마지막으로 액세스한 정보를 사용하여 AWS에서의 권한 재정의 - AWS Identity and Access Management
IAM에 대해 마지막으로 액세스한 정보 유형AWS Organizations에 대해 마지막으로 액세스한 정보마지막으로 액세스한 정보에 대해 알아야 할 사항필요한 권한IAM 및 Organizations 엔터티에 대한 문제 해결 활동AWS에서 마지막으로 액세스한 정보를 추적하는 위치

마지막으로 액세스한 정보를 사용하여 AWS에서의 권한 재정의

관리자는 IAM 리소스(역할, 사용자, 사용자 그룹 또는 정책)에 필요한 것 이상의 권한을 부여할 수 있습니다. IAM에서는 사용되지 않은 권한을 식별하여 제거할 수 있도록 마지막으로 액세스한 정보를 제공합니다. 마지막으로 액세스한 정보를 사용하여 정책을 재정의하고 IAM 자격 증명 및 정책에서 사용하는 서비스 및 작업에 대한 액세스만 허용할 수 있습니다. 그러면 최소 권한 모범 사례를 더 효과적으로 준수할 수 있습니다. IAM 또는 AWS Organizations에 있는 자격 증명 또는 정책에 대해 마지막으로 액세스한 정보를 볼 수 있습니다.

미사용 액세스 분석기를 사용하여 마지막으로 액세스한 정보를 지속적으로 모니터링할 수 있습니다. 자세한 내용은 외부 및 미사용 액세스에 대한 조사 결과를 참조하세요.

주제

IAM에 대해 마지막으로 액세스한 정보 유형

IAM 자격 증명에 대해 마지막으로 액세스한 정보, 즉, 허용된 AWS 서비스 정보와 허용된 작업 정보와 같은 두 가지 유형을 볼 수 있습니다. 이 정보에는 AWS API에서 액세스를 시도한 날짜와 시간이 포함됩니다. 작업의 경우 마지막으로 액세스한 정보에서는 서비스 관리 작업을 보고합니다. 관리 작업에는 생성, 삭제 및 수정 작업이 포함됩니다. IAM에 대해 마지막으로 액세스한 정보를 보는 방법에 대한 자세한 내용은 IAM에 대해 마지막으로 액세스한 정보 보기 섹션을 참조하세요.

마지막으로 액세스한 정보를 사용하여 IAM 자격 증명에 부여할 권한을 결정하는 시나리오 예제는 마지막으로 액세스한 정보 사용에 대한 예제 시나리오 섹션을 참조하세요.

관리 작업에 대한 정보가 제공되는 방법에 대한 자세한 내용은 마지막으로 액세스한 정보에 대해 알아야 할 사항 섹션을 참조하세요.

AWS Organizations에 대해 마지막으로 액세스한 정보

관리 계정 자격 증명을 사용하여 로그인할 경우 AWS Organizations 엔터티 또는 정책에 대해 마지막으로 액세스한 서비스 정보를 볼 수 있습니다. AWS Organizations 엔터티에는 조직 루트, 조직 단위(OU) 또는 계정이 포함됩니다. AWS Organizations에 대해 마지막으로 액세스한 정보에는 SCP(서비스 제어 정책)에서 허용하는 서비스에 대한 정보가 포함됩니다. 이 정보는 조직 또는 계정에서 서비스에 마지막으로 액세스하려고 시도한 보안 주체(루트 사용자, IAM 사용자 또는 역할)와 그 시기를 나타냅니다. AWS Organizations에 대해 마지막으로 액세스한 정보를 보는 방법과 보고서에 대한 자세한 내용은 Organizations에 대해 마지막으로 액세스한 정보 보기 섹션을 참조하세요.

마지막으로 액세스한 정보를 사용하여 Organizations 엔터티에 부여할 권한을 결정하는 데 대한 예제 시나리오는 마지막으로 액세스한 정보 사용에 대한 예제 시나리오 섹션을 참조하세요.

마지막으로 액세스한 정보에 대해 알아야 할 사항

보고서에서 마지막으로 액세스한 정보를 사용하여 IAM 자격 증명 또는 조직 엔터티 조직의 권한을 변경하기 전에 먼저 정보에 대한 다음 세부 정보를 검토합니다.

