Questions?


EB 나 EC2 등 새로운 리소스를 생성하거나 인스턴스를 생성할 때, "Your account is currently blocked." 문구와 함께 생성에 실패합니다.

이슈의 원인과 해결 방안이 있을까요?


Answer!

해당 이슈에 대한 원인은 AWS 서비스 문제가 아니라 계정이 Block 되었기 때문에 발생합니다.

기존 리소스들에는 영향이 없으나 새로운 리소스 생성이 불가능합니다.


서비스 배포 시 account가 blocked 되었다는 메시지와 함께 배포가 안되는 이슈가 발생하면,

주로 귀사의 Access Key가 유출되어 현재 해당 계정이 검토 단계에 있어 blocked 되어 있을 확률이 높습니다.


따라서 support center 에 접속하여 AWS Outbound case를 확인해보셔야 합니다.

support center 는 콘솔 창 맨 위 오른쪽에서 찾으실 수 있습니다.



그 후 [Your support cases] 에서 AWS 에서 outbound 로 open된 케이스를 확인합니다.



해당 케이스의 내용은 AWS 계정에서 무단 활동과 일치하는 비정상적인 패턴을 감지하였으며 이로 인해 AWS에서 임시적으로 계정에서 발생하는 리소스 생성을 임시적으로 막았다는 내용입니다.

만약 Account Block 을 해제하고 싶으시다면, 케이스에서 전달해준 조치사항을 수행하여 업데이트 해주셔야 합니다.



계정을 보호하기 위해서는 아래 지침을 따라주시기 바랍니다. 


---

1단계:

노출된 AWS Access Key를 삭제하거나 교체합니다.


애플리케이션이 노출된 Access Key를 사용하는 경우 키를 반드시 교체해야 합니다.


키를 교체하려면 먼저 새로운 키를 생성한 다음, (이 시점에서 두 개의 키가 모두 활성화 상태)

새로운 키를 사용하도록 애플리케이션을 수정합니다.


그 후 IAM 콘솔에서 "비활성화" 옵션을 클릭하여 기존에 있던 키를 비활성화(삭제하지 않음)합니다.

애플리케이션에 문제가 있는 경우 기존 키를 다시 활성화할 수 있습니다.


새로운 키를 사용하여 애플리케이션이 완전히 작동하면 노출된 키를 삭제합니다.


노출된 키를 교체하거나 삭제하는 것 만으로는 계정을 보호하기에 충분하지 않을 수 있으므로 2단계로 계속 진행합니다.



2단계:

승인되지 않은 IAM 사용자, 정책, 역할 또는 임시 보안 자격 증명 생성과 같은 승인되지 않은 활동에 대하여 CloudTrail 로그를 확인합니다.

계정을 보호하려면 승인되지 않은 IAM 사용자, 역할 및 정책을 삭제하고 모든 임시 자격 증명을 취소하여 주시기 바랍니다. 


노출된 AWS 액세스키를 사용하여 IAM 사용자 cloWebUser에 대해 승인되지 않은 임시 자격 증명이 생성되었을 수 있습니다.

아래 링크에 설명된 지침에 따라 임시 자격 증명을 취소할 수 있습니다. 


[1] 특정 시각 이전에 발급된 임시 보안 자격 증명에 대한 액세스 거부 - 

https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/id_credentials_temp_control-access_disable-perms.html#denying-access-to-credentials-by-issue-time


임시 자격 증명은 해당 IAM 사용자를 삭제하여 취소할 수도 있습니다.

하지만 IAM 사용자를 삭제하면 프로덕션 워크로드에 영향을 줄 수 있으므로 주의해서 수행해야 합니다.



3단계:

CloudTrail 로그를 확인하여 승인되지 않은 EC2 인스턴스, Lambda 함수 또는 EC2 스팟 입찰과 같은 승인되지 않은 AWS 사용이 있는지 계정을 검토합니다.


모든 region에서 무단 사용이 발생할 수 있으며,

콘솔은 한 번에 한 region만 표시되오니 모든 region을 확인하여 주시기 바랍니다.



자격 증명 보호:

새 자격 증명이 공개적으로 노출되지 않도록 조치하여 주시기 바랍니다.

아래 링크에서 Access Key 모범 사례를 참고하여 주시기 바랍니다.


[2] AWS 액세스 키 관리를 위한 모범 사례 -

https://docs.aws.amazon.com/ko_kr/general/latest/gr/aws-access-keys-best-practices.html

==========


케이스에서 안내한 조치 사항을 전부 시행하신 후, 어떻게 조치하셨는지, 이후 재발하지 않기 위해 어떻게 보안 모범 사례를 준수할 것인지 케이스에 업데이트 해주시면 됩니다.


AWS에서 확인되기 전까지 케이스를 Resolve 처리하시면 안되며, support center에서 AWS 답변을 계속 확인해 주시길 바랍니다.


이 후 AWS에서 다시 계정을 Unblock 했다는 답변을 받으시면, 그 이후로부턴 정상적으로 계정 사용이 가능합니다.


추후에 이런일이 다시 재발되지 않도록 IAM 보안 모범 사례를 준수해주시길 바랍니다.