내 AWS 계정의 비정상적인 리소스 활동 문제를 해결하려면 어떻게 해야 합니까?

간략한 설명

계정에서 예상치 못한 리소스 활동을 발견하면 자격 증명이 손상될 수 있습니다. 자격 증명이 있는 승인되지 않은 사용자는 IAM 정책에서 허용하는 모든 작업을 수행할 수 있습니다. 잠재적 무단 액세스를 처리하는 방법에 대한 지침은 AWS 계정에서 무단 활동을 발견하면 어떻게 해야 합니까?를 참조하십시오.

해결 방법

먼저 손상된 IAM 사용자 및 액세스 키를 식별하고 비활성화합니다. 그런 다음, AWS CloudTrail을 사용하여 손상된 IAM 사용자와 관련된 API 이벤트 기록을 검색합니다.

다음 예시에서는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스가 예기치 않게 시작되었습니다.

참고: 다음 해결 방법은 임시 보안 자격 증명이 아닌 장기 보안 자격 증명에 적용됩니다. 임시 자격 증명에서 권한을 취소하려면 임시 보안 자격 증명에 대한 권한 비활성화를 참조하십시오.

Amazon EC2 인스턴스 ID 식별

다음 단계를 완료합니다.

1. Amazon EC2 콘솔을 열고 인스턴스를 선택합니다.
2. EC2 인스턴스를 선택한 다음, 인스턴스 요약 탭을 선택합니다.
3. 인스턴스 ID를 복사합니다.

인스턴스를 시작하는 데 사용된 IAM 액세스 키 ID 및 사용자 이름 찾기

다음 단계를 완료합니다.

1. CloudTrail 콘솔을 연 다음, 이벤트 기록을 선택합니다.
2. 속성 조회에서 리소스 이름을 선택합니다.
3. 리소스 이름 입력 필드에 인스턴스 ID를 입력한 다음, Enter를 선택합니다.
4. RunInstances의 이벤트 이름을 확장합니다.
5. AWS 액세스 키를 복사한 다음, 사용자 이름을 기록해 둡니다.

IAM 사용자를 삭제하고 백업 IAM 액세스 키를 생성한 다음, 손상된 액세스 키 비활성화

다음 단계를 완료합니다.

1. IAM 콘솔을 연 다음, IAM 검색 표시줄에 IAM 액세스 키 ID를 입력합니다.
2. 사용자 이름을 선택한 다음, 보안 자격 증명 탭을 선택합니다.
3. 콘솔 로그인에서 콘솔 액세스 관리를 선택합니다.
   참고: AWS Management Console 암호가 비활성화됨으로 설정된 경우 이 단계를 건너뛰어도 됩니다.
4. 콘솔 액세스 관리에서, 비활성화를 선택한 다음 적용을 선택합니다.
   중요: 활성 액세스 키가 있는 사용자는 여전히 API 직접 호출을 사용하여 AWS 서비스에 액세스할 수 있습니다.
5. 액세스 키를 업데이트합니다.
6. 손상된 IAM 액세스 키의 경우 작업을 선택한 다음, 비활성화를 선택합니다.
   참고: 손상된 IAM 액세스 키를 사용 중에 비활성화하면 프로덕션 환경에 영향을 미칠 수 있습니다.

손상된 액세스 키의 활동에 대한 CloudTrail 이벤트 기록 검토

다음 단계를 완료합니다.

1. CloudTrail 콘솔을 엽니다.
2. 탐색 창에서 이벤트 기록을 선택합니다.
3. 속성 조회에서 AWS 액세스 키를 선택합니다.
4. AWS 액세스 키 입력 필드에 손상된 IAM 액세스 키 ID를 입력합니다.
5. RunInstances API 호출의 이벤트 이름을 확장합니다.
   참고: 지난 90일 동안의 이벤트 기록을 볼 수 있습니다.

또한 CloudTrail 이벤트 기록을 검색하여 보안 그룹 또는 리소스가 어떻게 변경되었는지 확인할 수 있습니다.

자세한 내용은 CloudTrail 이벤트 기록 작업을 참조하십시오.

관련 정보

IAM의 보안 모범 사례

보안 액세스 키

IAM 정책 관리

AWS 보안 감사 지침