SEC02-BP05 정기적으로 보안 인증 정보 감사 및 교체
임시 보안 인증 정보를 사용할 수 없으며 장기 보안 인증 정보가 필요한 경우 보안 인증 정보를 감사하여 정의된 제어(예: 다중 인증(MFA))가 적용되고 정기적으로 교체되며 적절한 액세스 수준을 보유하는지 확인합니다. 올바른 제어 기능이 적용되는지 확인하려면 주기적인 검증(가능한 자동화된 도구 사용)을 실시해야 합니다. 인적 자격 증명의 경우, 사용자가 주기적으로 암호를 변경하고 액세스 키 사용을 중지하며 그 대신 임시 자격 증명을 사용하도록 규정해야 합니다. AWS Identity and Access Management(IAM) 사용자에서 중앙화된 자격 증명으로 이전할 때 보안 인증 보고서를 생성하여 IAM 사용자를 감사할 수 있습니다. 또한 자격 증명 공급자에 MFA 설정을 사용하는 것이 좋습니다. 이를 위해 AWS Config 규칙 를 설정하여 이러한 설정을 모니터링할 수 있습니다. 시스템 자격 증명의 경우, IAM 역할을 사용한 임시 보안 인증 정보를 사용해야 합니다. 이러한 방법이 불가능한 경우, 액세스 키를 자주 감사하고 교체해 사용해야 합니다.
이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준: 보통
구현 가이드
-
정기적으로 보안 인증 정보 감사: 보안 인증 보고와 Identify and Access Management(IAM) Access Analyzer를 사용하여 IAM 보안 인증 정보 및 권한을 감사합니다.
-
액세스 수준을 사용하여 IAM 권한 검토: AWS 계정의 보안을 강화하기 위해 각 IAM 정책을 정기적으로 검토하고 모니터링합니다. 필요한 작업을 수행하는 데 필요한 최소 권한만 정책에서 부여하는지 확인합니다.
-
IAM 리소스 생성 및 업데이트 자동화 고려: AWS CloudFormation을 사용하면 템플릿을 확인하고 버전을 제어할 수 있으므로, 역할 및 정책을 포함한 IAM 리소스 배포를 자동화하고 인적 오류를 줄일 수 있습니다.
리소스
관련 문서:
관련 동영상:
