AWS Identity and Access Management(IAM)를 사용하면 컴퓨팅 인스턴스 및 스토리지 버킷과 같은 AWS 서비스 및 리소스에 대한 액세스와 권한을 제어할 수 있습니다. 예를 들어, 리소스 정책을 사용하면 IAM에서 고객이 특정 리소스에 액세스할 수 있는 사용자와 이를 사용하는 방법을 점진적으로 제어할 수 있습니다.

클라우드를 사용하면 필요에 따라 리소스를 빠르게 구동하여 수천 개의 서버를 몇 분 만에 배포할 수 있습니다. 따라서 리소스 정책을 빠르게 검색하고 의도하지 않은 퍼블릭 또는 교차 계정 액세스 권한을 보유한 리소스를 식별할 수 있는 기능이 특히 더 중요합니다. IAM Access Analyzer에서는 AWS 계정 외부에서 액세스할 수 있는 리소스를 식별하는 포괄적인 탐지 결과를 생성합니다. IAM Access Analyzer는 정책에서 허용하는 가능한 액세스 경로를 확인하기 위해 산술 논리 및 추론을 사용해 리소스 정책을 평가하여 이를 수행합니다. IAM Access Analyzer는 신규 또는 업데이트된 정책을 지속적으로 모니터링하고, Amazon S3 버킷, AWS KMS 키, Amazon SQS 대기열, AWS IAM 역할 및 AWS Lambda 함수에 대한 정책을 사용하여 부여된 권한을 분석합니다.

보안 모범 사례에서는 시간에 따라 실제로 권한을 사용하는 방식을 확인하는 것이 중요합니다. 따라서 최소 권한의 원칙에 따라 불필요한 권한을 제거할 수 있습니다. IAM에서는 "마지막 액세스" 데이터를 제공합니다. 이는 사용자나 역할과 같은 IAM 정책이나 엔터티에서 서비스 또는 지원되는 서비스의 작업을 마지막으로 사용한 시점을 나타내는 타임스탬프에 해당합니다. 이를 통해 사용하지 않는 권한을 쉽게 식별하고 사용자, 그룹 또는 역할이 특정 태스크를 수행하는 데 필요하지 않은 권한을 제거하여 보안 태세를 강화할 수 있습니다. AWS Organizations 마스터 계정에서 조직 루트, OU(조직 단위) 및 계정에서 서비스에 액세스한 마지막 시간을 확인할 수도 있습니다. IAM 또는 조직 엔터티에 부여된 권한에 대한 결정을 내리기 위해 "마지막 액세스" 데이터를 사용하는 방법을 알아보려면 서비스에 대한 마지막 액세스 데이터 사용에 대한 시나리오 예를 참조하십시오.

이점

퍼블릭 또는 교차 계정 액세스 가능성에 대한 리소스 정책을 분석하는 시간 절감

며칠 또는 몇 주가 걸릴 수 있는 휴리스틱 또는 패턴 일치 기술과 비교했을 때, IAM Access Analyzer는 산술 논리 및 추론을 사용하여 AWS 계정 외부에서 액세스할 수 있는 리소스에 대한 포괄적인 탐지 결과를 생성하는 시간을 크게 줄입니다. IAM Access Analyzer는 Amazon S3 버킷, AWS KMS 키, Amazon SQS 대기열, AWS IAM 역할 및 AWS Lambda 함수에 대한 정책을 사용하여 부여된 권한을 평가합니다. IAM Access Analyzer에서는 AWS IAM, Amazon S3 및 AWS Security Hub 콘솔 및 해당 API를 통해 자세한 탐지 결과를 전송합니다.

지속적인 모니터링 및 권한 구체화 지원

IAM Access Analyzer는 신규 또는 업데이트된 리소스 정책을 지속적으로 모니터링 및 분석하여 잠재적 보안 내용을 이해하도록 지원합니다. 예를 들어, Amazon S3 버킷 정책이 변경되면 계정 외부의 사용자가 버킷에 액세스할 수 있음을 IAM에서 알립니다.

IAM에서는 IAM 정책 또는 엔터티가 서비스를 마지막으로 사용한 시점에 대한 "마지막 액세스" 타임스탬프 데이터도 제공하므로, 사용하지 않은 권한을 쉽게 식별 및 제거하여 특정 태스크를 수행하는 데 필요한 권한만 부여해 보안 태세를 강화할 수 있습니다.

가장 높은 수준의 보안 보증 제공

IAM Access Analyzer는 리소스 정책에서 허용하는 가능한 모든 액세스 경로를 결정하기 위해 산술 논리 및 추론 양식의 자동화된 추론을 사용합니다. 이러한 분석 결과를 검증 가능한 보안이라고 하며, 클라우드 및 클라우드 내부 보안에 대한 높은 수준의 보증을 제공합니다.

일부 도구를 통해 특정 액세스 시나리오를 테스트할 수도 있지만, IAM Access Analyzer는 산술 논리를 사용하여 가능한 모든 액세스 요청을 분석하고 의도하는 액세스만 정책에서 활성화하여 신뢰도를 높일 수 있습니다.

작동 방식

IAM Access Analyzer 작동 방식

정책 분석에 대한 자동화된 추론

자동화된 추론은 산술 및 형식 논리와 관련된 추론의 서로 다른 측면을 자동화하는 인지 과학의 영역입니다. AWS 자동화된 추론 그룹은 알고리즘을 설계하고 클라우드 리소스, 구성 및 인프라에 대해 추론할 수 있는 코드를 구축하여 동작의 여러 측면에 대한 보증을 빠르게 제공할 수 있습니다. 리소스 정책의 경우 AWS는 이를 정확한 논리 공식으로 변환한 후 자동화된 추론기를 사용하여 퍼블릭 또는 교차 계정 액세스를 부여하는 리소스를 포괄적으로 요약합니다. Amazon Web Services 내 자동화된 추론 도구 및 방법에서 클라우드에 대한 더 높은 수준의 보안 보증을 제공하는 방법에 대한 자세한 내용은 "AWS에 대한 형식 추론"을 참조하십시오.

AWS IAM 기능에 대해 자세히 알아보기

기능 페이지로 이동하기
구축할 준비가 되셨습니까?
AWS IAM 시작하기
추가 질문이 있으십니까?
문의처