IAM Security Tools

AWS IAM Security Tools 완벽 정리

AWS IAM(Security Identity and Access Management)은 사용자와 리소스 간의 보안 경계를 설정하는 중요한 구성 요소입니다. 그중에서도 IAM Security Tools는 IAM 구성의 보안 수준을 평가하고 개선하기 위한 핵심 도구입니다.

---

1. 주제의 요소별 자세한 설명

1-1. IAM Credential Report

계정 내 모든 IAM 사용자들의 보안 상태를 CSV 파일로 요약해서 제공하는 도구입니다. 예를 들어, 사용자의 Access Key 사용 여부, 마지막 로그인 시간, MFA 사용 여부 등을 확인할 수 있습니다.

1-2. IAM Access Advisor

각 사용자 또는 역할이 실제로 어떤 AWS 서비스를 사용했는지를 분석합니다. 권한은 있지만 사용하지 않은 서비스가 있다면 과도한 권한일 수 있으므로 권한 축소(Least Privilege)에 유용합니다.

1-3. IAM Policy Simulator

특정 사용자 또는 역할이 주어진 정책으로 어떤 작업을 할 수 있는지를 시뮬레이션합니다. 정책을 적용하기 전에 미리 결과를 예측할 수 있어 권한 부여 실수 방지에 효과적입니다.

---

2. 용어 정리

• Credential Report: IAM 사용자 보안 정보가 담긴 CSV 보고서
• Access Advisor: 사용자가 실제로 사용한 서비스 내역 확인 도구
• Policy Simulator: 정책 결과를 미리 시뮬레이션하는 도구
• Least Privilege: 최소 권한 원칙. 꼭 필요한 권한만 부여

---

3. 예시 및 사용법

✅ Credential Report 사용법

1. AWS 콘솔 → IAM → Credential Report 탭
2. ‘Generate Report’ 클릭 후 CSV 다운로드
3. Excel로 열어 Access Key 사용 여부, MFA 상태 등을 확인

✅ Access Advisor 사용법

1. AWS 콘솔 → IAM → 사용자 선택 → Access Advisor 탭
2. 최근 400일 동안 실제 사용한 서비스 확인
3. 불필요한 권한 제거 결정에 활용

✅ Policy Simulator 사용법

1. 콘솔 또는 [Policy Simulator 사이트](https://policysim.aws.amazon.com/) 접속
2. 사용자 또는 역할 선택
3. 실행할 액션(Action)과 리소스 지정
4. 허용/거부 결과 확인

❌ 잘못된 사용 예시

• Credential Report를 확인하지 않고 장기 미사용 Access Key 방치
• Access Advisor 없이 추측으로 권한 제거 → 필요한 권한 삭제될 위험
• Simulator를 사용하지 않고 실정책 적용 → 예기치 않은 거부 발생

---

4. 시각화 요약 그림

+--------------------------+
|     IAM Security Tools   |
+--------------------------+
| - Credential Report      |→ 사용자 보안 상태 확인
| - Access Advisor         |→ 실제 사용 서비스 파악
| - Policy Simulator       |→ 정책 결과 시뮬레이션
+--------------------------+

---

5. 핵심 요약 및 주의사항

• IAM 보안 도구는 설정 자체보다 "모니터링과 개선"에 초점을 둔다
• Credential Report는 주기적으로 확인하여 미사용 Key나 MFA 미적용 사용자 점검 필요
• Access Advisor는 실제 사용 내역 기반 권한 축소 가능
• Policy Simulator는 정책 적용 전 반드시 시뮬레이션

💡 주의사항

• 보안 도구는 권한을 자동 수정하지 않음 → 사용자가 해석 후 조치해야 함
• 정책 수정 전 시뮬레이터로 테스트 안 하면 **정상 기능 차단 위험** 존재

---

6. 시험에 자주 나오는 문제 유형

1. Q: IAM 사용자의 보안 상태를 CSV로 확인할 수 있는 도구는?
   A: Credential Report
2. Q: 권한은 있으나 실제로 사용하지 않은 리소스를 파악할 수 있는 도구는?
   A: Access Advisor
3. Q: 정책을 적용하기 전에 테스트할 수 있는 도구는?
   A: IAM Policy Simulator
4. Q: Access Key가 오래 사용되지 않았다면?
   A: Credential Report로 확인하고 비활성화 또는 삭제 조치

---