Managing AWS Access key for security.
사실 제일 기본적인 AWS Access key관리의 방법은 세션 키의 유효기간을 12시간 이내로 두는 것 입니다. 키는 보통 만료되지 않기때문에 로그 혹은 백업파일에 남아있는 Key가 언제 공격포인트로 작용할지 모르기 때문입니다.
Generate credential reports for your AWS account - AWS Identity and Access Management
Use IAM credential reports to view the status of all user credentials, including passwords, access keys, and multi-factor authentication (MFA) devices.
위 Docs의 가이드를 보고 비활성 키 및 사용한지 오래 된 사실상 사용되지 않고있는 키들을 찾아서 삭제할 수 있습니다.
AWS account Root User는 사실상 사용할 상황이 거의 없습니다. 아래 docs와 같은 지침을 따라 관리하는 것이 보안상 좋습니다.
Root user best practices for your AWS account - AWS Identity and Access Management
Follow these best practices for using AWS Identity and Access Management (IAM) to help secure your AWS root user account.
또한 당연한 내용이지만, IAM의 Policies를 안전하게 잘 관리해야합니다.
AWS는 기본적으로 엑세스 키를 제거하면, 추가 엑세스 키를 발급을 해주는데
SCP에서 위 사항을 배제하는 것이 좋습니다.
가능하다면 허용된 IP에서만 액세스 키를 이용해서 접근가능하도록 관리를 하고, Access 권한을 잘 컨트롤하기 위해서는 S3 Object Lambda를 사용하는등의 방법을 고려해볼 수 있습니다.