  • 추적 기간 - 최근 활동은 4시간 이내에 IAM 콘솔에 나타납니다. 서비스 정보의 추적 기간은 서비스가 작업 정보에 대한 추적을 시작한 시점에 따라 최소 400일입니다. Amazon S3 작업 정보에 대한 추적 기간은 2020년 4월 12일에 시작되었습니다. Amazon EC2, IAM 및 Lambda 작업의 추적 기간은 2021년 4월 7일부터 시작되었습니다. 다른 모든 서비스의 추적 기간은 2023년 5월 23일에 시작되었습니다. 작업에서 마지막으로 액세스한 정보를 사용할 수 있는 서비스 목록은 IAM 작업에서 마지막으로 액세스한 정보와 관련된 서비스 및 작업 섹션을 참조하세요. 작업에서 마지막으로 액세스한 정보를 사용할 수 있는 리전에 대한 자세한 내용은 AWS에서 마지막으로 액세스한 정보를 추적하는 위치 섹션을 참조하세요.

  • 보고된 시도 횟수 - 서비스에서 마지막으로 액세스한 데이터에는 성공한 시도뿐만 아니라, 모든 AWS API 액세스 시도가 포함됩니다. 이 데이터에는 AWS Management Console, 임의의 SDK를 통한 AWS API, 또는 임의의 명령줄 도구를 사용한 모든 시도가 포함됩니다. 요청이 거부되었을 수도 있으므로, 서비스에서 마지막으로 액세스한 데이터에 예기치 않은 항목이 있다는 것이 계정이 훼손되었다는 의미는 아닙니다. 모든 API 호출에 대한 정보와 이런 호출이 성공했는지 또는 거부된 액세스인지에 대한 정보를 보여주는 신뢰할 수 있는 소스인 CloudTrail 로그를 참조하세요.

  • PassRole - iam:PassRole 작업이 추적되지 않으며 마지막으로 액세스한 IAM 작업 정보에 포함되지 않습니다.

  • 작업에서 마지막으로 액세스한 정보 - IAM 자격 증명에서 액세스한 서비스 관리 작업에 대해 작업에서 마지막으로 액세스한 정보를 사용할 수 있습니다. 작업에서 마지막으로 액세스한 보고서 정보는 서비스 목록 및 해당 작업의 목록을 참조하세요.

    참고

    Amazon S3 데이터 이벤트의 경우 마지막으로 액세스한 작업 정보가 제공되지 않습니다.

  • 관리 이벤트 - IAM은 CloudTrail에서 기록하는 서비스 관리 이벤트에 대한 작업 정보를 제공합니다. 경우에 따라 CloudTrail 관리 이벤트를 제어 영역 작업 또는 제어 영역 이벤트라고도 합니다. 관리 이벤트를 통해 AWS 계정의 리소스에 대해 수행한 관리 작업을 파악할 수 있습니다. CloudTrail의 관리 이벤트에 대한 자세한 내용은 AWS CloudTrail 사용 설명서Logging management events를 참조하세요.

  • 보고서 소유자 - 보고서를 생성하는 보안 주체만 보고서 세부 정보를 볼 수 있습니다. 즉, AWS Management Console에서 정보를 볼 때 정보가 생성 및 로드될 때까지 기다려야 할 수 있습니다. AWS CLI 또는 AWS API를 사용하여 보고서 세부 정보를 가져오는 경우 자격 증명이 보고서를 생성한 보안 주체의 자격 증명과 일치해야 합니다. 역할 또는 페더레이션 사용자에 대해 임시 자격 증명을 사용하는 경우 동일한 세션 중에 보고서를 생성하고 검색해야 합니다. 위임된 역할 세션 보안 주체에 대한 자세한 내용은 AWS JSON 정책 요소: Principal 섹션을 참조하세요.

  • IAM 리소스 - IAM에 대해 마지막으로 액세스한 정보에는 계정의 IAM 리소스(역할, 사용자, 사용자 그룹 및 정책)가 포함됩니다. 조직에 대해 마지막으로 액세스한 정보에는 지정된 조직 엔터티의 보안 주체(IAM 사용자, IAM 역할 또는 AWS 계정 루트 사용자)가 포함됩니다. 마지막으로 액세스한 정보에는 인증되지 않은 시도가 포함되지 않습니다.

