다크 모드
AWS 연결 (Cross-Account AssumeRole)
AWS 연동은 ISMS Doctor 자동 점검의 핵심 소스입니다. IAM·EC2·RDS·KMS·S3 등 계정 리소스를 점검 룰이 조회해 통제 세부점검을 자동 평가합니다.
🔐 ISMS Doctor 는 AWS 액세스 키를 저장하지 않습니다. 모든 접근은 Cross-Account AssumeRole 로만 이뤄집니다. 고객 계정에 ISMS Doctor 가 assume 할 IAM 역할을 만들고, 그 역할에 읽기 권한 + External ID 조건 을 부여하는 방식입니다. 키 유출 위험이 구조적으로 없습니다.
연결 절차
1. IAM 역할 생성 (고객 AWS 계정)
ISMS Doctor 가 제공하는 CloudFormation 템플릿(customer-role.yaml)으로 역할을 만드는 것을 권장합니다. 템플릿은 다음을 자동 구성합니다.
- ISMS Doctor 의 AWS 계정만 assume 할 수 있도록 신뢰 정책(Trust policy) 설정
- 무단 assume 를 막는 External ID 조건
- 점검에 필요한 읽기 전용(read-only) 권한 정책
⚠️ 직접 역할을 만든다면 신뢰 정책에 External ID 조건을 반드시 포함하세요. External ID 없이 만들면 confused-deputy 공격에 노출될 수 있습니다.
2. ISMS Doctor 에 역할 등록
연동(Integrations) 화면 또는 온보딩 ② 단계에서 다음을 입력합니다.
- Role ARN — 1단계에서 만든 역할의 ARN (
arn:aws:iam::<account-id>:role/...) - External ID — 역할 신뢰 정책에 설정한 값
저장하면 ISMS Doctor 가 즉시 AssumeRole 을 시도해 연결을 검증합니다. 성공하면 연동 카드에 연결됨 상태와 함께 마지막 점검 시각·활성 서비스 수가 표시됩니다.
3. 비용 추정 (선택)
스캔 전에 비용 추정(cost estimation) 으로 이번 점검에서 호출할 AWS API 비용을 미리 확인할 수 있습니다. 대규모 계정에서 예상치 못한 비용을 피하고 싶을 때 활용하세요.
점검 실행과 결과
연결 후 점검(스캔)을 실행하면 AWS 룰이 서비스별로 동작하고, 결과가 통제 세부점검에 매핑됩니다.
- 개별 룰 실패가 전체 스캔을 중단시키지 않습니다(에러 격리). 일부 서비스 권한이 없어도 나머지는 평가됩니다.
- 스캔 실행/결과 해석은 점검(스캔) 실행 을 참고하세요.
- AWS 5종 필수 서비스(CloudTrail·Config·GuardDuty·SecurityHub·Inspector)와 통제 매핑은 제품 내 통제 상세에서 확인할 수 있습니다.
문제 해결
| 증상 | 원인 / 해결 |
|---|---|
| 연결 검증 실패 (AssumeRole 거부) | Role ARN 오타 또는 신뢰 정책에 ISMS Doctor 계정/External ID 미포함. 템플릿을 다시 적용하거나 신뢰 정책을 확인하세요. |
| 일부 서비스만 점검됨 | 역할 권한 부족. read-only 권한 정책에 해당 서비스가 포함됐는지 확인하세요. |
| 스캔이 매우 느리거나 비용이 큼 | 계정 리소스가 많은 경우. 비용 추정으로 사전 확인하고, 필요 시 스캔 주기를 조정하세요. |
자세한 트러블슈팅은 문제 해결 에 정리되어 있습니다.