피드로 돌아가기
AWS IAM Least Privilege: A Practical Guide to Scoping Down Policies
Dev.toDev.to
Security

Wildcard 제거와 Action/Resource/Condition 정밀 제어를 통한 IAM 보안 강화

AWS IAM Least Privilege: A Practical Guide to Scoping Down Policies

Jeff Tham2026년 6월 20일3intermediate

Context

편의성을 위해 broad policy를 우선 적용한 후 사후 조정하는 관행으로 인한 과도한 권한 부여 문제 발생. AWS Managed Policies의 범용적 설계 특성으로 인해 불필요한 권한이 노출되는 보안 취약점 상존.

Technical Solution

  • Empty Policy에서 시작하여 실패 기반으로 권한을 추가하는 Zero-base approach 채택
  • s3:*와 같은 Service Wildcard를 s3:GetObject 등 구체적 Action으로 대체하여 공격 표면 최소화
  • Resource: "*" 설정을 특정 ARN으로 명시하여 리소스 접근 범위 제한
  • aws:SecureTransport 등 Condition Key를 도입하여 요청의 맥락적 제약 조건 강제
  • IAM Access Advisor 및 Access Analyzer를 통한 CloudTrail 기반의 실제 사용 패턴 분석 및 정책 최적화
  • IaC synth 및 CI/CD 파이프라인 내 정책 검토 단계를 통합하여 권한 드리프트(Drift) 방지

- Managed Policy 대신 Customer-managed Policy 우선 사용 검토 - Resource 필드에 와일드카드(*) 사용 여부 전수 조사 - IAM Access Advisor를 통한 미사용 서비스 권한 회수 주기 설정 - TLS 강제화를 위한 aws:SecureTransport 조건 추가 확인

원문 읽기