  • IAM 정책 유형 - IAM에 대해 마지막으로 액세스한 정보에는 IAM 자격 증명의 정책에서 허용하는 서비스가 포함됩니다. 이러한 정책은 역할에 연결되거나 사용자에게 직접 또는 그룹을 통해 연결됩니다. 다른 정책 유형에서 허용하는 액세스는 보고서에 포함되어 있지 않습니다. 제외된 정책 유형에는 리소스 기반 정책, 액세스 제어 목록, AWS Organizations SCP, IAM 권한 경계 및 세션 정책이 있습니다. 서비스 연결 역할에서 제공하는 권한은 연결된 서비스에 의해 정의되며 IAM에서 수정할 수 없습니다. 서비스 연결 역할에 대한 자세한 내용은 서비스 연결 역할 사용 섹션을 참조하세요. 다양한 정책 유형을 평가하여 액세스를 허용 또는 거부하는 방법을 알아보려면 정책 평가 로직 섹션을 참조하세요.

  • Organizations 정책 유형 - AWS Organizations에 대한 정보에는 Organizations 엔터티의 상속된 서비스 제어 정책(SCP)이 허용하는 서비스만 포함됩니다. SCP는 루트, OU 또는 계정에 연결된 정책입니다. 다른 정책 유형에서 허용하는 액세스는 보고서에 포함되어 있지 않습니다. 제외된 정책 유형에는 자격 증명 기반 정책, 리소스 기반 정책, 액세스 제어 목록, IAM 권한 경계 및 세션 정책이 있습니다. 다른 정책 유형이 액세스를 허용하거나 거부하는 방법을 알아보려면 정책 평가 로직 섹션을 참조하세요.

  • 정책 ID 지정 - AWS CLI 또는 AWS API를 사용하여 조직에서 마지막으로 액세스한 정보에 대한 보고서를 생성할 때 선택적으로 정책 ID를 지정할 수 있습니다. 그러면 생성되는 보고서에는 해당 정책이 허용하는 서비스에 대한 정보만 포함됩니다. 이 정보에는 지정된 조직 엔터티 또는 엔터티 하위의 가장 최근 계정 활동이 포함됩니다. 자세한 내용은 aws iam generate-organizations-access-report 또는 GenerateOrganizationsAccessReport를 참조하세요.

  • 조직 마스터 계정 - 마지막으로 액세스한 서비스 정보를 보려면 조직의 관리 계정에 로그인해야 합니다. IAM 콘솔, AWS CLI 또는 AWS API를 사용하여 관리 계정에 대한 정보를 보도록 선택할 수 있습니다. 관리 계정은 SCP에 의해 제한을 받지 않으므로 생성되는 보고서에는 모든 AWS 서비스가 나열됩니다. CLI 또는 API에 정책 ID를 지정할 경우 해당 정책이 무시됩니다. 각 서비스에 대해 보고서에는 관리 계정에 대한 정보만 포함됩니다. 그러나 다른 조직 엔터티에 대한 보고서는 관리 계정의 활동에 대한 정보를 반환하지 않습니다.

  • 조직 설정 - 관리자는 조직에 대한 데이터를 생성하려면 조직 루트에서 SCP를 활성화해야 합니다.

필요한 권한

AWS Management Console에서 마지막으로 액세스한 정보를 보려면 필요한 권한을 부여하는 정책이 있어야 합니다.

IAM 정보에 대한 권한

IAM 콘솔을 사용하여 IAM 사용자, 역할 또는 정책에 대해 마지막으로 액세스한 정보를 사용하려면 다음 작업을 포함하는 정책이 있어야 합니다.

  • iam:GenerateServiceLastAccessedDetails

  • iam:Get*

  • iam:List*

이러한 권한을 사용하면 사용자가 다음을 확인할 수 있습니다.

  • 관리형 정책에 연결된 사용자, 그룹 또는 역할

  • 사용자 또는 역할이 액세스할 수 있는 서비스

  • 서비스에 마지막으로 액세스한 시간

  • 특정 Amazon EC2, IAM, Lambda, Amazon S3 작업을 마지막으로 사용하려고 시도한 시간

AWS CLI 또는 AWS API를 사용하여 IAM에 대해 마지막으로 액세스한 정보를 사용하려면 사용할 작업과 일치하는 권한이 있어야 합니다.

  • iam:GenerateServiceLastAccessedDetails

  • iam:GetServiceLastAccessedDetails

  • iam:GetServiceLastAccessedDetailsWithEntities

  • iam:ListPoliciesGrantingServiceAccess

이 예제는 IAM이 마지막으로 액세스한 정보를 볼 수 있도록 허용하는 아이덴티티 기반 정책을 생성하는 방법을 보여줍니다. 또한 모든 IAM에 대한 읽기 전용 액세스를 허용합니다. 이 정책은 프로그래밍 방식 및 콘솔 액세스에 대한 권한을 정의합니다.

