삭제된 IAM 사용자 또는 역할을 동일한 정책 및 권한으로 다시 생성하려면 어떻게 해야 합니까?
AWS Identity and Access Management(IAM) 사용자 또는 역할이 삭제되었는데 동일한 정책 및 권한으로 다시 생성하려고 합니다.
간략한 설명
AWS Management Console을 사용하여 IAM 사용자를 삭제하면 IAM은 해당 사용자와 연결된 리소스를 자동으로 삭제합니다. 이러한 리소스에는 그룹 멤버십, 암호, 액세스 키, 인라인 정책 및 MFA 디바이스가 포함됩니다.
AWS Management Console을 사용하여 사용자 그룹을 삭제하면 IAM은 해당 그룹과 관련된 리소스를 자동으로 삭제하거나 제거합니다. 모든 그룹 멤버가 제거되고, 관리형 정책이 분리되고, 모든 인라인 정책이 삭제됩니다.
해결 방법
삭제된 IAM 사용자 또는 역할은 복구할 수 없습니다. 하지만 다음 AWS 서비스를 사용하여 특정 IAM 사용자 및 그룹과 관련된 API 및 리소스를 볼 수 있습니다.
그런 다음 IAM 사용자 또는 IAM 그룹을 다시 생성하고 관련 리소스를 재구성합니다.
CloudTrail 이벤트 기록을 사용하여 삭제된 IAM 사용자 또는 역할 검토
CloudTrail을 사용하여 삭제된 IAM 사용자 또는 역할 이름에 대한 이벤트 기록을 검색하고 관련 리소스에 대한 API 기록을 가져옵니다.
참고: CloudTrail을 사용하여 지난 90일간의 이벤트에 대한 이벤트 기록을 검색할 수 있습니다.
- CloudTrail 콘솔을 엽니다.
- 탐색 창에서 이벤트 기록을 선택합니다.
- 속성 조회 드롭다운 목록에서 리소스 이름을 선택합니다.
- 조회 값 입력 텍스트 상자에 IAM 사용자 또는 역할 이름을 입력합니다.
- 이벤트 이름에서 결과를 볼 IAM 사용자 또는 역할 이름을 선택합니다.
참고: CloudTrail 이벤트에 대한 사용자 지정 필터를 설정할 수도 있습니다.
결과에는 삭제된 IAM 사용자 또는 역할과 관련된 다음 API가 포함될 수 있습니다.
- DetachUserPolicy 및 DetachRolePolicy: 사용자 또는 역할 관리 정책을 식별합니다.
- PutUserPolicy 및 PutRolePolicy: 사용자 또는 역할 인라인 정책을 식별합니다.
- CreateRole: 신뢰 정책 문서 및 생성 시 IAM 역할과 관련된 권한 경계 정책을 식별합니다.
- CreateUser: IAM 사용자를 생성할 때 해당 IAM 사용자와 관련된 모든 권한 경계 정책을 식별합니다.
- PutUserPermissionsBoundary 및 PutRolePermissionsBoundary: IAM 사용자 또는 역할이 생성된 후 해당 역할과 관련된 권한 경계 정책을 식별합니다.
CloudWatch 로그 그룹 사용
CloudWatch 로그 그룹을 사용하여 지난 90일 동안의 API 기록을 검색할 수 있습니다.
참고: Amazon CloudWatch 로그 그룹에 기록할 수 있도록 추적을 생성하고 구성해야 합니다. 자세한 내용은 CloudTrail 콘솔을 사용한 추적 생성을 참조하십시오.
- CloudWatch 콘솔을 엽니다.
- 탐색 창에서 로그를 선택하고 로그 그룹을 선택합니다.
- 로그 그룹에서 로그 그룹을 선택합니다.
- 로그 그룹 페이지에서 로그 그룹 검색을 선택합니다.
- 필터 이벤트에 사용자의 API 호출 또는 특정 API 작업을 검색하기 위한 쿼리를 입력합니다. 그런 다음 새로 고침 아이콘을 선택합니다.
- 로그 그룹 검색 결과에서 타임스탬프를 확장하여 API 호출 결과 세부 정보를 확인합니다.
