본문으로 건너뛰기

자산 그래프 (Asset Graph)

Asset Graph는 AWS 자산과 IAM 권한 관계를 하나의 그래프로 시각화하는 기능입니다.

단순한 자산 목록을 넘어 권한 관계, 신뢰 관계, 정책 연결 구조(Edges) 를 함께 분석하여
AWS 환경에서 누가 어떤 자산에 어떤 권한을 가지고 있는지를 파악할 수 있습니다.

1. 화면 구성

asset graph

Asset Graph 화면은 다음 영역으로 구성됩니다.

1.1. 그래프 영역

AWS 자산과 IAM 엔터티를 노드(Node) 형태로 표시하고
자산 간 관계를 엣지(Edge)로 연결해 시각화합니다.

그래프를 통해 다음을 확인할 수 있습니다.

  • IAM Role / User / Policy 관계
  • AWS 자산 간 연결 구조
  • 권한 흐름 및 신뢰 관계

1.2. 필터 및 컨트롤

그래프 상단에서 표시할 자산을 조정할 수 있습니다.

  • 검색: 이름 또는 ARN 기반 검색
  • Resource Type Filter: IAM / Compute / Storage 등 리소스 유형 필터
  • Risk Level Filter: 권한 위험도 기반 필터
  • Sync 버튼: 최신 자산 및 IAM 관계 데이터를 기반으로 그래프 재생성

1.3. 자산 상세 패널

그래프에서 노드를 클릭하면 자산 상세 패널이 열립니다.

확인 가능한 정보:

  • 자산 기본 정보 (Name, ARN, Resource Type)
  • 연결된 정책 및 권한
  • Permission Insights 분석 결과
  • 관련 자산 및 관계

2. 그래프 구조

Asset Graph는 AWS 환경을 기반으로 자산과 권한 관계를 그래프 형태로 표현합니다.

2.1. 노드(Node)

그래프의 각 노드는 AWS 자산 또는 IAM 엔터티를 의미합니다.

주요 노드 유형:

  • IAM User
  • IAM Role
  • IAM Group
  • IAM Policy
  • AWS Resource (EC2, S3, RDS 등)

노드는 AWS 환경에서 권한을 가지거나 권한의 대상이 되는 엔터티를 나타냅니다.

2.2. 연결 관계(Edge)

엣지는 자산 간 권한 또는 신뢰 관계를 의미합니다.

주요 관계 유형:

Edge의미
TRUSTSRole 간 Assume Role 신뢰 관계
HAS_POLICY엔터티(User/Role/Group)가 정책을 보유
ALLOWS정책이 특정 AWS 액션을 허용
MEMBER_OFUser가 Group에 속함
ATTACHED_TO정책이 엔터티에 연결됨

이 관계를 통해 **권한 흐름(Privilege Flow)**을 분석할 수 있습니다.

3. 그래프 동기화 (Sync)

Asset Graph를 생성하려면 자산 및 IAM 관계 데이터를 동기화해야 합니다.

동기화 과정

Sync 실행 시 다음 두 작업이 수행됩니다.

1️⃣ AWS 자산 동기화

다음 리소스를 스캔합니다.

  • EC2
  • Lambda
  • S3
  • RDS
  • DynamoDB
  • SQS / SNS
  • Secrets Manager
  • KMS
  • IAM

이 과정에서 자산 메타데이터와 기본 위험 정보가 수집됩니다.

2️⃣ IAM 관계 동기화

IAM 엔터티와 정책 문서를 분석하여 다음 관계를 생성합니다.

  • Role / User / Group 관계
  • Policy 연결 구조
  • 권한 허용 관계

이 두 데이터를 결합해 Asset Graph가 생성됩니다.

4. Permission Insights

Permission Insights는 IAM 정책을 분석하여 권한 위험도를 계산하는 기능입니다.

분석 항목:

  • Total actions – 정책이 허용하는 전체 액션 수
  • Unique services – 접근 가능한 AWS 서비스 수
  • Wildcard actions/resources* 권한 사용 여부
  • Dangerous actions 탐지
    • iam:*
    • PassRole
    • CreateAccessKey
    • PutUserPolicy
  • Admin privilege 여부
  • Risk Score (0–100)

또한 분석 결과는 IAM Policy 노드의 속성에 포함되어 그래프에서 바로 확인할 수 있습니다.

5. 활용 포인트

Asset Graph를 활용하면 다음과 같은 보안 분석이 가능합니다.

  • 가장 권한이 강한 IAM 엔터티 식별
  • 와일드카드(*) 권한 정책 탐지
  • 관리자 권한 부여 현황 분석
  • Cross-account 접근 위험 식별
  • Least Privilege(최소 권한 원칙) 점검

그래프 기반 분석을 통해 권한 구조와 보안 위험을 직관적으로 파악할 수 있습니다.