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:GenerateServiceLastAccessedDetails",
            "iam:Get*",
            "iam:List*"
        ],
        "Resource": "*"
    }

AWS Organizations 정보에 대한 권한

IAM 콘솔을 사용하여 조직의 루트, OU 또는 계정 엔터티에 대한 보고서를 보려면 다음 작업을 포함하는 정책이 있어야 합니다.

  • iam:GenerateOrganizationsAccessReport

  • iam:GetOrganizationsAccessReport

  • organizations:DescribeAccount

  • organizations:DescribeOrganization

  • organizations:DescribeOrganizationalUnit

  • organizations:DescribePolicy

  • organizations:ListChildren

  • organizations:ListParents

  • organizations:ListPoliciesForTarget

  • organizations:ListRoots

  • organizations:ListTargetsForPolicy

AWS CLI 또는 AWS API를 사용하여 조직에 대해 마지막으로 액세스한 정보를 사용하려면 다음 작업을 포함하는 정책이 있어야 합니다.

  • iam:GenerateOrganizationsAccessReport

  • iam:GetOrganizationsAccessReport

  • organizations:DescribePolicy

  • organizations:ListChildren

  • organizations:ListParents

  • organizations:ListPoliciesForTarget

  • organizations:ListRoots

  • organizations:ListTargetsForPolicy

이 예제는 Organizations에 대해 마지막으로 액세스한 서비스 정보를 볼 수 있도록 허용하는 아이덴티티 기반 정책을 생성하는 방법을 보여줍니다. 또한 모든 조직에 대한 읽기 전용 액세스를 허용합니다. 이 정책은 프로그래밍 방식 및 콘솔 액세스에 대한 권한을 정의합니다.

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:GenerateOrganizationsAccessReport",
            "iam:GetOrganizationsAccessReport",
            "organizations:Describe*",
            "organizations:List*"
        ],
        "Resource": "*"
    }
}

iam:OrganizationsPolicyId 조건 키를 사용하여 특정 조직 정책에 대해서만 보고서 생성을 허용할 수도 있습니다. 예제 정책은 IAM: Organizations 정책에 대해 마지막으로 액세스한 서비스 정보 보기을 참조하십시오.

IAM 및 Organizations 엔터티에 대한 문제 해결 활동

경우에 따라 AWS Management Console에서 마지막으로 액세스한 정보 테이블이 비어 있을 수 있습니다. AWS CLI 또는 AWS API 요청이 빈 정보 세트 또는 null 필드를 반환할 수도 있습니다. 이러한 경우 다음 문제를 검토하세요.

  • 마지막으로 액세스한 작업 정보의 경우 표시될 것으로 예상되는 작업이 목록에 반환되지 않을 수 있습니다. IAM 자격 증명이 작업에 대한 권한을 보유하지 않거나 마지막으로 액세스한 정보에 대한 작업을 AWS에서 아직 추적하지 않았기 때문에 이러한 문제가 발생할 수 있습니다.

  • IAM 사용자의 경우 사용자가 직접 또는 그룹 멤버십을 통해 인라인 또는 관리형 정책이 하나 이상 연결되어 있는지 확인합니다.

  • IAM 그룹의 경우 그룹에 인라인 또는 관리형 정책이 하나 이상 연결되어 있는지 확인합니다.

  • IAM 그룹의 경우 보고서는 그룹 정책을 사용하여 서비스에 액세스한 멤버에 대해서만 마지막으로 액세스한 서비스 정보를 반환합니다. 멤버가 다른 정책을 사용했는지 여부를 확인하려면 해당 사용자에 대해 마지막으로 액세스한 정보를 검토하세요.

  • IAM 역할의 경우 역할에 인라인 또는 관리형 정책이 하나 이상 연결되어 있는지 확인합니다.

  • IAM 엔터티(사용자 또는 역할)의 경우 해당 엔터티의 사용 권한에 영향을 줄 수 있는 다른 정책 유형을 검토합니다. 여기에는 리소스 기반 정책, 액세스 제어 목록, AWS Organizations 정책, IAM 권한 경계 또는 세션 정책이 있습니다. 자세한 내용은 정책 유형 또는 단일 계정 내에서 정책 평가 단원을 참조하세요.

  • IAM 정책의 경우 지정된 관리형 정책이 하나 이상의 사용자, 멤버가 있는 그룹 또는 역할에 연결되어 있는지 확인합니다.

  • 조직 엔터티(루트, OU 또는 계정)의 경우 조직 관리 계정 자격 증명을 사용하여 로그인되어 있는지 확인합니다.

