반응형
0. 들어가며
해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다.
1. 개요
- 거래기록 등 중요 오브젝트의 변경 관리 및 영구 삭제를 방지하기 위해 MFA Delete 기능 활성화 필요
2. 취약점 판단 기준
- MFA Delete 기능을 활성화 하지 않은 경우 취약
- MFA Delete 기능을 활성화 한 경우 취약하지 않음
3. 취약점 확인 방법 - (1) 관리 콘솔에서 확인
- 관리 콘솔에서 [S3] 검색 → [버킷] 메뉴 → 버킷 선택 → [속성] 탭 → [버킷 버전 관리] 메뉴에서 MFA Delete 활성화 여부 확인
3. 취약점 확인 방법 - (2) AWS CLI에서 확인
- S3 권한을 보유한 계정의 Access key를 활용해 AWS CLI에서 Command(1) 실행
aws s3 ls
aws s3api get-bucket-versioning --bucket <bucket_name>- MfaDelete : Enabled 값 출력 확인(출력 값이 없거나, Status : Enabled만 출력 될 경우 미설정)
4. 취약점 조치 방법
- MFA Delete 설정은 root만 가능하므로, root 계정의 Access key를 활용해 AWS CLI에서 Command(2) 실행
# root 계정의 MFA 디바이스 arn 확인
aws iam list-virtual-mfa-devices
# root 계정의 Access key를 직접 aws cli에 설정해 진행하는 경우
aws s3api put-bucket-versioning --bucket <bucket_name> --versioning-configuration Status=Enabled,MFADelete=Enabled --mfa "<root_account_mfa_device_serialnum> <OTP_number>"
# root 계정의 profile을 이용하는 경우
aws s3api put-bucket-versioning --profile <root_profile> --bucket <bucket_name> --versioning-configuration Status=Enabled,MFADelete=Enabled --mfa "<root_account_mfa_device_serialnum> <OTP_number>"- MFA Delete 설정 여부 확인
5. 참고
반응형
'AWS' 카테고리의 다른 글
| AWS Prod 환경의 RDS 퍼블릭 액세스 불가 설정 (0) | 2023.03.15 |
|---|---|
| AWS RDS 인스턴스 암호화 여부 확인 (0) | 2023.03.15 |
| AWS 담당자별 S3 디렉터리 할당 및 중요 정보 저장 (0) | 2023.03.15 |
| AWS 버킷 퍼블릭 액세스 차단 여부 확인 (0) | 2023.03.15 |
| AWS CloudFront OAI 설정 (0) | 2023.03.15 |
