기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
미사용 액세스 조사 결과에 대한 정책 권장 사항 생성
미사용 권한 조사 결과의 경우 Security Hub는 범위가 축소된 대체 정책을 보여주는 최소 권한 정책 권장 사항을 생성할 수 있습니다. 권장 사항은 IAM 보안 주체에 연결된 각 정책을 평가하고 보안 주체가 실제로 사용한 권한만 유지하는 대체 정책을 생성합니다. 이 기능은 모든 Security Hub 고객에게 추가 비용 없이 제공됩니다.
정책 권장 사항의 작동 방식
정책 권장 사항 생성은 비동기식 작업입니다. 권장 사항을 생성하고 검색하려면:
-
GetFindingsV2API 작업을 사용하여 Security Hub에서 미사용 권한 조사 결과를 검색합니다. 조사 결과의metadata.uid필드를 기록해 둡니다. -
결과의
GenerateRecommendedPolicyV2로를 호출합니다metadata.uid. 이렇게 하면 일반적으로 20초 이내에 완료되는 권장 사항 생성이 시작됩니다. -
status필드가를 반환할metadata.uid때까지 동일한를GetRecommendedPolicyV2사용하여 폴링합니다SUCCEEDED. -
응답에는 하나 이상의 권장 단계가 포함됩니다. 각 단계는
CREATE_POLICY(범위 축소 대체 정책 생성 및 연결) 또는DETACH_POLICY(과잉 권한이 있는 원래 정책 제거)recommendedAction중 하나를 지정합니다.CREATE_POLICY단계의 경우 응답에는existingPolicyJSON과recommendedPolicyJSON이 모두 포함되어 있으므로 비교할 수 있습니다.
해당 결과에 대한 권장 사항이 이전에 생성되지 않은 GetRecommendedPolicyV2 경우를 호출하기 GenerateRecommendedPolicyV2 전에를 호출해야 합니다.
추천을 생성할 수 있는 사용자
계정 소유자와 위임된 관리자 모두 이러한 API 작업을 호출할 수 있습니다.
-
계정 소유자는 자신의 계정에서 미사용 권한 조사 결과에 대한 권장 사항을 생성하고 볼 수 있습니다.
-
위임된 관리자는 조직 내에서 멤버 계정의 미사용 권한 조사 결과에 대한 권장 사항을 생성하고 볼 수 있습니다.
위임된 관리자가 아니고 조사 결과가 다른 계정에 속하는 경우 API 작업은 AccessDeniedException 오류를 반환합니다.
권장 사항 수명 주기
-
권장 사항은 90일 동안 캐시되며 결과가 활성 상태(종료되지 않음)인 한 계속 사용할 수 있습니다. 그러나를
GenerateRecommendedPolicyV2여러 번 호출하면 캐시가 무효화되고 캐시된 정책을 대체하는 새 작업이 시작됩니다. 조사 결과당GenerateRecommendedPolicyV2한 번만 호출하는 것이 좋습니다. -
권장 사항은 detach-and-attach 패턴을 따릅니다. 기존 IAM 정책은 수정하지 않습니다. 권장 정책을 검토하고 IAM 콘솔 또는 IAM API를 통해 수동으로 적용합니다.
-
조사 결과가 해결되면(예: 이전에 사용하지 않은 권한이 사용 중이기 때문에) 권장 사항을 더 이상 사용할 수 없습니다.
오류 사례
API 작업은 다음과 같은 상황에서 오류를 반환합니다.
-
결과가 해결되었습니다 —
InvalidInputException(HTTP 400). -
결과는 미사용 권한 조사 결과(
InvalidInputExceptionHTTP 400)가 아닙니다. -
IAM 보안 주체는 IAM Identity Center 권한 세트를 통해 생성되었습니다. 권한 세트 보안 주체에 대한 정책은 직접 수정할 수 없습니다. 권장 사항은 설명과 함께
FAILED상태를 반환합니다. -
호출자는 위임된 관리자가 아니며 결과는 다른 계정
AccessDeniedException(HTTP 403)에 속합니다. -
아직 권장 사항이 생성되지 않았으며 먼저
GenerateRecommendedPolicyV2ResourceNotFoundException(HTTP 404)를 호출GetRecommendedPolicyV2하지 않고를 호출합니다.
콘솔 사용
Security Hub 콘솔에서 미사용 권한 조사 결과를 보고 수정 탭을 선택하여 정책 권장 사항을 생성할 수 있습니다. 권장 사항이 생성되는 동안 콘솔에 로딩 스피너가 표시됩니다. 권장 사항이 준비되면 미리 보기를 선택하여 현재 정책과 권장 최소 권한 교체를 side-by-side 비교할 수 있습니다. 권장 정책을 JSON 형식으로 복사할 수 있습니다.
API 참조
-
GenerateRecommendedPolicyV2 - 미사용 권한 결과에 대한 최소 권한 정책 권장 사항의 비동기 생성을 시작합니다. 조사 결과의를 입력
metadata.uid으로 사용합니다. 성공 시 본문이 비어 있는 HTTP 200을 반환합니다. -
GetRecommendedPolicyV2 - 생성된 정책 권장 사항을 검색합니다. 조사 결과의를 입력
metadata.uid으로 사용합니다.maxResults(1~100) 및nextToken파라미터를 사용한 페이지 매김을 지원합니다. 권장 사항 상태(IN_PROGRESS,SUCCEEDED또는FAILED), 권장 사항 단계, 리소스 ARN 및 오류를 반환합니다.
자세한 API 설명서는 Security Hub API 참조를 참조하세요.