내 AWS 계정의 비정상적인 리소스 활동 문제를 해결하려면 어떻게 해야 하나요?

간략한 설명

예기치 않게 출시된 새 서비스와 같은 무단 계정 활동은 AWS 자격 증명이 침해되었음을 의미할 수 있습니다. 악의적인 의도를 가진 누군가가 사용자의 자격 증명을 사용하여 계정에 액세스하고 정책에서 허용하는 활동을 수행할 수 있습니다. 자세한 내용은을 보려면 내 AWS 계정에서 무단 활동이 발견되면 어떻게 해야 하나요?를 참조하세요.

해결 방법

손상된 IAM 사용자 및 액세스 키를 식별한 다음 비활성화합니다. 그런 다음, AWS CloudTrail을 사용하여 손상된 IAM 사용자와 관련된 API 이벤트 기록을 검색합니다.

다음 예시에서는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스가 예기치 않게 시작되었습니다.

참고: 다음 해결 방법은 임시 보안 자격 증명이 아닌 장기 보안 자격 증명에 적용됩니다. 임시 자격 증명을 끄려면, 임시 보안 자격 증명에 대한 권한 비활성화를 참조하세요.

아마존 EC2 인스턴스 ID 식별

다음 단계를 완료합니다.

1. Amazon EC2 콘솔을 연 다음 인스턴스를 선택합니다.
2. EC2 인스턴스를 선택한 다음, 설명 탭을 선택합니다.
3. 인스턴스 ID를 복사합니다.

인스턴스를 시작하는 데 사용된 IAM 액세스 키 ID 및 사용자 이름을 찾습니다.

다음 단계를 완료합니다.

1. CloudTrail 콘솔을 연 다음, 이벤트 기록을 선택합니다.
2. 필터에서, 리소스 이름을 선택합니다.
3. 리소스 이름 입력 필드에 인스턴스 ID를 입력한 다음 Enter를 선택합니다.
4. RunInstances의 이벤트 이름을 확장합니다.
5. AWS 액세스 키를 복사한 다음 사용자 이름을 기록해 둡니다.

IAM 사용자를 비활성화하고 백업 IAM 액세스 키를 생성한 다음, 손상된 액세스 키를 비활성화합니다.

다음 단계를 완료합니다.

1. IAM 콘솔을 연 다음, IAM 검색 표시줄에 IAM 액세스 키 ID를 입력합니다.
2. 사용자 이름을 선택한 다음, 보안 자격 증명 탭을 선택합니다.
3. 콘솔 로그인에서, 콘솔 액세스 관리를 선택합니다.
   참고: AWS Management Console 암호가 비활성화됨으로 설정된 경우 이 단계를 건너뛰어도 됩니다.
4. 콘솔 액세스 관리에서, 비활성화를 선택한 다음 적용을 선택합니다.
   중요: 계정이 사용 중지된 사용자는 AWS Management Console에 액세스할 수 없습니다. 하지만 활성 액세스 키가 있는 사용자는 여전히 API 호출을 사용하여 AWS 서비스에 액세스할 수 있습니다.
5. IAM 사용자의 액세스 키를 업데이트합니다.
6. 손상된 IAM 액세스 키의 경우 Make inactive를 선택합니다.

손상된 액세스 키의 활동에 대한 CloudTrail 이벤트 기록을 검토하세요.

다음 단계를 완료합니다.

1. CloudTrail 콘솔을 엽니다.
2. 탐색 창에서 이벤트 기록을 선택합니다.
3. 필터에서 AWS 액세스 키를 선택합니다.
4. AWS 액세스 키 입력 필드에 손상된 IAM 액세스 키 ID를 입력합니다.
5. RunInstances API 호출의 이벤트 이름을 확장합니다.
   참고: 지난 90일 동안의 이벤트 기록을 볼 수 있습니다.

또한 CloudTrail 이벤트 기록을 검색하여 보안 그룹 또는 리소스가 어떻게 변경되었는지 확인할 수 있습니다.

자세한 내용을 보려면 CloudTrail 이벤트 기록 작업을 참조하세요.

관련 정보

IAM의 보안 모범 사례

액세스 키 보안

IAM 정책 관리

AWS 보안 감사 지침