내 AWS 계정의 비정상적인 리소스 활동 문제를 해결하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2021년 10월 19일

새로운 서비스가 예기치 않게 시작되는 등의 승인되지 않은 계정 활동은 AWS 자격 증명이 손상되었음을 나타낼 수 있습니다. 악의적인 의도를 가진 사람이 사용자의 자격 증명을 사용하여 계정에 액세스하고 정책에서 허용하는 활동을 수행할 수 있습니다. 자세한 내용은 AWS 계정에서 승인되지 않은 활동을 발견하면 어떻게 해야 합니까?와 AWS 이용계약을 참조하십시오.

손상된 IAM 사용자 및 액세스 키를 식별합니다. 그런 다음 비활성화합니다. AWS CloudTrail을 사용하여 손상된 IAM 사용자와 관련된 API 이벤트 기록을 검색합니다.

다음 예에서는 Amazon EC2(Amazon Elastic Compute Cloud) 인스턴스가 예기치 않게 시작되었습니다.

참고: 이 지침은 임시 보안 자격 증명이 아닌 장기 보안 자격 증명에 적용됩니다. 임시 자격 증명을 비활성화하려면 임시 보안 자격 증명에 대한 권한 비활성화를 참조하십시오.

1. Amazon EC2 콘솔을 열고 인스턴스를 선택합니다.
2. EC2 인스턴스를 선택한 다음 설명 탭을 선택합니다.
3. [Instance ID]를 복사합니다.

1. CloudTrail 콘솔을 열고 이벤트 기록을 선택합니다.
2. 필터 드롭다운 목록을 선택한 다음 리소스 이름을 선택합니다.
3. 리소스 이름 입력 필드에 EC2 인스턴스 ID를 붙여 넣은 다음 디바이스에서 Enter를 선택합니다.
4. RunInstances의 이벤트 이름을 확장합니다.
5. AWS 액세스 키를 복사하고 사용자 이름을 메모합니다.

1. IAM 콘솔을 열고 [Search IAM] 창에 IAM 액세스 키 ID를 붙여넣습니다.
2. 사용자 이름을 선택한 다음 [Security credentials] 탭을 선택합니다.
3. [Console password]에서 [Manage]를 선택합니다.
   참고: AWS Management Console 암호가 [비활성화됨]으로 설정된 경우 이 단계를 건너뛸 수 있습니다.
4. [Console access]에서 [Disable]을 선택한 다음 [Apply]를 선택합니다.
   중요: 계정이 비활성화된 사용자는 AWS Management Console에 액세스할 수 없습니다. 하지만 사용자에게 활성 액세스 키가 있는 경우에는 API 호출을 사용하여 AWS 서비스에 계속 액세스할 수 있습니다.
5. 지침을 따라 애플리케이션을 중단하지 않고 IAM 사용자의 액세스 키를 교체(콘솔)합니다.
6. 손상된 IAM 액세스 키에 대해 비활성화를 선택합니다.

1. CloudTrail 콘솔을 연 다음 탐색 창에서 [Event history]를 선택합니다.
2. [Filter] 드롭다운 메뉴를 선택한 다음 [AWS access key] 필터를 선택합니다.
3. [Enter AWS access key] 필드에 손상된 IAM 액세스 키 ID를 입력합니다.
4. API 호출 RunInstances에 대한 [Event name]을 확장합니다.
   참고: 지난 90일간의 이벤트 기록을 볼 수 있습니다.

또한 CloudTrail 이벤트 기록을 검색하여 보안 그룹 또는 리소스가 변경된 방식과 EC2 인스턴스를 실행, 중지, 시작 및 종료하는 API 호출을 확인할 수 있습니다.

자세한 내용은 CloudTrail 이벤트 기록에서 이벤트 보기를 참조하십시오.