1. 개요
- 거래기록 등 중요 오브젝트의 변경 관리 및 영구 삭제를 방지하기 위해 MFA Delete 기능 활성화 필요
2. 취약점 판단 기준
- MFA Delete 기능을 활성화 하지 않은 경우 취약
- MFA Delete 기능을 활성화 한 경우 취약하지 않음
3. 취약점 확인 방법 - (1) 관리 콘솔에서 확인
- 관리 콘솔에서 [S3] 검색 → [버킷] 메뉴 → 버킷 선택 → [속성] 탭 → [버킷 버전 관리] 메뉴에서 MFA Delete 활성화 여부 확인
3. 취약점 확인 방법 - (2) AWS CLI에서 확인
- S3 권한을 보유한 계정의 Access key를 활용해 AWS CLI에서 Command(1) 실행
- Command(1)
aws s3 ls aws s3api get-bucket-versioning --bucket <bucket_name>
- Command(1)
- MfaDelete : Enabled 값 출력 확인(출력 값이 없거나, Status : Enabled만 출력 될 경우 미설정)
4. 취약점 조치 방법
- MFA Delete 설정은 root만 가능하므로, root 계정의 Access key를 활용해 AWS CLI에서 Command(2) 실행
- Command(2)
# root 계정의 MFA 디바이스 arn 확인 aws iam list-virtual-mfa-devices # root 계정의 Access key를 직접 aws cli에 설정해 진행하는 경우 aws s3api put-bucket-versioning --bucket <bucket_name> --versioning-configuration Status=Enabled,MFADelete=Enabled --mfa "<root_account_mfa_device_serialnum> <OTP_number>" # root 계정의 profile을 이용하는 경우 aws s3api put-bucket-versioning --profile <root_profile> --bucket <bucket_name> --versioning-configuration Status=Enabled,MFADelete=Enabled --mfa "<root_account_mfa_device_serialnum> <OTP_number>"
- Command(2)
- MFA Delete 설정 여부 확인
5. 참고
Security Compliance Engineer