Terraform Backend 에서 PoLP 실현: 로그 분석으로 필요한 권한만 적용하기

Terraform 으로 AWS Backend(S3 + DynamoDB)를 구성할 때, 무심코 AmazonS3FullAccess 같은 managed policy 를 붙이는 경우가 많다. 하지만 이는 PoLP(최소 권한 원칙) 에 위배된다. 실제 필요한 권한만 알아내 정확히 부여하는 게 보안상 적절하다.

이 글에선 Terraform apply 로그를 분석해 어떤 API가 호출됐는지 추출하고, 그걸 바탕으로 정제된 IAM Policy 를 구성한 과정을 공유한다.

 

---

 

Terraform Debug log 로 API 사용 내역 추출하기

먼저 디버그 로그를 켜서, Terraform apply 실행 시, 어떤 AWS API 가 호출되는지 기록한다.

$ export TF_LOG=DEBUG
$ export TF_LOG_PATH=./terraform.log
$ terraform apply

 

 

그 후, log 에서 S3 와 DynamoDB 관련 AWS API 호출 정보를 추출했다.

$ cat terraform.log | grep -E 'rpc.service=(S3|DynamoDB)' | awk '{
  for(i=1; i<=NF; i++) {
    if($i ~ /^rpc.service=/) service = $i;
    if($i ~ /^rpc.method=/) method = $i;
  }
  if(service && method) print service ":" method;
}' | sed -E 's/rpc.service=([^:]*):rpc.method=([^:]*)$/\1:\2/' | sort | uniq -c

   2 DynamoDB:CreateTable
   2 DynamoDB:DescribeContinuousBackups
  12 DynamoDB:DescribeTable
   2 DynamoDB:DescribeTimeToLive
   1 DynamoDB:GetBucketTagging
   2 DynamoDB:ListTagsOfResource
   1 DynamoDB:PutBucketLifecycleConfiguration
   2 S3:CreateBucket
   2 S3:GetBucketAccelerateConfiguration
   2 S3:GetBucketAcl
   3 S3:GetBucketCors
   2 S3:GetBucketEncryption
  32 S3:GetBucketLifecycleConfiguration
   2 S3:GetBucketLogging
   3 S3:GetBucketPolicy
   3 S3:GetBucketReplication
   2 S3:GetBucketRequestPayment
   4 S3:GetBucketTagging
   2 S3:GetBucketVersioning
   3 S3:GetBucketWebsite
   3 S3:GetObjectLockConfiguration
   6 S3:HeadBucket
   1 S3:PutBucketLifecycleConfiguration

 

출력된 결과에는 실제로 존재하지 않는 액션 (e.g. DynamoDB:GetBucketTagging 등) 이 포함되거나, 로그에 나타난 메서드 이름과 IAM Policy 의 Action 이름과 일치하지 않는 것이 있다. 이런 부분은 GPT의 도움을 받아 실제 필요한 액션으로 정확히 정리했다.

 

실제 필요한 IAM Policy 목록 (정제 후)

다음은 최종적으로 구성한 PoLP 기반 IAM Policy 이다. 실질적으로 호출되는 액션만 포함했고, 리소스도 구체적으로 지정했다.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"s3:CreateBucket",
				"s3:ListBucket",
				"s3:GetBucketLocation",
				"s3:GetBucketAcl",
				"s3:GetBucketVersioning",
				"s3:GetBucketPolicy",
				"s3:GetBucketRequestPayment",
				"s3:GetBucketLogging",
				"s3:GetEncryptionConfiguration",
				"s3:GetLifecycleConfiguration",
				"s3:GetBucketObjectLockConfiguration",
				"s3:PutLifecycleConfiguration",
				"s3:GetBucketTagging",
				"s3:GetReplicationConfiguration",
				"s3:GetAccelerateConfiguration",
				"s3:GetBucketCORS",
				"s3:GetBucketWebsite"
			],
			"Resource": [
				"arn:aws:s3:::<BUCKET_NAME>",
				"arn:aws:s3:::<BUCKET_NAME>/*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"dynamodb:CreateTable",
				"dynamodb:DescribeTable",
				"dynamodb:DescribeContinuousBackups",
				"dynamodb:DescribeTimeToLive",
				"dynamodb:ListTagsOfResource"
			],
			"Resource": "arn:aws:dynamodb:ap-northeast-1:XXX:table/<TABLE_NAME>"
		},
		{
			"Effect": "Allow",
			"Action": "sts:GetCallerIdentity",
			"Resource": "*"
		}
	]
}

 

---

 

정리

• Terraform Debug log 를 분석하면 실제 호출되는 AWS API 정보를 추출할 수 있다.
• 이를 IAM Policy (Action) 으로 매핑하면 정확하고 최소한의 정책을 구성할 수 있다.
• "잘 모르면 FullAccess" 와 같은 과도한 정책은 피하고, "실제 필요한 권한"만 정확히 설정하는 것이 좋다.
• 로그를 먼저 확인하면 PoLP (최소 권한 원칙) 를 적용하는 데 훨씬 수월하다.