AWS IAM 로그 수집

다음에서 지원:

Google secops SIEM

이 문서에서는 AWS IAM 로그를 Google Security Operations에 수집하는 방법을 설명합니다. 파서는 원시 JSON 형식 로그를 구조화된 통합 데이터 모델 (UDM)로 변환합니다. 사용자 세부정보, 역할 정보, 권한, 타임스탬프와 같은 관련 필드를 추출하여 일관된 보안 분석을 위해 해당 UDM 필드에 매핑합니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

Google SecOps 인스턴스
AWS 콘솔에 대한 액세스 권한
IAM 사용자, 역할, 정책을 만들 권한

통합 방법 선택

Google SecOps는 AWS IAM 데이터를 수집하는 두 가지 방법을 지원합니다.

방법 A: CloudTrail + Amazon S3 (활동 로그)

수집하는 항목: IAM 활동 로그 (누가 어떤 작업을 실행했는지)
데이터 소스: AWS CloudTrail 이벤트
지연 시간: 몇 분 (폴링 기반)
사용 사례: 이전 감사 추적, 규정 준수 보고
피드 소스 유형: Amazon S3 V2

방법 B: 서드 파티 API (구성 스냅샷)

수집되는 항목: IAM 구성 데이터 (사용자, 그룹, 역할, 정책)
데이터 소스: AWS IAM API 직접 호출
지연 시간: 거의 실시간 (주기적 폴링)
사용 사례: 실시간 IAM 구성 모니터링, 액세스 검토
피드 소스 유형: 서드 파티 API

방법 A: CloudTrail + Amazon S3 통합

이 방법은 AWS CloudTrail을 사용하여 IAM 활동을 캡처하고 Amazon S3에 로그를 저장하며, Google SecOps는 이를 수집합니다.

Amazon S3 버킷 만들기

이 사용자 가이드(버킷 만들기)에 따라 Amazon S3 버킷을 만듭니다.
나중에 참조할 수 있도록 버킷 이름과 리전을 저장합니다(예: iam-activity-logs-bucket).

CloudTrail용 S3 버킷 정책 구성

CloudTrail이 S3 버킷에 로그를 쓸 수 있는 권한이 필요합니다.

Amazon S3 콘솔에서 버킷을 선택합니다.
권한 > 버킷 정책으로 이동합니다.

수정을 클릭하고 다음 정책을 추가합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CloudTrailAclCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::iam-activity-logs-bucket"
    },
    {
      "Sid": "CloudTrailWrite",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::iam-activity-logs-bucket/AWSLogs/*",
      "Condition": {
        "StringEquals": {
          "s3:x-amz-acl": "bucket-owner-full-control"
        }
      }
    }
  ]
}

iam-activity-logs-bucket을 실제 버킷 이름으로 바꿉니다.

변경사항 저장을 클릭합니다.

IAM 활동을 캡처하도록 CloudTrail 구성

AWS 관리 콘솔에 로그인합니다.
검색창에 CloudTrail을 입력하고 서비스 목록에서 선택합니다.
트레일 만들기를 클릭합니다.
다음 구성 세부정보를 제공합니다.
- 트레일 이름: 설명이 포함된 이름을 입력합니다 (예: IAMActivityTrail).
- 모든 리전에 트레일 적용: 모든 리전에서 활동을 캡처하려면 예를 선택합니다.
- 저장 위치: 기존 S3 버킷 사용을 선택하고 이전에 만든 버킷을 선택합니다.
- 로그 파일 접두사 (선택사항): 접두사 (예: iam-logs/)를 입력합니다.
- 로그 파일 SSE-KMS 암호화: 선택사항입니다. 사용 설정된 경우 KMS 키를 만들거나 선택합니다.
다음을 클릭합니다.
이벤트 선택을 구성합니다.
- 관리 이벤트: IAM 리소스의 읽기 및 쓰기 이벤트를 모두 캡처하려면 읽기 및 쓰기를 선택합니다.
- 데이터 이벤트: 선택사항. 필요한 경우 S3 및 Lambda 데이터 이벤트를 사용 설정합니다.
- 통계 이벤트: 선택사항입니다. 비정상적인 활동 감지를 사용 설정합니다.
다음을 클릭합니다.
구성을 검토하고 트레일 만들기를 클릭합니다.

선택사항: S3 버킷 버전 관리 사용 설정 (권장)

Amazon S3 콘솔에서 버킷을 선택합니다.
속성 > 버킷 버전 관리로 이동합니다.
수정을 클릭합니다.
사용 설정을 선택합니다.
변경사항 저장을 클릭합니다.

