능한 지침과 함께 권장 사항을 제시합니다. 이는 조사 결과를 중앙 집중형 대시보드에 종합하여 보안 팀이 조사 결과를 검토하고 조사 결과의 양을 기반으로 계정의 우선 순위를 정할 수 있게 도와줍니다. 조사 결과에서는 IAM 사용자의 미사용 역할, IAM 사용자의 미사용 액세스 키, IAM 사용자의 미사용 암호를 한눈에 보여줍니다. 활성 IAM 역할 및 사용자의 경우 조사 결과를 통해 미사용 서비스 및 작업에 대한 가시성이 제공됩니다. 보안 팀은 알림 워크플로를 자동화함으로써, 개발 팀이 사용하지 않는 액세스 권한을 식별하고 제거하는 데 도움을 줄 수 있습니다.
IAM Access Analyzer는 역할 또는 사용자가 IAM 정책을 통해 특정 AWS 서비스의 AWS 서비스 및 작업을 마지막으로 사용한 시기에 대한 마지막 액세스 정보를 제공합니다. 이 정보는 권한을 세분화할 수 있는 기회를 식별하는 데 도움이 됩니다. 이 정보를 사용하면 역할 또는 사용자에게 부여된 권한을 마지막으로 액세스된 권한과 비교하여 사용되지 않는 액세스를 제거하고 권한을 추가로 조정할 수 있습니다.
통합
모두 열기
IAM Access Analyzer를 AWS Security Hub 클라우드 보안 상태 관리 (CSPM) 와 통합하면 외부 및 미사용 액세스 결과를 CSPM으로 전송하여 보안 업계 표준 및 모범 사례와 비교하여 확인할 수 있습니다. 이는 보안 패턴을 추가로 분석하고 우선순위가 가장 높은 보안 문제를 식별하는 데 도움이 됩니다. Security Hub는 보안 상태 분석에 IAM Access Analyzer의 조사 결과를 포함할 수 있습니다.
IAM Access Analyzer를 Amazon EventBridge와 통합하면 팀에게 AWS 계정 내의 과도한 권한을 검토하고 제거하도록 경고하여 권한 세분화를 자동화하고 확장할 수 있습니다. 조사 결과가 생성되거나 삭제되거나 상태가 변경되면 IAM Access Analyzer가 EventBridge로 이벤트를 전송합니다. 조사 결과와 이에 대한 알림을 받으려면 EventBridge에서 이벤트 규칙을 활성화하고 생성해야 합니다.