AWS 계정에서 비정상적인 리소스 활동 문제를 해결하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2020년 9월 10일

어느 AWS Identity and Access Management(IAM) 사용자가 리소스를 생성했는지 확인하고 액세스를 제한하려고 합니다.

간략한 설명

새로운 서비스가 예기치 않게 시작되는 등의 승인되지 않은 계정 활동은 AWS 자격 증명이 손상되었음을 나타낼 수 있습니다. 악의적인 의도를 가진 사람이 사용자의 자격 증명을 사용하여 계정에 액세스하고 정책에서 허용하는 활동을 수행할 수 있습니다. 자세한 내용은 AWS 계정에서 승인되지 않은 활동을 발견하면 어떻게 해야 합니까?AWS 이용계약을 참조하십시오.  

해결 방법

손상된 IAM 사용자 및 액세스 키를 식별합니다. 그런 다음 비활성화합니다. AWS CloudTrail을 사용하여 손상된 IAM 사용자와 관련된 API 이벤트 기록을 검색합니다.

다음 예에서는 Amazon EC2(Amazon Elastic Compute Cloud) 인스턴스가 예기치 않게 시작되었습니다.

참고: 이 지침은 임시 보안 자격 증명이 아닌 장기 보안 자격 증명에 적용됩니다. 임시 자격 증명을 비활성화하려면 임시 보안 자격 증명에 대한 권한 비활성화를 참조하십시오.

Amazon EC2 인스턴스 ID 식별

  1. Amazon EC2 콘솔을 열고 [Instances]를 선택합니다.
  2. EC2 인스턴스를 선택한 다음 [설명] 탭을 선택합니다.
  3. [Instance ID]를 복사합니다.

인스턴스를 시작하는 데 사용된 IAM 액세스 키 ID 및 사용자 이름 찾기

  1. CloudTrail 콘솔을 열고 [Event history]를 선택합니다.
  2. [Filter] 드롭다운 메뉴를 선택한 다음 [Resource name]을 선택합니다.
  3. [Enter resource name] 필드에 EC2 인스턴스 ID를 붙여 넣은 다음 디바이스에서 Enter를 선택합니다.
  4. [RunInstances]의 [Event name]을 확장합니다.
  5. AWS 액세스 키를 복사하고 사용자 이름을 메모합니다.

IAM 사용자를 비활성화하고, 백업 IAM 액세스 키를 생성한 다음, 손상된 액세스 키를 비활성화

  1. IAM 콘솔을 열고 [Search IAM] 창에 IAM 액세스 키 ID를 붙여넣습니다.
  2. 사용자 이름을 선택한 다음 [Security credentials] 탭을 선택합니다.
  3. [Console password]에서 [Manage]를 선택합니다.
    참고: AWS Management Console 암호가 [비활성화됨]으로 설정된 경우 이 단계를 건너뛸 수 있습니다.
  4. [Console access]에서 [Disable]을 선택한 다음 [Apply]를 선택합니다.
    중요: 계정이 비활성화된 사용자는 AWS Management Console에 액세스할 수 없습니다. 하지만 사용자에게 활성 액세스 키가 있는 경우에는 API 호출을 사용하여 AWS 서비스에 계속 액세스할 수 있습니다.
  5. 지침을 따라 애플리케이션을 중단하지 않고 IAM 사용자의 액세스 키를 교체(콘솔)합니다.
  6. 손상된 IAM 액세스 키에 대해 [Make inactive]를 선택합니다.

손상된 액세스 키에 의한 활동에 대한 CloudTrail 이벤트 기록 검토

  1. CloudTrail 콘솔을 연 다음 탐색 창에서 [Event history]를 선택합니다.
  2. [Filter] 드롭다운 메뉴를 선택한 다음 [AWS access key] 필터를 선택합니다.
  3. [Enter AWS access key] 필드에 손상된 IAM 액세스 키 ID를 입력합니다.
  4. API 호출 RunInstances에 대한 [Event name]을 확장합니다.
    참고: 지난 90일간의 이벤트 기록을 볼 수 있습니다.

CloudTrail 이벤트 기록을 검색하여 보안 그룹 또는 리소스가 어떻게 변경되었는지 그리고 EC2 인스턴스를 실행, 중지, 시작 및 종료하기 위한 API 호출을 확인할 수도 있습니다.

자세한 내용은 CloudTrail 이벤트 기록에서 이벤트 보기를 참조하십시오.