BLOG
AWS에서 보안은 단순한 기능 이상의 의미를 지닙니다. 2019년 12월 2일, AWS는 리소스 정책을 모니터링 하는 새로운 기능인 Access Analyzer for S3를 발표했습니다. 기본적으로 S3에서 생성 된 모든 버킷과 객체는 비공개입니다. AWS는 세분화 된 액세스 수준을 구성하는 데 사용할 수 있는 ACL (Access Control List) 및 버킷 정책과 같은 메커니즘을 제공합니다. Access Analyzer for S3는 액세스 정책을 모니터 하여 정책이 S3 자원에 대해 의도 된 액세스만을 제공 하도록 하는 새로운 기능입니다. Access Analyzer for S3는 버킷 액세스 정책을 평가하여 의도하지 않은 액세스로 버킷을 발견하고 신속하게 수정할 수 있습니다.
조직 및 워크로드가 증가함에 따라 Access Analyzer for S3는 모든 정책을 평가하여 AWS 계정 외부에서 공유되고 의도하지 않은 액세스의 위험이 있는 버킷에 경고합니다. 이 게시물에서는 Amazon S3 용 Access Analyzer를 활성화하는 방법을 살펴보고 이 새로운 기능을 사용하여 조직이 S3 버킷에 대한 액세스를 의도 한 것 이상으로 보장하는 데 도움이 될 수 있는 사용 사례에 대해 설명합니다.
버킷에 대한 잠재적인 공유 액세스를 표시하는 결과를 검토 할 때 S3 관리 콘솔에서 한 번의 클릭으로 버킷에 대한 모든 퍼블릭 액세스를 차단하고, 필요한 경우 더 세분화 된 권한을 구성하거나, 퍼블릭 액세스가 필요한 구체적이고 검증 된 사용 사례에 대해 정적 웹 사이트 호스팅과 같이 버킷에서 찾은 결과를 확인하고 보관하여 버킷이 공개 또는 공유 상태를 유지하도록 기록 할 수 있습니다. 언제든지 이러한 버킷 구성을 다시 방문하고 수정할 수 있습니다. 감사 목적으로 S3 결과 용 Access Analyzer는 CSV 보고서로 다운로드 할 수 있습니다.
S3 관리 콘솔을 시작하기 전에 IAM 콘솔을 액세스 하여 AWS Identity and Access Management (IAM) 액세스 분석기를 활성화하십시오. 이렇게 하면 S3 관리 콘솔에 S3 용 Access Analyzer가 자동으로 표시됩니다. S3 용 Access Analyzer는 2019년 12월 2일 re:Invent 2019에서 발표된 IAM Access Analyzer를 기반으로 합니다.
S3 AWS Management Console의 S3 용 Access Analyzer에서 공개적으로 공유되는 버킷과 조직 외부의 AWS 계정을 포함하여 다른 AWS 계정과 공유 된 버킷의 두 세트가 표시됩니다. 인터넷에 있는 모든 사람이 공개적으로 공유 한 버킷에 액세스 할 수 있습니다. 또한 ACL, 버킷 정책 또는 공유 액세스 유형 (읽기, 쓰기, 나열, 권한 등)과 공유 액세스의 소스에 대한 통찰력을 얻게 됩니다. 주의가 필요한 버킷은 활성 상태입니다. 세 가지 방법 중 하나를 사용하여 의도하지 않은 버킷 액세스를 신속하게 수정할 수 있습니다.
먼저 공개 버킷을 선택하고 S3 콘솔 페이지에서 Access Analyzer 기본의 [모든 공개 액세스 차단] 버튼을 선택합니다. 이 작업은 버킷에 대한 공개 액세스를 즉시 종료하게 됩니다. 버킷에 대한 모든 공개 액세스는 차단하는 것을 추천 합니다.
다음으로 목록에서 버킷 이름을 클릭하면 S3 콘솔 내에서 해당 버킷의 권한 페이지로 연결됩니다. 여기에서 공개 액세스 권한을 부여하는 ACL 또는 정책을 검사하고 구성을 필요한대로 변경할 수 있습니다.
정적 웹 사이트 호스팅 또는 리소스의 교차 계정 공유와 같이 공개 액세스가 필요한 특정 사용 사례가 있는 경우 버킷을 아카이브 하여, 액세스를 그대로 유지할 생각이 있는 것을 인정할 수 있습니다. 아카이브 된 검출 결과의 버킷은 계속하여 Access Analyzer for S3 콘솔 페이지에 표시되므로 어떤 버킷이 공유 중인지 항상 파악 할 수 있습니다. 액세스 요구 사항이 변경되거나 실수로 조사 결과를 보관 한 경우에도 언제든지 이러한 버킷을 다시 방문하여 위에서 설명한 단계를 사용하여 다시 구성 할 수 있습니다. 또한 S3 콘솔에서 CSV 보고서를 다운로드 하여 시간 경과에 따른 스토리지 액세스 변경 사항을 추적하고 감사 할 수 있습니다.
Access Analyzer for S3는 AWS 중국 베이징 리전과 AWS Ningxia 리전을 제외한 모든 AWS 상용 리전의 S3 관리 콘솔에서 추가 비용 없이 사용할 수 있습니다. Access Analyzer for S3는 AWS GovCloud(미국) 지역의 API를 통해 사용할 수도 있습니다.
활성화되면 버킷에 관한 조사결과와 통찰이 S3 AWS Management 콘솔에 표시 되기 시작합니다. Access Analyzer for S3에 대한 의견이 있거나 다른 사용 사례를 찾은 경우 AWS에 연락 주십시오.
원문 URL: https://aws.amazon.com/ko/blogs/storage/protect-amazon-s3-buckets-using-access-analyzer-for-s3/
** 메가존 클라우드 TechBlog는 AWS BLOG 영문 게재 글 중에서 한국 사용자들에게 유용한 정보 및 콘텐츠를 우선적으로 번역하여 내부 엔지니어 검수를 받아서, 정기적으로 게재하고 있습니다. 추가로 번역 및 게재를 희망하는 글에 대해서 관리자에게 메일 또는 SNS 페이지에 댓글을 남겨주시면, 우선적으로 번역해서 전달해드리도록 하겠습니다.