IAM에 대한 점검 기능이 나왔다.
왜 나왔나?
Public or Cross-Account Access가 많아졌다.
계정 보안 관련 확인이 필요하다.
<1> Access Analyzer은 S3버킷, IAM 역할에 대해 분석한다.
<2> IAM(Identity and Access Management) 활성화하여 검사하기
<3> S3 서비스에 Access analyer for S3 도 있다.
<4> 현재 Credential report는 IAM계정에 대한 리포팅만 나온다.
<5> 관련 자료
<1> Access Analyzer은 S3버킷, IAM 역할에 대해 분석한다.
1. Amazon Simple Storage Service 버킷- public인가?
2. AWS Identity and Access Management 역할 - 권한이 나가 있는 데 사용하고 있나?
3. AWS Key Management Service 키
4. AWS Lambda 함수 및 계층
5. Amazon Simple Queue Service 대기열
6. AWS Secrets Manager 보안 암호
서비스 > IAM
<2> IAM(Identity and Access Management) 활성화하여 검사하기
1. 로컬과 원격의 AWS Accound ID와 계정 role이 보인다.
내가 허가하지 않는 권한인지 확인해보자.
2. 기본적으로는 활성화되어 있지 않다.
활성화 하자
IAM > Access Analyzer
3. 디폴트로 점검해보자~
예전에 테스트로 만들었던 권한이 있네~
조치 하자~~
4
점검 결과가 많을 때는 Filter에서 조회해서 찾을 수도 있다.
5
활성 스캔 결과에서 확인하고 조치하자 (Active에 Finding ID 확인하고 조치)
6
스캔 결과 ID 클릭 > 조치하면
Resolved로 이동된다.
(Active에서는 사라진다)
1) 초치를 하려면 ~
의도하지 않은 액세스 > 이동 IAM콜 솔로 가서 사용하지 않는 Role을 삭제한다.
아니면
2) 의도한 액세스이면 아카이빙 클릭한다~
사용하지 않는 Role을 삭제한다.
7
조치후 Rescan 하면 Resolved로 나온다.
8
Access analyzer에서도 해당 항목은 Resolved로 이동된다.
<3> S3 서비스에 Access analyer for S3 도 있다.
Access analyer for S3에서 조사할 수 있다.
Public이 있는지 1차 조사해준다.
View finding 하면 다시 Access Analyzer로 돌아간다.
<4> 현재 Credential report는 IAM계정에 대한 리포팅만 나온다.
Download Report 하면 CSV로 파일을 받을 수 있다.
<5> 관련 자료
동영상
https://www.youtube.com/watch?v=8ArCtGs0-k8
https://www.youtube.com/watch?v=8ArCtGs0-k8
https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/access-analyzer-resources.html
AWS IAM Access Analyzer 업데이트 – 정책 검증 기능 출시 (2021년 3월)
https://aws.amazon.com/ko/blogs/korea/iam-access-analyzer-update-policy-validation/
AWS IAM Access Analyzer, AWS Organizations 통합 기능 출시 (서울 리전 포함)
https://aws.amazon.com/ko/blogs/korea/new-use-aws-iam-access-analyzer-in-aws-organizations/
https://aws.amazon.com/ko/iam/features/analyze-access/
감사합니다.