AWS 접근제어#6 IAM 관리

IAM 관리

IAM policy 작성 툴 iam visual editor & policy generator:

iam policy simulator https://policyd

IAM 샘플 정책 활용 aws 지정 날짜 범위 동안의 액세스 허용 지정 날짜 범위 동안 mfa를 사용하는 경우 특정 액세스를 허용 소스 ip주소를 바탕으로 aws에 대한 액세스 거부 정책예제: aws codecommit 프로그램 방식으로 콘솔에서 aws codecommit 리포지토리에 대한 read 액세스 허용 정책예제 aws data pipeline 사용자가 생성하지 않은 파이프라인에 대한 액세스 거부 정책예제: amazon dynamodb 특정 amazon dynamodb 테이블에 대한 액세스 허용

iam access advisor iam에 대해 서비스에서 마지막으로 액세스한 데이터를 조회 불필요한 권한을 제거하고 least privileged를 유지할 수 있음 access advisor s3,ec2,iam,lambda management action 에 대해서는 action단위로 조회가능 fine-grained s3 버킷 정책을 위해 활용 data action cloudtrail에서 명시적으로 체크해야됨

iam credential report 계정의 모든 사용자와 암호, 액세스 키 ,mfa 디바이스 등 자격 증명 상태에 대한 보고서 감사 및 규정 준수에 활용할수있다 다운을 정기적으로하거나 자동화 (mfa 활성화 여부)

iam access analyzer 리소스에 대한 public 혹은 cross-account 접근을 검사하여 과도하게 권한이 주어진 자원을 판별해주는 기능 analyzer 결과로 내 계정 내, 외부에서 액세스 가능한 리소스 리스트를 보여주고, next step을 제안 리전별로 따로 만들어야된다 iam role, s3, lambda, kms key, sqs qeue 상시 모니터링/탐색으로 정책이 변경되는 순간 탐지 security hub로 전달

iam access analyzer 확장 console에서 bucket access 프리뷰, validate, public & cross account access, policy validation, policy generation클라욷드트레일로그를 기반으로 실제로 접근했던 api목록을 뽑아준다 정책을 만들어준다

iam 정책 생성 자동화 iam 사용자 -> 임의의 iam policy 생성 후 업로드 -> AWS CODEPIPEline

오픈소스를 활용한 iam 권한 관리

policy_sentry: iam least privilege policy generator 도구 parliament: iam linting library로, 작성한 정책 리뷰 (예: 잘못된 json, 필수 요소 누락 등) netflix aardvark/repokid:access advisor 기반으로 정보를 조회하고 불필요한 권한을 제거 iamctl: 두개의 계정에서 iam 역할 및 정책을 추출하고 비교하고 차이점과 통계를보고 cloudsplaininng

컴플라이언스 체크: aws config rules config: aws 리소스의 변경사항을 추적하고 감사하는 서비스 config rules: 해당 변경 사항이 기준 정책에 위반될 때, 대응 규칙 실행(경보, 차단 등 aws lambda 활용) 보안 위협 탐지: amazon GuardDuty

API 활동 기록 및 감사: AWS CloudTrail aws api 요청의 처리내역을 로깅하는 서비스