[AWS SCS] AWS Access Analyzer

AWS Access Analyzer - 리소스 및 정책 관리하기

AWS는 클라우드 환경에서의 보안을 강화하기 위해 다양한 도구를 제공합니다.
그중 IAM Access Analyzer는 외부와 공유된 리소스를 식별하고, 정책을 검증하거나 생성하여 보안을 개선할 수 있는 강력한 기능을 제공합니다.
이번 글에서는 IAM Access Analyzer의 주요 기능과 활용 방법을 소개합니다.

---

1. IAM Access Analyzer란?

IAM Access Analyzer는 외부에 공유된 AWS 리소스를 식별하고,
IAM 정책을 검증하거나 자동으로 생성하여 보안 사고를 예방할 수 있는 서비스입니다.

분석 대상 리소스

• S3 버킷
• IAM 역할
• KMS 키
• Lambda 함수 및 레이어
• SQS 대기열
• Secrets Manager 비밀

주요 기능

1. 외부와 공유된 리소스 식별
   • 리소스가 외부 계정이나 클라이언트와 공유된 경우 이를 발견 사항(Findings)으로 보고합니다.
   • 신뢰 영역(Zone of Trust)을 정의하여 해당 영역 외부의 접근 권한을 식별할 수 있습니다.
2. 정책 검증
   • 정책 구문(grammar) 및 모범 사례를 기반으로 경고, 보안 오류, 개선 사항 등을 제공합니다.
3. 정책 생성
   • 최대 90일간의 CloudTrail 로그를 분석하여 사용자 액세스 활동에 최적화된 IAM 정책을 생성합니다.

---

2. IAM Access Analyzer 주요 활용 방법

1) 외부 공유 리소스 식별

IAM Access Analyzer는 리소스 정책 또는 기타 설정으로 인해 외부와 공유된 리소스를 식별합니다.
이를 통해 보안 사고의 가능성을 줄일 수 있습니다.

예시

• S3 버킷이 특정 사용자, 외부 계정, VPC 엔드포인트 등과 공유된 경우
• 신뢰 영역(예: AWS 계정 내부) 외부의 계정이 접근 권한을 가졌다면 이를 발견 사항으로 보고

이를 기반으로 보안에 위협이 되는 공유를 확인하고,
AWS 관리 콘솔에서 수정 작업을 진행할 수 있습니다.

---

2) 정책 검증 및 개선

IAM Access Analyzer는 IAM 정책의 문법 오류를 검토하고,
보안 모범 사례를 기반으로 개선 사항을 제안합니다.

제공되는 검증 정보

• 일반 경고
• 보안 경고
• 오류 및 수정 권장 사항

이를 통해 잘못된 설정으로 인한 보안 문제를 사전에 방지할 수 있습니다.

---

3) 정책 생성

IAM Access Analyzer는 CloudTrail 로그에 기록된 API 호출을 분석하여,
실제 사용 사례에 맞는 세분화된 IAM 정책을 생성합니다.

예시

1. Lambda 함수가 S3 버킷 및 Kinesis Data Stream에 API 호출을 수행
2. API 호출 내역이 CloudTrail에 기록
3. IAM Access Analyzer가 해당 기록을 분석하여,
   • 필요한 권한만 포함된 맞춤형 IAM 정책 생성
4. 생성된 정책은 보안 모범 사례를 준수하며,
   최소 권한 원칙을 충족

---

3. IAM Access Analyzer의 장점

• 보안 강화: 외부 공유 리소스를 식별하여 위험 감소
• 효율성 증가: 자동 정책 생성으로 관리 부담 완화
• 정확성 확보: CloudTrail 로그 기반의 정책 생성으로 실제 사용 기록 반영

IAM Access Analyzer를 활용하면 AWS 환경에서 리소스 관리와 보안 정책 설정을 더욱 효과적으로 수행할 수 있습니다.

---

4. 마무리

AWS 관리자는 IAM Access Analyzer를 통해 외부 리소스 공유를 식별하고, 정책을 검증 및 최적화하여 안전한 클라우드 환경을 유지할 수 있습니다.