🛡️

[SAP] IAM Access Analyzer & Secrets Manager

Date

2026/03/08

IAM Access Analyzer

IAM Access Analyzer는 S3 버킷, IAM 역할 등 외부 엔터티와 공유된 조직 및 계정의 리소스를 식별하는 데 도움을 준다. 이를 통해 의도치 않은 리소스 및 데이터 접근을 식별하여 보안 위험을 방지할 수 있다. IAM Access Analyzer는 논리 기반 추론을 사용해 AWS 환경의 Resource-based Policy를 분석함으로써 외부 Principal과 공유된 리소스를 식별한다.

Zone of Trust

Zone of Trust = 분석기가 “안전하다”고 간주하는 범위

계정 수준 분석기

Zone of Trust = 단일 AWS 계정

→ 같은 계정 내 접근: 신뢰 (Finding 없음) → 외부 계정 접근: Finding 생성

조직 수준 분석기

Zone of Trust = 전체 Organizations

→ Organizations 내 계정 간 접근: 신뢰 (Finding 없음) → 조직 외부 계정 접근: Finding 생성

Finding 3가지 유형

IAM Access Analyzer는 외부 접근(External Access), 내부 접근(Internal Access), 미사용 접근(Unused Access)에 대한 Finding을 생성한다. 미사용 접근 분석기는 지정된 사용 기간 내에 액세스 활동이 없는 역할, 사용되지 않은 IAM 사용자 액세스 키와 패스워드에 대한 Finding을 생성한다.

Finding 유형	탐지 내용	비용
External Access	Zone of Trust 외부에서 리소스 접근	무료
Internal Access	조직/계정 내부 주체의 특정 리소스 접근	유료
Unused Access	미사용 역할, 만료된 Access Key, 미사용 패스워드	유료

분석 대상 리소스 (시험 단골)

•

S3 버킷 정책, KMS 키 정책, IAM Role Trust Policy

•

SQS, SNS, Lambda, EFS, ECR, Secrets Manager

CI/CD 파이프라인 통합

개발자 → Pull Request
    │
    ▼
CodePipeline (CI/CD)
    │
    ▼
IAM Access Analyzer 정책 검증
    ├── 보안 경고 발견 → 배포 중단, 개발자에게 알림
    └── 검증 통과 → 프로덕션 배포 허용
Plain Text
복사

배포 전에 IAM 정책이 의도치 않은 외부 접근을 허용하는지 자동 검증 → IAM Access Analyzer + CI/CD 통합

멀티 리전 환경에서는 리전마다 분석기 생성 필요

AWS Identity and Access ManagementUsing AWS Identity and Access Management Access Analyzer - AWS Identity and Access Management

AWS Secrets Manager vs SSM Parameter Store

Secrets Manager 핵심 기능

Secrets Manager를 사용하면 애플리케이션을 중단하지 않고 자동으로 시크릿을 교체하도록 구성할 수 있다. RDS MySQL, PostgreSQL, Aurora 데이트베이스 자격증명의 기본 통합 로테이션을 제공한다. 로테이션을 활성화하면 Secrets Manager는 Lambda 함수를 생성하고 정의한 일정에 따라 로테이션을 실행하는 IAM 역할을 이 함수에 연결한다.

자동 로테이션 동작 방식

Secrets Manager
    │ 스케줄(예: 30일마다) 트리거
    ▼
Lambda 로테이션 함수 (자동 생성)
    │
    ├── ① 새 비밀번호 생성
    ├── ② DB에 새 비밀번호 설정
    ├── ③ Secrets Manager 시크릿 업데이트
    └── ④ 애플리케이션: GetSecretValue 호출 → 새 비밀번호 자동 수신

⚠️ 애플리케이션 코드 변경 없음 — GetSecretValue만 호출하면 최신 값 반환
Plain Text
복사

로테이션 전략

데이터베이스 시크릿에 대해 Secrets Manager는 두 가지 로테이션 전략을 제공한다. Single User 전략은 하나의 시크릿에서 한 명의 사용자 자격증명을 업데이트하는 방식으로, 대부분의 사용 사례에 적합한 가장 간단한 전략이다. 로테이션 중 DB 연결이 끊기지 않지만 비밀번호 변경과 시크릿 업데이트 사이 짧은 시간 동안 낮은 확률로 연결 거부가 발생할 수 있다.

전략	방식	장점	단점
Single User	1개 사용자 비밀번호 교체	단순, 대부분 적합	교체 중 짧은 오류 가능
Alternating Users	2개 사용자 번갈아 교체	무중단 교체	Superuser 시크릿 별도 필요

Secrets Manager vs SSM Parameter Store 비교 (시험 단골)

항목	Secrets Manager	SSM Parameter Store
비용	시크릿당 $0.40/월 + API 요금	Standard: 무료 / Advanced: 유료
자동 로테이션	Lambda 기반 자동 로테이션	수동 (Lambda 직접 구현 필요)
크로스 계정 공유	Resource-based Policy	불가
암호화	KMS 필수	Standard: 선택 / SecureString: KMS
버전 관리	자동 버전 스테이징	버전 히스토리
최대 크기	65KB	Standard: 4KB / Advanced: 8KB
사용 사례	DB 자격증명, API 키 (자동 교체 필요)	설정값, 환경변수 (단순 저장)

자동 로테이션 필요 → Secrets Manager 타 계정과 시크릿 공유 → Secrets Manager

단순 설정값 저장, 비용 최소화 → Parameter Store Standard

AWS Secrets ManagerWhat is AWS Secrets Manager? - AWS Secrets Manager

Summary

개념	한 줄 요약
IAM Access Analyzer	Zone of Trust 외부 접근 탐지. 리전마다 분석기 생성 필요
Secrets Manager	자동 로테이션 (Lambda). RDS/Aurora/Redshift 기본 통합
Parameter Store	단순 설정값 저장. Standard 무료. 자동 로테이션 없음