IAM Access Analyzer에서 생성된 정책의 권한 문제를 해결하려면 어떻게 해야 하나요?

2분 분량
0

AWS Identity and Access Management Access Analyzer를 사용하여 AWS CloudTrail 이벤트를 기반으로 정책을 생성하려고 했지만 오류가 발생했습니다.

간략한 설명

지침에 따라 IAM 액세스 분석기를 사용하여 CloudTrail 활동을 기반으로 정책을 생성했지만 다음과 유사한 오류가 발생했습니다:

"잘못된 액세스 역할 오류가 발생했습니다: CloudTrail S3 버킷에 액세스할 수 있는 권한이 잘못 할당되었습니다."

"이 역할은 수행할 권한이 없습니다: 리소스에서 kms:해독"

해결 방법

IAM 액세스 분석기 서비스 역할과 관련된 정책을 확인합니다.

정책을 생성하는 데 필요한 권한이 IAM Access Analyzer의 서비스 역할에 있는지 확인합니다. 서비스 역할을 만들거나 편집하여 IAM Access Analyzer가 CloudTrail에 액세스할 수 있도록 허용해야 합니다. ㅊ또한 AWS 계정의 AWS 서비스 마지막 액세스 정보에 대한 IAM 액세스 분석기 권한을 허용해야 합니다. AWS 서비스가 IAM과 함께 작동하는지 확인합니다.

**참고:**관리자가 초기 설정을 위해 서비스 역할을 만드는 것이 가장 좋습니다. 자세한 내용은 AWS 서비스에 권한을 위임할 수 있는 역할 생성을 참조하십시오.

CloudTrail 로그가 저장되는 Amazon S3 버킷 정책을 확인하세요.

CloudTrail 로그가 저장되는 버킷 정책을 검토하세요. 정책 설명이 IAM Access Analyzer 서비스 역할에 대한 액세스를 거부하지 않는지 확인하세요. CloudTrail 로그가 다른 계정에 저장되어 있는 경우, 정책에서 액세스 분석기 서비스 역할에 대한 명시적 액세스 권한을 부여하는지 확인하세요.

예를 들어, AWS 조직을 위한 다른 계정에 Amazon S3(Amazon Simple Storage Service) 버킷이 저장되어 있다고 가정해 보겠습니다. Amazon S3 버킷에 대한 버킷 정책은 IAM 액세스 분석기 서비스 역할에 대한 GetObjectListBuckets API 작업에 대한 액세스를 허용해야 합니다.

CloudTrail 로그를 암호화하는 데 사용하는 AWS KMS 키 정책을 확인하세요.

AWS KMS(AWS 키 관리 서비스)를 사용하여 CloudTrail 로그를 암호화하는 경우, AWS KMS 키 정책을 업데이트하세요. CloudTrail 로그를 저장하는 계정에서 AWS KMS 키 정책을 확인하세요. AWS KMS 키 정책에서 IAM Access Analyzer에 대한 액세스 권한을 부여하는지 확인하세요. AWS KMS 키 정책에 IAM 액세스 분석기 서비스 역할에 대한 명시적 거부가 포함되어 있지 않은지 확인하세요.

관련 정보

IAM 접속 분석기 정책 생성

AWS ID 및 액세스 관리 액세스 분석기 사용

AWS 조직 계정의 AWS 리소스를 모니터링하기 위해 AWS IAM 액세스 분석기를 사용하려면 어떻게 해야 하나요?

AWS 공식
AWS 공식업데이트됨 2달 전