외부 액세스 오류 조사 결과 내부 액세스 오류 조사 결과 오류 조사 결과 확인

IAM Access Analyzer 오류 조사 결과

IAM Access Analyzer는 리소스를 분석할 때 일반적으로 리소스에 액세스할 수 있는 사용자를 보여주는 조사 결과를 생성합니다. 그러나 분석기에서 분석을 완료하지 못하는 문제가 발생하는 경우가 있습니다. 이러한 상황에서는 IAM Access Analyzer가 대신 오류 조사 결과를 생성합니다.

오류 조사 결과는 IAM Access Analyzer가 특정 리소스 또는 특정 위탁자-리소스 페어에 대한 분석을 완료하지 못했음을 나타냅니다. 이러한 조사 결과는 적절한 분석을 위해 주의가 필요할 수 있는 리소스를 식별하는 데 도움이 됩니다.

외부 액세스 오류 조사 결과

계정 또는 조직 외부에서 공유되는 리소스를 식별하는 외부 액세스 분석기는 두 가지 유형의 오류 조사 결과를 생성할 수 있습니다.

INTERNAL_ERROR - 리소스를 분석하는 동안 IAM Access Analyzer에서 내부 문제가 발생했음을 나타냅니다. 이는 서비스 제한 또는 일시적인 문제가 원인일 수 있습니다.


{
	"findingDetails": [
		{
			"externalAccessDetails": {}
		}
	],
	"resource": "arn:aws:iam::941407043048:role/TestAccessAnalyzer",
	"status": "ACTIVE",
	"error": "INTERNAL_ERROR",
	"createdAt": "2022-07-14T01:31:43.085000+00:00",
	"resourceType": "AWS::IAM::Role",
	"findingType": "ExternalAccess",
	"resourceOwnerAccount": "941407043048",
	"analyzedAt": "2025-03-19T06:51:46.109000+00:00",
	"id": "4b035c7d-b7d2-40e4-a6c3-9887d1a995df",
	"updatedAt": "2022-07-14T01:31:43.085000+00:00"
}

ACCESS_DENIED - IAM Access Analyzer에 리소스를 분석하는 데 필요한 권한이 없음을 나타냅니다. 이는 일반적으로 IAM Access Analyzer의 서비스 연결 역할(SLR)이 리소스에 대한 액세스가 거부될 때 발생합니다.


{
	"findingDetails": [
		{
			"externalAccessDetails": {}
		}
	],
	"resource": "arn:aws:kms:us-west-2:941407043048:key/01cae123-b7f2-4488-9a05-0070a072ea2c",
	"status": "ACTIVE",
	"error": "ACCESS_DENIED",
	"createdAt": "2022-07-14T01:31:43.104000+00:00",
	"resourceType": "AWS::KMS::Key",
	"findingType": "ExternalAccess",
	"resourceOwnerAccount": "941407043048",
	"analyzedAt": "2025-03-19T06:51:46.090000+00:00",
	"id": "7ef6f04a-9d2c-4038-9cc0-2a5f00a4d8f8",
	"updatedAt": "2022-07-14T01:31:43.104000+00:00"
}

내부 액세스 오류 조사 결과

계정 또는 조직 내에서 액세스를 식별하는 내부 액세스 분석기는 네 가지 유형의 오류 조사 결과를 생성할 수 있습니다.

PRINCIPAL_LIMIT_EXCEEDED - 3,000명 이상의 위탁자가 중요한 리소스에 액세스할 수 있을 때 생성됩니다. 이 오류는 액세스 범위가 지나치게 넓어 제한해야 할 수 있는 리소스를 식별하는 데 도움이 됩니다.

해당 환경의 리소스 또는 위탁자를 변경하여 위탁자 수를 한도 미만으로 낮추면 분석기가 다음 스캔 중에 정상 조사 결과를 생성하고 오류 조사 결과는 해결된 것으로 표시됩니다.
```
{
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "PRINCIPAL_LIMIT_EXCEEDED",
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess",
	"findingDetails": [
		{
			"internalAccessDetails": {}
		}
	]
}
```

리소스 수준 오류(IINTERNAL_ERROR 또는 ACCESS_DENIED) - 외부 액세스 오류와 마찬가지로 이는 분석기가 내부 문제 또는 권한 문제로 인해 특정 리소스를 분석할 수 없음을 나타냅니다. 리소스 수준 오류가 발생하면 분석기가 정상 조사 결과 대신 리소스에 대한 단일 오류 조사 결과를 생성합니다.


{
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "INTERNAL_ERROR", // can be INTERNAL_ERROR or ACCESS_DENIED
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess",
	"findingDetails": [
		{
			"internalAccessDetails": {}
		}
	]
}

위탁자 수준 오류(INTERNAL_ERROR 또는 ACCESS_DENIED) - 분석기가 특정 리소스에 대한 특정 위탁자의 액세스를 분석할 수 없음을 나타냅니다. 리소스 수준 오류와 달리 리소스에는 일부 위탁자에 대한 정상 조사 결과와 다른 위탁자에 대한 오류 조사 결과가 모두 포함될 수 있습니다.


{
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "INTERNAL_ERROR", // can be INTERNAL_ERROR or ACCESS_DENIED
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess", 
	"findingDetails": [
		{
			"internalAccessDetails": {
				"principal": {
					"AWS": "arn:aws:iam::111122223333:role/MyRole_1"
				},
				"principalOwnerAccount": "111122223333",
				"principalType": "IAM_ROLE",
				"accessType": "INTRA_ACCOUNT"
			}
		}
	]
}

PRINCIPAL_ERRORS_LIMIT_EXCEEDED - 단일 리소스에 대한 위탁자 수준 오류 조사 결과가 너무 많을 때 생성됩니다. 이는 동일한 리소스에 대한 정상 조사 결과와 함께 나타날 수 있는 리소스 수준 오류 조사 결과입니다.


{
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "PRINCIPAL_ERRORS_LIMIT_EXCEEDED",
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess",
	"resourceControlPolicyRestriction": "NOT_APPLICABLE",
	"serviceControlPolicyRestriction": "NOT_APPLICABLE",
	"findingDetails": [
		{
			"internalAccessDetails": {}
		}
	]
}

오류 조사 결과 확인

IAM Access Analyzer에서 리소스를 분석할 수 없는 문제를 해결하면, 해결된 조사 결과로 변경되는 대신, 오류 조사 결과가 완전히 제거됩니다.

오류 조사 결과를 확인하려면 오류 유형에 따라 다음 접근 방식을 고려하세요.

ACCESS_DENIED 오류의 경우 IAM Access Analyzer 서비스 연결 역할에 리소스에 액세스하는 데 필요한 권한이 있는지 확인합니다.
PRINCIPAL_LIMIT_EXCEEDED 오류의 경우 리소스의 액세스 정책을 검토하고 더 적은 위탁자로 액세스를 제한하는 것이 좋습니다.
INTERNAL_ERROR 조사 결과의 경우 후속 분석 주기를 기다리거나 문제가 지속되면 AWS 지원팀에 문의해야 할 수 있습니다.
PRINCIPAL_ERRORS_LIMIT_EXCEEDED의 경우 영향을 받는 리소스의 액세스 패턴을 검토하고 잠재적으로 단순화합니다.

기본적인 문제를 해결하기 위해 변경한 후 IAM Access Analyzer가 다음 스캔 주기 동안 리소스를 다시 분석하려고 시도합니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

조사 결과 해결

지원되는 리소스 유형