IAM은 액세스를 분석하는 데 도움이 되며, 최소 권한 전략을 구현하는 과정을 안내합니다. AWS에 구축할 때는 IAM 정책을 사용하여 세분화된 권한을 설정해야 합니다. IAM Access Analyzer는 정책 작성 중에 정책을 미리 검증하는 데 도움이 되는 100개 이상의 정책 검사를 제공합니다. 이러한 검사는 정책을 분석한 후 오류, 경고 및 제안과 함께 안전하고 기능적인 권한을 설정할 수 있도록 안내하는 실행 가능한 권장 사항을 보고합니다. 즐겨 사용하는 워드 프로세서의 맞춤법 검사와 같이, IAM Access Analyzer는 IAM 콘솔에서 정책 편집기를 사용하여 정책을 작성할 때 이러한 정책 검사를 자동으로 수행합니다. Access Analyzer API를 사용하여 프로그래밍 방식으로 정책을 검증할 수도 있습니다. IAM Access Analyzer를 사용하면 권한 변경 사항을 배포하기 전에 리소스에 대한 퍼블릭 및 교차 계정 액세스를 검증할 수도 있습니다. Amazon S3 콘솔 또는 IAM Access Analyzer API를 통해 액세스를 미리 보고 검증할 수 있습니다.

최소 권한의 여정을 계속하는 동안 IAM Access Analyzer를 사용하여 기존 액세스를 검토하고 의도치 않은 외부 또는 사용되지 않는 권한을 식별 및 제거할 수 있습니다. 퍼블릭 또는 교차 계정 액세스가 있는 리소스를 식별할 수 있도록 IAM Access Analyzer는 자동 추론을 사용하여 AWS 계정 외부에서 액세스할 수 있는 리소스에 대한 종합적인 결과를 생성합니다. 이 분석을 위해 IAM Access Analyzer는 신규 또는 업데이트된 리소스 정책을 지속적으로 모니터링하고, Amazon S3 버킷, AWS KMS 키, Amazon SQS 대기열, AWS IAM 역할 및 AWS Lambda 함수 및 AWS Secrets Manager 보안 정보에 부여된 권한을 분석합니다. IAM은 IAM 엔터티가 마지막으로 서비스 또는 작업을 사용한 시기를 명시하는 마지막 액세스 정보를 제공합니다. 이 정보는 사용되지 않는 권한을 제거하는 데 도움이 됩니다. 사용되지 않는 권한을 손쉽게 식별하고 제거할 수 있으므로 액세스를 줄이는 데 도움이 됩니다. 조직 단위(OU) 또는 계정과 같은 AWS 조직 엔터티가 마지막으로 서비스에 액세스한 시간을 분석하여 권한 가드레일을 설정할 수도 있습니다. IAM 또는 조직 엔터티에 부여된 권한에 대한 결정을 내리기 위해 "마지막 액세스" 데이터를 사용하는 방법을 알아보려면 서비스에 대한 마지막 액세스 데이터 사용에 대한 시나리오 예를 참조하세요. IAM Access Analyzer 기능은 IAM 콘솔 또는 IAM Access Analyzer API를 통해 추가 비용 없이 사용할 수 있습니다.

이점

정책 작성 안내

IAM Access Analyzer는 안전하고 기능적인 권한을 설정할 수 있도록 안내하는 정책 검사를 수행합니다. 이러한 검사는 정책을 분석한 후 오류, 경고 및 제안과 함께 정책을 검증하는 데 도움이 되는 실행 가능한 권장 사항을 보고합니다. 즐겨 사용하는 워드 프로세서의 맞춤법 검사와 같이, IAM Access Analyzer는 IAM 콘솔에서 정책 편집기를 사용하여 정책을 작성할 때 이러한 검사를 자동으로 수행합니다. IAM Access Analyzer API를 사용하여 프로그래밍 방식으로 정책을 검증할 수도 있습니다.

