[AWS SAP] IAM Access Analyzer

IAM Access Analyzer: 외부 리소스 공유 및 보안 관리의 핵심 도구

IAM Access Analyzer는 AWS IAM 콘솔 내에서 제공되는 서비스로, 외부에 공유된 AWS 리소스를 식별하고 보안 위험을 줄이는 데 도움을 주는 강력한 도구입니다. 본 포스팅에서는 IAM Access Analyzer의 주요 기능과 활용 사례를 소개합니다.

---

IAM Access Analyzer란?

IAM Access Analyzer는 AWS 리소스에 대한 외부 공유 상태를 분석하고 보안 위험을 평가하는 도구입니다. 다음과 같은 리소스 유형을 지원합니다.

• S3 버킷
• IAM 역할
• KMS 키
• Lambda 함수 및 레이어
• SQS 대기열
• Secrets Manager 비밀

이 리소스들은 리소스 정책을 통해 외부 계정, 역할, 사용자 또는 기타 엔터티와 공유될 수 있습니다. Access Analyzer는 신뢰 구역(Trust Zone)을 정의하여 이를 기준으로 외부 액세스를 감지하고, 이를 **발견물(Finding)**로 보고합니다.

---

신뢰 구역 정의와 발견물 식별

신뢰 구역(Trust Zone) 설정

신뢰 구역은 여러분의 AWS 계정 및 조직에 대해 정의됩니다. 이 구역 외부의 엔터티가 리소스에 액세스하려고 시도하면 이를 보안 발견물로 식별합니다. 예를 들어, S3 버킷이 외부 계정 또는 VPC 엔드포인트와 공유될 경우 이를 발견물로 표시합니다.

발견물 관리

발견물은 IAM Access Analyzer 콘솔에서 확인할 수 있습니다. 이를 통해 발견된 보안 문제를 분석하고 필요 시 정책을 수정하거나 공유를 제한하여 보안 위험을 완화할 수 있습니다.

---

주요 기능

1. 정책 검증

IAM Access Analyzer는 리소스 정책을 검증하여 다음을 확인합니다:

• 정책 문법 오류
• 보안 경고
• 모범 사례 준수 여부
• 정책 개선을 위한 권고사항

이를 통해 정책의 오류를 사전에 식별하고 수정할 수 있습니다.

2. 정책 생성

IAM Access Analyzer는 여러분의 액세스 활동에 기반한 맞춤형 정책을 생성할 수 있습니다.
예를 들어, CloudTrail 로그에 기록된 API 호출 데이터를 분석하여 적절한 IAM 정책을 제안합니다.
이 정책은 지난 90일 동안의 액세스 기록을 기반으로 하며, 최소 권한 원칙을 따릅니다.

---

사용 예시: 람다 함수와 S3 버킷

람다 함수가 S3 버킷 및 Kinesis Data Streams에 대해 API 호출을 수행했다고 가정해봅시다.
IAM Access Analyzer는 CloudTrail 로그를 검토하여 이 람다 함수가 수행한 모든 API 호출을 분석한 뒤, 필요한 서비스와 작업을 명시적으로 포함하는 맞춤형 정책을 생성합니다. 이 과정은 다음과 같은 장점을 제공합니다:

• 정확한 권한 설정: 불필요한 권한을 제거하여 보안을 강화.
• 효율적 정책 작성: CloudTrail 로그를 기반으로 상세하고 적절한 권한을 자동 생성.

---

IAM Access Analyzer를 통한 보안 강화

IAM Access Analyzer는 AWS 리소스에 대한 외부 공유 상태를 지속적으로 모니터링하고, 잠재적 보안 위험을 사전에 식별할 수 있는 도구입니다. 이를 활용하여 다음을 실현할 수 있습니다:

• 최소 권한 원칙 구현
• 외부 공유 리소스에 대한 통제 강화
• 정책 오류 및 보안 문제 사전 예방

---

IAM Access Analyzer는 AWS 보안 관리의 필수 도구입니다. 이를 통해 조직의 보안 수준을 한층 더 향상시켜 보세요.