피드로 돌아가기![[Open Source] Built a tool to discover and risk-score all IAM roles + OIDC trust relationships across AWS accounts](/_next/image?url=https%3A%2F%2Ftsewlmecqtvqphyhezcm.supabase.co%2Fstorage%2Fv1%2Fobject%2Fpublic%2Fthumbnails%2F2b0e14fd-4539-4668-acf7-7b8960508c04.webp%3F&w=3840&q=75)
Dev.toSecurity
원문 읽기
AWS IAM Role 및 OIDC 신뢰 관계의 Graph 기반 리스크 분석 도구 MII 구현
[Open Source] Built a tool to discover and risk-score all IAM roles + OIDC trust relationships across AWS accounts
AI 요약
Context
다중 AWS Account 환경 내 수백 개의 IAM Role Trust Policy에 대한 가시성 부족 및 감사 부재 문제 발생. 특히 OIDC 및 Cross-account 신뢰 설정 시 발생하는 보안 취약점의 수동 탐지 한계 노출.
Technical Solution
- IAMReadOnlyAccess 권한을 통한 다중 Account 내 모든 IAM Role 및 Trust Policy의 Read-only 스캔 구조 설계
- Trust Policy 파싱을 통한 OIDC Federation, Cross-account Trust, Wildcard Principal 식별 로직 구현
- "Who can assume whom" 관계를 정의하는 Graph 데이터 구조를 통한 신뢰 체인 가시화
- Admin Access 권한과 OIDC 설정의 결합 등 다중 리스크 팩터를 가중치로 계산하는 Risk Scoring 알고리즘 적용
- Trust Chain 상의 공격 경로를 추적하는 Attack Path Simulation 기능 구현
- AWS Organizations 연동을 통한 소속 Account의 자동 탐색 및 확장성 확보
실천 포인트
1. OIDC Role 설정 시 AdministratorAccess 권한 부여 여부를 최우선으로 검토
2. Cross-account Trust 설정 시 Confused Deputy 문제 방지를 위한 ExternalId 필수 적용 확인
3. Trust Policy 내 Wildcard Principal 사용 여부를 정기적으로 감사하여 외부 노출 차단
4. 사용되지 않는 Dormant Role의 Trust Policy 활성화 상태를 점검하여 백도어 경로 제거