기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Security Hub의 미사용 액세스 조사 결과 이해
<a name="unused-access-findings"></a>

 Security Hub는 IAM Access Analyzer를 사용하여 계정에서 미사용 IAM 권한, 역할, 액세스 키 및 암호를 식별합니다. 이러한 결과는 적극적으로 사용되지 않는 IAM 보안 주체 및 권한을 강조 표시하여 최소 권한 액세스의 보안 모범 사례를 구현하는 데 도움이 됩니다. 이 기능은 모든 Security Hub 고객에게 추가 비용 없이 제공됩니다.

## 미사용 액세스 분석 작동 방식
<a name="unused-access-how-it-works"></a>

 Security Hub를 활성화하면 서비스가 계정에 서비스 연결 IAM Access Analyzer를 자동으로 생성합니다. 이 분석기는 AWS CloudTrail 활동 데이터와 비교하여 모든 IAM 보안 주체(역할 및 사용자)를 평가하여 90일 룩백 기간 내에 사용되지 않은 보안 주체 및 권한을 결정합니다. 룩백 기간은 구성할 수 없습니다.

 IAM Access Analyzer는 24시간마다 모든 활성 조사 결과를 재평가합니다. 이전에 사용하지 않은 보안 주체 또는 권한이 활성화되면 해당 결과가 자동으로 해결됩니다.

 IAM은 글로벌 서비스이므로 미사용 액세스 분석기는 미국 동부(버지니아 북부)에서 실행됩니다. Security Hub는 Security Hub를 활성화한 모든 리전에 결과를 복제합니다. 분석기를 실행하기 위해 미국 동부(버지니아 북부)에서 Security Hub를 활성화할 필요가 없습니다.

## 미사용 액세스 조사 결과 유형
<a name="unused-access-finding-types"></a>

 Security Hub는 네 가지 유형의 미사용 액세스 조사 결과를 생성합니다.


| 찾기 유형 | 설명 | 평가된 리소스 | 
| --- | --- | --- | 
| UnusedIAMRole | 90일 룩백 기간 내에 수임되지 않은 IAM 역할입니다. | IAM 역할 | 
| UnusedIAMUserAccessKey | 90일 룩백 기간 내에 API 요청에 서명하는 데 사용되지 않은 IAM 사용자 액세스 키입니다. | IAM 사용자 | 
| UnusedIAMUserPassword | 90일 룩백 기간 내에 콘솔 로그인에 사용되지 않은 IAM 사용자 암호입니다. | IAM 사용자 | 
| UnusedPermission | 역할 또는 사용자에게 부여되었지만 90일 룩백 기간 내에 호출되지 않은 특정 IAM 작업입니다. | IAM 역할 또는 IAM 사용자 | 

## 서비스 연결 분석기
<a name="unused-access-service-linked-analyzer"></a>

 Security Hub가 생성하는 IAM Access Analyzer는 서비스 연결 분석기입니다. IAM Access Analyzer 콘솔에서 볼 수 있지만 Security Hub가 활성화된 동안에는 수정하거나 삭제할 수 없습니다.

 모든 리전에서 Security Hub를 비활성화하면 서비스 연결 분석기가 자동으로 삭제됩니다. 자동 삭제에 실패하면 IAM Access Analyzer `DeleteServiceLinkedAnalyzer` API 작업을 호출하여 분석기를 삭제할 수 있습니다. 이 작업은 계정에 대해 Security Hub가 완전히 비활성화된 후에만 성공합니다.

 서비스 연결 분석기는 IAM Access Analyzer에서 독립적으로 생성했을 수 있는 고객 관리형 분석기와는 별개입니다. 고객 관리형 분석기를 생성하거나 삭제해도 서비스 연결 분석기에는 영향을 주지 않으며 그 반대의 경우도 마찬가지입니다.

## 미사용 액세스 조사 결과 보기
<a name="unused-access-viewing"></a>

 미사용 액세스 조사 결과는 다른 Security Hub 조사 결과와 함께 Security Hub 콘솔에 표시됩니다. 유형별로 조사 결과를 필터링하여 미사용 액세스 조사 결과만 볼 수 있습니다. 미사용 액세스 조사 결과는 모든 Security Hub 조사 결과에서 사용하는 것과 동일한 형식인 OCSF(Open Cybersecurity Schema Framework)에서 서식이 지정됩니다.

 UnusedPermission 조사 결과의 경우 과도하게 허용적인 정책에서 일부 미사용 권한을 제거하지만 전부는 제거하지 않는 경우 Security Hub는 기존 조사 결과를 닫고 여전히 과도하게 허용적인 경우 수정된 정책에 대한 새 조사 결과를 생성합니다.

 미사용 액세스 조사 결과는 IAM Access Analyzer 콘솔에서도 액세스할 수 있습니다. IAM Access Analyzer 콘솔에서 미사용 액세스 조사 결과는 읽기 전용이며 미국 동부(버지니아 북부) 리전에서만 볼 수 있습니다.

## 노출 조사 결과의 미사용 액세스
<a name="unused-access-in-exposure-findings"></a>

 미사용 액세스 정보는 Security Hub 노출 조사 결과에 컨텍스트 특성으로 표시될 수 있습니다. 리소스에 연결된 IAM 역할에 미사용 권한이 있는 경우 노출 결과에는 보조 컨텍스트로 포함됩니다. 이렇게 하면 취약성의 잠재적 폭파 반경을 이해하는 데 도움이 됩니다. 과도하게 권한이 부여된 IAM 역할이 있는 리소스는 최소 권한이 있는 리소스보다 위험이 높습니다.

 다음 리소스 유형은 노출 결과에 미사용 액세스 컨텍스트 특성을 표시할 수 있습니다.
+ Amazon Elastic Compute Cloud 인스턴스
+ AWS Lambda 함수
+ Amazon Elastic Container Service 서비스
+ Amazon Elastic Kubernetes Service 클러스터
+ IAM 사용자(직접)

 노출 결과에 대한 자세한 내용은 섹션을 참조하세요[Security Hub의 노출 조사 결과](exposure-findings.md).

## 미사용 권한에 대한 정책 권장 사항
<a name="unused-access-policy-recommendations"></a>

 UnusedPermission 조사 결과의 경우 Security Hub는 최소 권한 정책 권장 사항을 생성할 수 있습니다. 이러한 권장 사항은 보안 주체가 실제로 사용하는 권한만 유지하는 범위가 축소된 대체 정책을 보여줍니다. 자세한 내용은 [미사용 액세스 조사 결과에 대한 정책 권장 사항 생성](unused-access-recommendations.md) 단원을 참조하십시오.

## 가격 책정
<a name="unused-access-pricing"></a>

 서비스 연결 IAM Access Analyzer는 추가 비용 없이 모든 Security Hub 고객에게 제공됩니다. 분석기 또는 미사용 액세스 결과에 대해서는 별도로 요금이 부과되지 않습니다.