AWS IAM 비용 0원에 근접하게 낮춘 Custom Ghost Role 탐지 자동화 설계

Context

리소스 삭제 후 잔존하는 Orphaned IAM Role 및 Policy로 인한 보안 취약점 발생. AWS Access Analyzer의 Unused Access 기능은 Role당 월 $0.20의 과금 체계를 가져 다중 계정 환경에서 예측 불가능한 비용 증가 초래.

Technical Solution

• Cross-Account Role을 활용하여 조직 내 모든 AWS 계정에 순차적으로 접근하는 중앙 집중형 분석 구조 설계
• RoleLastUsed 및 CreateDate 지표를 기반으로 사용자 정의 Threshold를 적용하여 Ghost Role 판별 로직 구현
• Managed Policy 내 FullAccess, AdminAccess 및 Wildcard(*) 권한 포함 여부를 검사하는 정적 분석 프로세스 통합
• 특정 리소스 제외를 위한 Exclusion Tag 필터링 기능을 통한 분석 예외 처리 구현
• 분석 결과의 시각화를 위해 CloudWatch Dashboard로 데이터를 전송하는 파이프라인 구축

Impact

• AWS Native 도구 사용 시 계정당 월 $22(100 Roles, 10 Users 기준) 발생하는 비용을 Lambda 기반 서버리스 아키텍처 전환으로 거의 0원에 가깝게 절감

Key Takeaway

클라우드 네이티브 서비스의 기능적 편의성보다 비용 효율성이 우선시되는 대규모 환경에서는 API 기반의 Custom 모니터링 툴 설계가 경제적 대안이 됨.