AWS 권한 분석기

개요

AWS 권한 분석기는 CloudFormation으로 AWS 계정에 읽기 전용 IAM 역할을 배포합니다. Argus가 AWS 자격증명을 발견하면 분석기가 해당 자격증명의 실제 IAM 권한을 해석해, 교체 전에 과도한 권한과 노출 범위를 평가할 수 있게 합니다.

사전 요구사항

• IAM 역할과 CloudFormation 스택 생성 권한이 있는 AWS 계정
• Cremit Argus Pro 플랜 이상의 계정
• 멀티 계정 조직의 경우: 각 계정에서 스택을 승인할 관리자

단계별 설정

Step 1: Argus에서 CloudFormation 템플릿 다운로드

• Argus에서 Security > Permission Analysis로 이동해 Add AWS Analyzer 클릭
• 제공된 External ID 복사 (Step 2에서 Confused Deputy 공격 방지에 사용)
• Launch Stack 클릭으로 템플릿이 미리 채워진 AWS CloudFormation 콘솔 열기, 또는 템플릿 YAML을 다운로드해 수동 배포

Step 2: CloudFormation 스택 배포

스택이 Cremit가 assume할 수 있는 최소 권한 읽기 전용 IAM 역할을 생성합니다.

• 스택 파라미터에 External ID 붙여넣기
• IAM 역할 검토: iam:Get*, iam:List*, iam:Simulate*와 읽기 전용 scoped-policy 쿼리 권한 부여
• Create Stack 클릭 후 CREATE_COMPLETE 대기 (보통 2분 이내)
• 스택 Outputs 탭에서 Role ARN 복사

Step 3: Argus에 분석기 등록

• Argus의 Add AWS Analyzer 폼으로 돌아가 Role ARN 붙여넣기
• 계정 라벨 지정 (예: 'Prod', 'Staging')
• Register 클릭

Step 4: 첫 분석 실행

Argus가 이 계정과 연결된 이전에 탐지된 모든 AWS 자격증명을 분석합니다.

• 분석 완료 시 결과가 스트리밍됨, 자격증명당 보통 30-120초 소요
• 자격증명 변경 감지 시 또는 자격증명 상세 페이지에서 수동으로 재분석 가능

설정 확인

통합이 올바르게 구성되었는지 확인하는 방법:

• Registered Analyzers에 분석기가 Connected 상태로 표시됨
• Analysis Results에 기존 AWS 자격증명의 권한 데이터가 파싱되어 표시됨
• 스택 Outputs의 Role ARN이 Argus에 표시되는 것과 일치
• 분석기 역할의 CloudTrail 이벤트가 읽기 전용 API 호출만 보여줌

문제 해결

문제: Argus가 'AssumeRole failed: AccessDenied'를 보고합니다.

• 해결: 역할 trust policy의 External ID가 Argus가 보여주는 값과 정확히 일치해야 합니다. Argus에서 External ID를 재발급하고 스택 파라미터를 업데이트하세요.

문제: 특정 자격증명에서 분석이 느리거나 타임아웃됩니다.

• 해결: 매우 큰 IAM 정책(수천 개 statement)은 시뮬레이션에 시간이 더 걸립니다. Argus가 백그라운드에서 완료합니다. 5-10분 후 다시 확인하거나, 지속되면 지원 티켓을 여세요.

핵심 이점

• 읽기 전용 접근, 분석기 역할은 리소스 수정이나 외부 유출 불가능
• CloudFormation 배포가 계정당 원클릭이고 완전히 감사 가능
• External ID 기반 크로스 계정 trust로 Confused Deputy 리스크 차단
• 자격증명 변경 시 자동 재분석으로 평가를 최신 상태로 유지