IAM 유저 : 마지막으로 액세스한 정보 관련

마지막으로 액세스한 정보에 대해 알아야 할 사항

마지막으로 액세스한 보고서의 정보를 사용하여 IAM 엔터티 또는 엔터티 조직의 권한을 변경하려면 먼저 정보에 대한 다음 세부 정보를 검토합니다.

• 추적 기간 - 최근 활동은 일반적으로 4시간 이내에 IAM 콘솔에 나타납니다. 서비스 정보에 대한 추적 기간은 지난 400일입니다. Amazon S3 작업 정보에 대한 추적 기간은 2020년 4월 12일에 시작되었습니다. Amazon EC2, IAM 및 Lambda 작업의 추적 기간은 2021년 4월 7일부터 시작되었습니다. 자세한 내용은 AWS에서 마지막으로 액세스한 정보를 추적하는 위치 섹션을 참조하세요.
• 보고된 시도 횟수 - 서비스에서 마지막으로 액세스한 데이터에는 성공한 시도뿐만 아니라, 모든 AWS API 액세스 시도가 포함됩니다. 이 데이터에는 AWS Management Console, 임의의 SDK를 통한 AWS API, 또는 임의의 명령줄 도구를 사용한 모든 시도가 포함됩니다. 요청이 거부되었을 수도 있으므로, 서비스에서 마지막으로 액세스한 데이터에 예기치 않은 항목이 있다는 것이 계정이 훼손되었다는 의미는 아닙니다. 모든 API 호출에 대한 정보와 이런 호출이 성공했는지 또는 거부된 액세스인지에 대한 정보를 보여주는 신뢰할 수 있는 소스인 CloudTrail 로그를 참조하세요.
• PassRole - iam:PassRole 작업이 추적되지 않으며 마지막으로 액세스한 IAM 작업 정보에 포함되지 않습니다.
• 마지막으로 액세스한 작업 - 마지막으로 액세스한 작업 정보는 IAM 엔터티가 액세스한 Amazon EC2, IAM, Lambda 및 Amazon S3 관리 작업에 대해 사용할 수 있습니다. IAM은 CloudTrail에 의해 로그되는 Amazon EC2, IAM, Lambda 및 Amazon S3 관리 이벤트에 대한 작업 정보를 제공합니다. 경우에 따라 CloudTrail 관리 이벤트를 제어 영역 작업 또는 제어 영역 이벤트라고도 합니다. 관리 이벤트를 통해 AWS 계정의 리소스에 대해 수행한 관리 작업을 파악할 수 있습니다. CloudTrail의 관리 이벤트에 대한 자세한 내용은 Cloudtrail을 사용한 관리 이벤트 로깅을 참조하세요.

참고
Amazon S3 데이터 이벤트의 경우 마지막으로 액세스한 작업 정보가 제공되지 않습니다.

• 보고서 소유자 - 보고서를 생성하는 보안 주체만 보고서 세부 정보를 볼 수 있습니다. 즉, AWS Management Console에서 정보를 볼 때 정보가 생성 및 로드될 때까지 기다려야 할 수 있습니다. AWS CLI 또는 AWS API를 사용하여 보고서 세부 정보를 가져오는 경우 자격 증명이 보고서를 생성한 보안 주체의 자격 증명과 일치해야 합니다. 역할 또는 페더레이션 사용자에 대해 임시 자격 증명을 사용하는 경우 동일한 세션 중에 보고서를 생성하고 검색해야 합니다. 위임된 역할 세션 보안 주체에 대한 자세한 내용은 AWS JSON 정책 요소: Principal 섹션을 참조하세요.
• IAM 엔터티 - IAM 정보에는 계정의 IAM 엔터티(사용자 또는 역할)가 포함됩니다. 조직 정보에는 지정된 조직 엔터티 내의 보안 주체(IAM 사용자, IAM 역할 또는 AWS 계정 루트 사용자)가 포함됩니다. 이 정보에는 인증되지 않은 시도가 포함되지 않습니다.
• IAM 정책 유형 - IAM에 대한 정보에는 IAM 엔터티의 정책이 허용하는 서비스가 포함됩니다. 이러한 정책은 역할에 연결되거나 사용자에게 직접 또는 그룹을 통해 연결됩니다. 다른 정책 유형에서 허용하는 액세스는 보고서에 포함되어 있지 않습니다. 제외된 정책 유형에는 리소스 기반 정책, 액세스 제어 목록, AWS Organizations SCP, IAM 권한 경계 및 세션 정책이 있습니다. 서비스 연결 역할에서 제공하는 권한은 연결된 서비스에 의해 정의되며 IAM에서 수정할 수 없습니다. 서비스 연결 역할에 대한 자세한 내용은 서비스 연결 역할 사용 섹션을 참조하세요. 다양한 정책 유형을 평가하여 액세스를 허용 또는 거부하는 방법을 알아보려면 정책 평가 로직 섹션을 참조하세요.
• Organizations 정책 유형 - AWS Organizations에 대한 정보에는 Organizations 엔터티의 상속된 서비스 제어 정책(SCP)이 허용하는 서비스만 포함됩니다. SCP는 루트, OU 또는 계정에 연결된 정책입니다. 다른 정책 유형에서 허용하는 액세스는 보고서에 포함되어 있지 않습니다. 제외된 정책 유형에는 자격 증명 기반 정책, 리소스 기반 정책, 액세스 제어 목록, IAM 권한 경계 및 세션 정책이 있습니다. 다른 정책 유형이 액세스를 허용하거나 거부하는 방법을 알아보려면 정책 평가 로직 섹션을 참조하세요.
• 정책 ID 지정 - AWS CLI 또는 AWS API를 사용하여 조직에서 마지막으로 액세스한 정보에 대한 보고서를 생성할 때 선택적으로 정책 ID를 지정할 수 있습니다. 그러면 생성되는 보고서에는 해당 정책이 허용하는 서비스에 대한 정보만 포함됩니다. 이 정보에는 지정된 조직 엔터티 또는 엔터티 하위의 가장 최근 계정 활동이 포함됩니다. 자세한 내용은 aws iam generate-organizations-access-report 또는 GenerateOrganizationsAccessReport를 참조하세요.
• 조직 마스터 계정 - 마지막으로 액세스한 서비스 정보를 보려면 조직의 관리 계정에 로그인해야 합니다. IAM 콘솔, AWS CLI 또는 AWS API를 사용하여 관리 계정에 대한 정보를 보도록 선택할 수 있습니다. 관리 계정은 SCP에 의해 제한을 받지 않으므로 생성되는 보고서에는 모든 AWS 서비스가 나열됩니다. CLI 또는 API에 정책 ID를 지정할 경우 해당 정책이 무시됩니다. 각 서비스에 대해 보고서에는 관리 계정에 대한 정보만 포함됩니다. 그러나 다른 조직 엔터티에 대한 보고서는 관리 계정의 활동에 대한 정보를 반환하지 않습니다.
• 조직 설정 - 관리자는 조직에 대한 데이터를 생성하려면 조직 루트에서 SCP를 활성화해야 합니다.

 

 

 

 

 

https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/access_policies_access-advisor.html

마지막으로 액세스한 정보를 사용하여 AWS에서의 권한 재정의 - AWS Identity and Access Management