AWS IAM 액세스 키 자동 로테이션 알림 시스템 구축: 보안 강화 및 관리 자동화

핵심 기술

이 글은 오래된 AWS IAM 액세스 키로 인한 보안 위험을 해소하기 위해 Python 기반의 AWS Lambda 함수를 사용하여 액세스 키 로테이션 알림 시스템을 자동화하는 방법을 상세히 안내합니다. AWS IAM, SES, Lambda, 그리고 Terraform을 활용하여 실질적인 보안 관리 자동화 방안을 제시합니다.

기술적 세부사항

• 보안 위험 식별: 300-400일 이상 오래된 IAM 액세스 키는 심각한 보안 위협이 될 수 있으며, 이는 금전적 손실로 이어질 수 있습니다.
• 자동화 목표: 일정 기간(예: 20일) 이상 된 액세스 키에 대해 담당자에게 이메일로 알림을 보내 로테이션을 유도하는 시스템을 구축합니다.
• 핵심 로직:
  • boto3를 사용하여 IAM 사용자와 액세스 키 목록을 가져옵니다.
  • 각 액세스 키의 생성 시점을 파악하여 경과 일수를 계산합니다.
  • 미리 정의된 만료 임계값(예: 20일)과 알림 임계값(예: 15일)을 비교합니다.
  • 키가 로테이션 임계값을 초과하면, IAM 사용자 프로필 링크를 포함한 HTML 형식의 이메일 본문을 생성합니다.
  • AWS SES를 통해 해당 이메일을 지정된 수신자에게 전송합니다.
• 구현 언어 및 라이브러리: Python, boto3, datetime, email.mime.multipart, email.mime.text 모듈을 사용합니다.
• 로컬 개발 및 테스트: 코드의 기능적 검증을 위해 로컬 환경에서 Python 가상 환경 설정 및 boto3 설치 후 테스트 과정을 포함합니다.
• AWS Lambda 배포: 로컬에서 검증된 코드를 Lambda 함수로 배포하며, main.main을 엔트리 포인트로 설정합니다. SES 발신 및 수신 이메일 검증 필요성을 강조합니다.
• Terraform을 활용한 IaC: Lambda 함수, IAM 역할 및 정책, 그리고 EventBridge(cron job) 트리거까지 Terraform 코드로 정의하여 인프라스트럭처를 코드로 관리합니다.
  • archive_file 데이터 소스를 사용하여 Python 코드를 zip으로 압축합니다.
  • IAM 역할은 Lambda 함수가 IAM 및 SES에 접근할 수 있는 권한을 부여합니다.
  • Lambda 함수는 python3.13 런타임으로 설정되며, main.main 핸들러를 사용합니다.
  • source_code_hash를 통해 코드 변경 시 Lambda 함수 업데이트를 자동화합니다.
  • AWS EventBridge(CloudWatch Events) 규칙을 사용하여 Lambda 함수를 주기적으로(매일) 실행합니다.

개발 임팩트

• 보안 강화: 정기적인 액세스 키 로테이션을 강제함으로써 무단 액세스 및 보안 침해 위험을 크게 줄입니다.
• 운영 효율성 증대: 수동적인 키 관리 및 알림 프로세스를 자동화하여 운영 팀의 부담을 경감시킵니다.
• 규정 준수: 다양한 조직의 액세스 키 로테이션 정책 요구사항을 유연하게 충족시킬 수 있습니다.
• 코드형 인프라(IaC) 적용: Terraform을 사용하여 배포 및 관리를 자동화하고 일관성을 유지합니다.