

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 미사용 액세스 조사 결과에 대한 정책 권장 사항 생성
<a name="unused-access-recommendations"></a>

 미사용 권한 조사 결과의 경우 Security Hub는 범위가 축소된 대체 정책을 보여주는 최소 권한 정책 권장 사항을 생성할 수 있습니다. 권장 사항은 IAM 보안 주체에 연결된 각 정책을 평가하고 보안 주체가 실제로 사용한 권한만 유지하는 대체 정책을 생성합니다. 이 기능은 모든 Security Hub 고객에게 추가 비용 없이 제공됩니다.

## 정책 권장 사항의 작동 방식
<a name="recommendations-how-it-works"></a>

 정책 권장 사항 생성은 비동기식 작업입니다. 권장 사항을 생성하고 검색하려면: 

1.  `GetFindingsV2` API 작업을 사용하여 Security Hub에서 미사용 권한 조사 결과를 검색합니다. 조사 결과의 `metadata.uid` 필드를 기록해 둡니다.

1.  결과의 `GenerateRecommendedPolicyV2`로를 호출합니다`metadata.uid`. 이렇게 하면 일반적으로 20초 이내에 완료되는 권장 사항 생성이 시작됩니다.

1.  `status` 필드가를 반환할 `metadata.uid` 때까지 동일한를 `GetRecommendedPolicyV2` 사용하여 폴링합니다`SUCCEEDED`.

1.  응답에는 하나 이상의 권장 단계가 포함됩니다. 각 단계는 `CREATE_POLICY` (범위 축소 대체 정책 생성 및 연결) 또는 `DETACH_POLICY` (과잉 권한이 있는 원래 정책 제거) `recommendedAction` 중 하나를 지정합니다. `CREATE_POLICY` 단계의 경우 응답에는 `existingPolicy` JSON과 `recommendedPolicy` JSON이 모두 포함되어 있으므로 비교할 수 있습니다.

 해당 결과에 대한 권장 사항이 이전에 생성되지 않은 `GetRecommendedPolicyV2` 경우를 호출하기 `GenerateRecommendedPolicyV2` 전에를 호출해야 합니다.

## 추천을 생성할 수 있는 사용자
<a name="recommendations-who-can-generate"></a>

 계정 소유자와 위임된 관리자 모두 이러한 API 작업을 호출할 수 있습니다.
+  **계정 소유자**는 자신의 계정에서 미사용 권한 조사 결과에 대한 권장 사항을 생성하고 볼 수 있습니다.
+  **위임된 관리자는** 조직 내에서 멤버 계정의 미사용 권한 조사 결과에 대한 권장 사항을 생성하고 볼 수 있습니다.

 위임된 관리자가 아니고 조사 결과가 다른 계정에 속하는 경우 API 작업은 `AccessDeniedException` 오류를 반환합니다.

## 권장 사항 수명 주기
<a name="recommendations-lifecycle"></a>
+  권장 사항은 90일 동안 캐시되며 결과가 활성 상태(종료되지 않음)인 한 계속 사용할 수 있습니다. 그러나를 `GenerateRecommendedPolicyV2` 여러 번 호출하면 캐시가 무효화되고 캐시된 정책을 대체하는 새 작업이 시작됩니다. 조사 결과당 `GenerateRecommendedPolicyV2` 한 번만 호출하는 것이 좋습니다.
+  권장 사항은 detach-and-attach 패턴을 따릅니다. 기존 IAM 정책은 수정하지 않습니다. 권장 정책을 검토하고 IAM 콘솔 또는 IAM API를 통해 수동으로 적용합니다.
+  조사 결과가 해결되면(예: 이전에 사용하지 않은 권한이 사용 중이기 때문에) 권장 사항을 더 이상 사용할 수 없습니다.

## 오류 사례
<a name="recommendations-errors"></a>

 API 작업은 다음과 같은 상황에서 오류를 반환합니다.
+  결과가 해결되었습니다 — `InvalidInputException` (HTTP 400).
+  결과는 미사용 권한 조사 결과(`InvalidInputException`HTTP 400)가 아닙니다.
+  IAM 보안 주체는 IAM Identity Center 권한 세트를 통해 생성되었습니다. 권한 세트 보안 주체에 대한 정책은 직접 수정할 수 없습니다. 권장 사항은 설명과 함께 `FAILED` 상태를 반환합니다.
+  호출자는 위임된 관리자가 아니며 결과는 다른 계정`AccessDeniedException`(HTTP 403)에 속합니다.
+  아직 권장 사항이 생성되지 않았으며 먼저 `GenerateRecommendedPolicyV2` `ResourceNotFoundException` (HTTP 404)를 호출`GetRecommendedPolicyV2`하지 않고를 호출합니다.

## 콘솔 사용
<a name="recommendations-console"></a>

 Security Hub 콘솔에서 미사용 권한 조사 결과를 보고 **수정** 탭을 선택하여 정책 권장 사항을 생성할 수 있습니다. 권장 사항이 생성되는 동안 콘솔에 로딩 스피너가 표시됩니다. 권장 사항이 준비되면 **미리 보기를** 선택하여 현재 정책과 권장 최소 권한 교체를 side-by-side 비교할 수 있습니다. 권장 정책을 JSON 형식으로 복사할 수 있습니다.

## API 참조
<a name="recommendations-api-reference"></a>
+  **GenerateRecommendedPolicyV2** - 미사용 권한 결과에 대한 최소 권한 정책 권장 사항의 비동기 생성을 시작합니다. 조사 결과의를 입력`metadata.uid`으로 사용합니다. 성공 시 본문이 비어 있는 HTTP 200을 반환합니다.
+  **GetRecommendedPolicyV2** - 생성된 정책 권장 사항을 검색합니다. 조사 결과의를 입력`metadata.uid`으로 사용합니다. `maxResults` (1\~100) 및 `nextToken` 파라미터를 사용한 페이지 매김을 지원합니다. 권장 사항 상태(`IN_PROGRESS`, `SUCCEEDED`또는 `FAILED`), 권장 사항 단계, 리소스 ARN 및 오류를 반환합니다.

 자세한 API 설명서는 *Security Hub API 참조*를 참조하세요.