퍼블릭 및 교차 계정 액세스에 대한 종합 분석

IAM Access Analyzer를 통해 정책을 분석하면 리소스에 대한 의도치 않은 퍼블릭 또는 교차 계정 액세스를 식별하고 해결하는 데 도움이 됩니다. IAM Access Analyzer는 수학적 로직과 추론을 사용하여 AWS 계정 외부에서 액세스될 수 있는 리소스에 대한 종합적인 결과를 생성합니다. 이러한 결과는 의도하지 않은 것일 수 있는 퍼블릭 또는 교차 계정 액세스가 있는 리소스를 식별하는 데 도움이 됩니다. IAM Access Analyzer는 Amazon S3 버킷, AWS KMS 키, Amazon SQS 대기열, AWS IAM 역할 및 AWS Lambda 함수에 대한 정책을 사용하여 부여된 권한을 평가하고 AWS IAM, Amazon S3 및 AWS Security Hub 콘솔과 해당하는 API를 통해 상세한 결과를 제공합니다. IAM Access Analyzer를 사용하면 탐지 결과를 미리 보고 정책 변경이 리소스에 대해 의도한 액세스 권한만 부여하는지 검증할 수도 있습니다. 탐지 결과를 미리 보면 권한을 배포하기 전에 의도하지 않은 액세스를 방지할 수 있습니다.

지속적인 모니터링을 통해 권한 축소

IAM Access Analyzer는 신규 또는 업데이트된 리소스 정책을 지속적으로 모니터링하고 분석하여 퍼블릭 및 교차 계정 액세스를 부여하는 권한을 식별하는 데 도움이 되는 정보를 제공합니다. 예를 들어 Amazon S3 버킷 정책이 변경되는 경우 IAM Access Analyzer는 계정 외부의 사용자가 버킷에 액세스할 수 있음을 알려줍니다.

또한 IAM은 IAM 역할과 같은 IAM 엔터티가 서비스 또는 작업을 마지막으로 사용한 시기에 대한 마지막 액세스 타임스탬프 정보를 제공합니다. 이 정보를 사용하면 사용되지 않는 권한을 제거하고 태스크 수행에 필요한 권한만 부여하여 권한을 축소할 수 있습니다.

가장 높은 수준의 보안 보증 제공

IAM Access Analyzer는 AWS 계정 외부에서 액세스될 수 있는 리소스에 대한 종합적인 결과를 생성하기 위해 IAM Access Analyzer는 수학적 로직 및 추론 형태의 자동 추론을 사용합니다. 이러한 분석 결과를 검증 가능한 보안이라고 하며, 클라우드 및 클라우드 내부 보안에 대한 높은 수준의 보증을 제공합니다. 일부 도구에서는 특정 액세스 시나리오를 테스트할 수 있지만 IAM Access Analyzer는 수학을 사용하여 가능한 모든 액세스 요청을 분석하고 외부 액세스에 대한 결과를 생성합니다. 따라서 외부 액세스를 확실하게 확인할 수 있습니다.

작동 방식 - 리소스에 대한 외부 액세스 모니터링

IAM Access Analyzer 작동 방식

외부 액세스 분석을 위한 자동화된 추론

자동화된 추론은 산술 및 형식 논리와 관련된 추론의 서로 다른 측면을 자동화하는 인지 과학의 영역입니다. AWS 자동화된 추론 그룹은 알고리즘을 설계하고 클라우드 리소스, 구성 및 인프라에 대해 추론할 수 있는 코드를 구축하여 동작의 여러 측면에 대한 보증을 빠르게 제공할 수 있습니다. 리소스 정책의 경우 AWS는 이를 정확한 논리 공식으로 변환한 후 자동화된 추론기를 사용하여 퍼블릭 또는 교차 계정 액세스를 부여하는 리소스를 포괄적으로 요약합니다. Amazon Web Services 내 자동화된 추론 도구 및 방법에서 클라우드에 대한 더 높은 수준의 보안 보증을 제공하는 방법에 대한 자세한 내용은 "AWS에 대한 형식 추론"을 참조하십시오.

AWS IAM 기능에 대해 자세히 알아보기

기능 페이지로 이동하기
구축할 준비가 되셨습니까?
AWS IAM 시작하기
추가 질문이 있으십니까?
문의처