IAM Access Analyzer 조사 결과
IAM Access Analyzer는 사용자의 AWS 계정 또는 조직 내 외부 액세스, 내부 액세스, 미사용 액세스에 대한 조사 결과를 생성합니다.
외부 액세스의 경우, IAM Access Analyzer는 신뢰 영역 내에 있지 않은 보안 주체에 대한 신뢰 영역의 리소스에 액세스 권한을 부여하는 리소스 기반 정책의 각 인스턴스에 대한 결과를 생성합니다. 외부 액세스 분석기를 생성할 때 분석할 조직 또는 AWS 계정을 선택합니다. 분석기에 대해 선택한 조직 또는 계정의 모든 보안 주체는 신뢰할 수 있는 것으로 간주됩니다. 동일한 조직 또는 계정의 보안 주체는 신뢰할 수 있으므로 조직 또는 계정 내의 리소스 및 보안 주체는 분석기의 신뢰 영역을 구성합니다. 신뢰 영역 내에서의 모든 공유는 안전한 것으로 간주되므로 IAM Access Analyzer에서 결과가 생성되지 않습니다. 예를 들어 조직을 분석기의 신뢰 영역으로 선택하면 조직의 모든 리소스 및 보안 주체가 신뢰 영역 내에 있습니다. 조직 구성원 계정 중 하나의 Amazon S3 버킷에 대한 권한을 다른 조직 구성원 계정의 보안 주체에게 부여하면 IAM Access Analyzer가 결과를 생성하지 않습니다. 그러나 조직의 멤버가 아닌 계정의 보안 주체에게 권한을 부여하면 IAM Access Analyzer가 결과를 생성합니다.
내부 액세스를 위해 IAM Access Analyzer가 조직 내 IAM 역할 또는 사용자와 지정된 리소스 간에 가능한 액세스 경로가 있을 때 조사 결과를 생성합니다. 외부 액세스 분석과 마찬가지로 선택한 범위(조직 또는 계정)에 따라 내부로 간주되는 항목이 결정됩니다. 조직을 범위로 선택하면 IAM Access Analyzer가 조직 내 위탁자와 리소스 간 액세스 경로에 대한 조사 결과를 생성합니다. 계정을 선택하면 특정 계정 내의 액세스 경로에 대한 조사 결과가 생성됩니다. IAM Access Analyzer가 자동 추론을 사용하여 모든 IAM 정책을 평가하고 리소스에 액세스할 수 있는 사용자를 모니터링합니다.
외부 액세스 및 내부 액세스 조사 결과를 동일한 신뢰 영역과 조합함으로써 정의된 신뢰 경계 내부 및 외부에서 특정 리소스에 대해 가능한 모든 액세스를 포괄적으로 분석합니다.
미사용 액세스의 경우 IAM Access Analyzer가 AWS 조직 및 계정에 부여된 미사용 액세스 권한에 대한 조사 결과를 생성합니다. 미사용 액세스 분석기를 생성하면 IAM Access Analyzer는 AWS 조직 및 계정의 모든 IAM 역할과 사용자를 지속적으로 모니터링하고 미사용 액세스에 대한 조사 결과를 생성합니다. IAM Access Analyzer는 미사용 액세스에 대해 다음과 같은 유형의 조사 결과를 생성합니다.
-
미사용 역할 - 지정된 사용 창 내에 액세스 활동이 없는 역할입니다.
-
미사용 IAM 사용자 액세스 키 및 암호 - 지정된 사용 기간에 AWS 계정에 액세스하는 데 사용되지 않은 IAM 사용자 소유의 자격 증명입니다.
-
미사용 권한 - 지정된 사용 기간 내에 역할이 사용하지 않은 서비스 수준 및 작업 수준 권한입니다. IAM Access Analyzer는 역할에 연결된 자격 기반 정책을 통해 해당 역할이 액세스할 수 있는 서비스와 작업을 결정합니다. IAM Access Analyzer는 모든 서비스 수준 권한에 대한 미사용 권한 검토를 지원합니다. 미사용 액세스 조사 결과에 대해 지원되는 작업 수준 권한의 전체 목록은 IAM 작업에서 마지막으로 액세스한 정보와 관련된 서비스 및 작업을 참조하세요.
참고
IAM Access Analyzer가 외부 액세스 대한 조사 결과를 무료로 제공합니다. 매월 분석기별로 분석된 IAM 역할 및 사용자 수를 기준으로 미사용 액세스 조사 결과에 대한 요금이 부과됩니다. 또한 매월 분석기당 모니터링되는 AWS 리소스 수를 기준으로 내부 액세스 조사 결과에 대한 요금이 부과됩니다. 요금에 대한 자세한 내용은 IAM Access Analyzer 요금
주제
