클라우드 설정 진단 - IAM 과도한 권한
점검 결과
| 역할명 | 권한 정책 | 평가 |
|---|
| lambda_execution | AdministratorAccess | 위험! |
| web_app_role | S3FullAccess + EC2FullAccess | 부적절 |
| readonly_role | ReadOnlyAccess | 안전 |
과도한 권한 정책
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}
]
}
[문제점]
- Action: "*" (모든 AWS 서비스 접근 가능)
- Resource: "*" (모든 리소스 접근 가능)
- 이는 root 계정과 동일한 권한
[실제 필요한 권한 (예시)]
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::app-data/*"
}
]
}
조치 가이드
- 최소 권한 원칙: 필요한 기능만 정의
- 정기 권한 감시: IAM Access Analyzer 사용
- 역할 분리: 서비스별 세분화된 역할
- 권한 정책 템플릿: 표준화된 정책 사용