사용자의 API 호출에 대한 로그를 검색하기 위한 쿼리 예시
참고: Alice를 검색 쿼리의 사용자 이름으로 바꾸십시오. IAM 사용자의 "친숙한 이름" 또는 가정된 역할의 "역할 세션 이름"을 입력하십시오. 특정 세션의 역할 세션 이름은 역할이 가정될 때 세션 이름으로 제공되는 값입니다. IAM 역할에서 수행하는 API 호출의 경우 userName 필드의 값은 역할 이름이 아닙니다.
{ $.userIdentity.userName = "Alice" }
참고: CloudWatch Logs Insights를 사용하여 로그 데이터를 분석할 수도 있습니다. 자세한 내용은 CloudWatch Logs Insights를 사용하여 CloudTrail 로그를 검색하고 분석하려면 어떻게 해야 합니까?를 참조하십시오.
Athena를 사용해 CloudTrail 추적 로그를 쿼리하여 삭제된 IAM 사용자 또는 역할 검토
Athena를 사용하여 지난 90일 동안의 CloudTrail 로그를 쿼리할 수 있습니다. CloudTrail 이벤트 기록에서 볼 수 없는 데이터 이벤트도 찾을 수 있습니다.
참고: Athena를 사용하여 CloudTrail 로그를 쿼리하려면 Amazon Simple Storage Service(Amazon S3) 버킷에 기록하도록 추적을 구성해야 합니다.
- Athena 콘솔을 연 다음 쿼리 편집기 시작을 선택합니다.
- 사용 사례에 따라 다음 예시 쿼리 중 하나를 입력한 다음 실행을 선택합니다.
특정 IAM 사용자에게 적용된 구성 변경과 관련된 모든 CloudTrail 이벤트를 반환하는 예시 쿼리
SELECT * FROM example-athena-table WHERE eventsource = 'iam.amazonaws.com' AND requestParameters LIKE '%DeletedIAMUserName%' AND readonly = 'false'
특정 IAM 역할에 적용된 구성 변경과 관련된 모든 CloudTrail 이벤트를 반환하는 예시 쿼리
SELECT * FROM example-athena-table WHERE eventsource = 'iam.amazonaws.com' AND requestParameters LIKE '%DeletedIAMRoleName%' AND readonly = 'false'
참고: athena-table을 Athena 테이블 이름으로, DeletedIAMUserName 또는 DeletedIAMRoleName을 IAM 사용자 또는 역할로 바꾸십시오.
또한 CloudTrail 로그를 사용하여 Athena 테이블을 생성하여 쿼리를 실행할 수 있습니다. 자세한 내용은 CloudTrail 로그 쿼리를 참조하십시오.
AWS Config를 사용하여 삭제된 IAM 사용자 또는 역할 검토
AWS Config가 AWS 계정에 기록한 리소스(예: 삭제된 IAM 사용자 또는 역할)를 볼 수 있습니다.
- AWS Config 콘솔을 엽니다.
- 탐색 창에서 리소스를 선택합니다.
- 리소스 인벤토리 페이지의 리소스 유형에서 드롭다운 목록을 선택합니다.
- AWS IAM 역할 또는 AWS IAM 사용자를 선택합니다.
- 삭제된 리소스 포함을 선택하고 켜기로 전환한 다음 적용을 선택합니다.
- 리소스 식별자 열에서 "삭제됨"으로 표시된 IAM 사용자 또는 역할을 선택합니다.
- 리소스 페이지에서 리소스 타임라인을 선택합니다.
- 타임라인 페이지에서 삭제된 IAM 사용자 또는 역할에 대한 일반 세부 정보 및 이벤트를 검토합니다.
AWS Config 리소스 타임라인에는 삭제 전 IAM 역할 또는 사용자와 관련된 인라인 정책, 관리형 정책 및 권한에 대한 세부 정보가 포함되어 있습니다. 자세한 내용은 AWS Config에서 참조하는 리소스 보기를 참조하십시오.
관련 정보
Amazon Athena에서 테이블을 자동으로 생성하여 CloudTrail 로그를 검색하려면 어떻게 해야 합니까?
- 언어
- 한국어
관련 콘텐츠
- 질문됨 일 년 전
