최초 게시일: 2022년 1월 13일 13:00 PST
최근 보안 연구자들은 AWS Glue 서비스로서 조치를 취할 수 있었던 문제를 보고했습니다. AWS Glue 기능을 사용해 연구자들은 Glue 서비스에 특정된 자격 증명을 얻었으며, AWS 내부의 잘못된 구성으로 인해 연구자들이 해당 자격 증명을 AWS Glue 서비스로 사용할 수 있었습니다. 이러한 사용으로 인해 AWS Glue 서비스를 사용하지 않는 고객에게 영향을 주지는 않았습니다.
고객이 취해야 할 조치는 없습니다.
AWS는 이 문제가 보고된 즉시 해결 조치를 취했습니다. 서비스 시작 시점부터 로그를 분석하였으며, 이 문제와 연관된 활동은 연구자들이 소유한 계정 사이에서만 이루어졌다고 결론지었습니다. 다른 고객 계정은 영향을 받지 않았습니다. 고객 계정에서 AWS Glue에 의해 수행된 모든 작업은 고객이 제어 및 조회할 수 있는 CloudTrail 레코드에 기록됩니다.
이 문제를 보고해 주신 Orca Security에 감사드립니다.
보안 관련 질문이나 문의 사항은 aws-security@amazon.com을 통해 제출할 수 있습니다.