  • 조직 루트에서 SCP가 활성화되어 있는지 확인합니다.

  • 마지막으로 액세스한 작업 정보는 IAM 작업에서 마지막으로 액세스한 정보와 관련된 서비스 및 작업에 설치된 작업에만 사용할 수 있습니다.

변경을 수행할 때 IAM 콘솔 보고서에 작업이 나타날 때까지 최소 4시간을 기다립니다. AWS CLI 또는 AWS API를 사용하는 경우 업데이트된 정보를 표시하려면 새 보고서를 생성해야 합니다.

AWS에서 마지막으로 액세스한 정보를 추적하는 위치

AWS는 표준 AWS 리전에 대해 마지막으로 액세스한 정보를 수집합니다. AWS에서 리전을 추가하면 AWS에서 각 리전의 정보 추적을 시작한 날짜와 함께 해당 리전이 다음 테이블에 추가됩니다.

  • 서비스 정보 - 서비스 추적 기간은 최소 400일이지만, 해당 리전에서 지난 400일 이내에 이 기능 추적을 시작한 경우 400일보다 더 짧습니다.

  • 작업 정보 - Amazon S3 관리 작업에 대한 추적 기간은 2020년 4월 12일에 시작되었습니다. Amazon EC2, IAM 및 Lambda 관리 작업에 대한 추적 기간은 2021년 4월 7일에 시작되었습니다. 다른 모든 서비스의 관리 작업에 대한 추적 기간은 2023년 5월 23일에 시작되었습니다. 리전의 추적 날짜가 2023년 5월 23일 이후인 경우 작업에서 마지막으로 액세스한 해당 리전의 정보는 이후 날짜로 시작됩니다.

지역명 리전 추적 시작 날짜
미국 동부(오하이오) us-east-2 2017년 10월 27일
미국 동부(버지니아 북부) us-east-1 2015년 10월 1일
미국 서부(캘리포니아 북부) us-west-1 2015년 10월 1일
미국 서부(오레곤) us-west-2 2015년 10월 1일
아프리카(케이프타운) af-south-1 2020년 4월 22일
아시아 태평양(홍콩) ap-east-1 2019년 4월 24일
아시아 태평양(하이데라바드) ap-south-2 2022년 11월 22일
아시아 태평양(자카르타) ap-southeast-3 2021년 12월 13일
아시아 태평양(멜버른) ap-southeast-4 2023년 1월 23일
아시아 태평양(뭄바이) ap-south-1 2016년 6월 27일
아시아 태평양(오사카) ap-northeast-3 2018년 2월 11일
아시아 태평양(서울) ap-northeast-2 2016년 1월 6일
아시아 태평양(싱가포르) ap-southeast-1 2015년 10월 1일
아시아 태평양(시드니) ap-southeast-2 2015년 10월 1일
아시아 태평양(도쿄) ap-northeast-1 2015년 10월 1일
캐나다(중부) ca-central-1 2017년 10월 28일
유럽(프랑크푸르트) eu-central-1 2015년 10월 1일
유럽(아일랜드) eu-west-1 2015년 10월 1일
Europe (London) eu-west-2 2017년 10월 28일
유럽(밀라노) eu-south-1 2020년 4월 28일
유럽(파리) eu-west-3 2017년 12월 18일
유럽(스페인) eu-south-2 2022년 11월 15일
유럽(스톡홀름) eu-north-1 2018년 12월 12일
유럽(취리히) eu-central-2 2022년 11월 8일
이스라엘(텔아비브) il-central-1 2023년 8월 1일
중동(바레인) me-south-1 2019년 7월 29일
중동(UAE) me-central-1 2022년 8월 30일
남아메리카(상파울루) sa-east-1 2015년 12월 11일
AWS GovCloud(미국 동부) us-gov-east-1 2023년 7월 1일
AWS GovCloud(미국 서부) us-gov-west-1 2023년 7월 1일

앞의 테이블에 나와 있지 않은 리전은 마지막으로 액세스한 정보를 아직 제공하지 않습니다.

AWS 리전은 AWS 리소스를 지리적 영역에 모아 놓은 것입니다. 리전은 파티션으로 그룹화됩니다. 표준 리전은 aws 파티션에 속하는 리전입니다. 여러 파티션에 대한 자세한 내용은 AWS 일반 참조의 Amazon 리소스 이름(ARN) 형식을 참조하십시오. 리전에 대한 자세한 내용은 AWS 일반 참조의 AWS 지역 정보를 참조하십시오.