Google SecOps S3 액세스용 IAM 사용자 만들기

이 사용자 가이드(IAM 사용자 만들기)에 따라 사용자를 만듭니다.
생성된 사용자를 선택합니다.
보안용 사용자 인증 정보 탭을 선택합니다.
액세스 키 섹션에서 액세스 키 만들기를 클릭합니다.
사용 사례로 서드 파티 서비스를 선택합니다.
다음을 클릭합니다.
선택사항: 설명 태그를 추가합니다.
액세스 키 만들기를 클릭합니다.
CSV 파일 다운로드를 클릭하여 나중에 사용할 수 있도록 액세스 키와 보안 비밀 액세스 키를 저장합니다.
완료를 클릭합니다.
권한 탭을 선택합니다.
권한 정책 섹션에서 권한 추가를 클릭합니다.
권한 추가를 선택합니다.
정책 직접 연결을 선택합니다.
새 탭에서 정책 만들기를 클릭합니다.
정책 편집기에서 JSON 탭을 선택합니다.

다음 정책을 입력합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::iam-activity-logs-bucket",
        "arn:aws:s3:::iam-activity-logs-bucket/*"
      ]
    }
  ]
}

iam-activity-logs-bucket을 실제 버킷 이름으로 바꿉니다.

다음을 클릭합니다.
chronicle-s3-read-policy 정책의 이름을 지정합니다.
정책 만들기를 클릭합니다.
사용자 생성 탭으로 돌아가 정책 목록을 새로고침합니다.
chronicle-s3-read-policy을 검색하여 선택합니다.
다음을 클릭합니다.
권한 추가를 클릭합니다.

선택사항: 실시간 내보내기를 위한 Lambda 함수 만들기

CloudTrail 로그를 S3로 거의 실시간으로 내보내야 하는 경우 다음 단계를 따르세요.

AWS 콘솔에서 Lambda > 함수 > 함수 만들기로 이동합니다.
처음부터 작성을 클릭합니다.
다음 구성 세부정보를 제공합니다.

설정 값

이름 ExportIAMLogsToS3

런타임 Python 3.13

아키텍처 x86_64

실행 역할 기본 Lambda 권한이 있는 새 역할 만들기
함수 만들기를 클릭합니다.

설정	값
이름	`ExportIAMLogsToS3`
런타임	Python 3.13
아키텍처	x86_64
실행 역할	기본 Lambda 권한이 있는 새 역할 만들기

함수가 생성되면 코드 탭을 열고 스텁을 삭제한 후 다음 코드를 입력합니다.

import boto3
import gzip
from io import BytesIO

s3 = boto3.client('s3')
logs = boto3.client('logs')

def lambda_handler(event, context):
    log_group = event['logGroup']
    log_stream = event['logStream']

    log_events = logs.get_log_events(
        logGroupName=log_group,
        logStreamName=log_stream,
        startFromHead=True
    )

    log_data = "\n".join([event['message'] for event in log_events['events']])

    # Compress and upload to S3
    compressed_data = gzip.compress(log_data.encode('utf-8'))
    s3.put_object(
        Bucket='iam-activity-logs-bucket',
        Key=f'iam-logs/{log_stream}.gz',
        Body=compressed_data
    )

    return {
        'statusCode': 200,
        'body': 'Logs exported successfully'
    }

여기에서 iam-activity-logs-bucket을 내 버킷 이름으로 바꿉니다.

배포를 클릭하여 함수 코드를 저장합니다.

선택사항: Lambda 실행 역할 권한 구성

동일한 함수에서 구성 탭을 선택합니다.
왼쪽 메뉴에서 권한을 선택합니다.
실행 역할 이름을 클릭하여 IAM 콘솔에서 엽니다.
권한 추가 > 정책 연결을 클릭합니다.
새 탭에서 정책 만들기를 클릭합니다.

JSON 탭을 선택하고 다음 정책을 붙여넣습니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:GetLogEvents",
        "logs:FilterLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject"
      ],
      "Resource": "arn:aws:s3:::iam-activity-logs-bucket/*"
    }
  ]
}

여기에서 iam-activity-logs-bucket을 내 버킷 이름으로 바꿉니다.

다음을 클릭합니다.
lambda-iam-logs-export-policy 정책의 이름을 지정합니다.
정책 만들기를 클릭합니다.
역할 탭으로 돌아가 새로고침합니다.
lambda-iam-logs-export-policy을 검색하여 선택합니다.
권한 추가를 클릭합니다.

선택사항: Lambda 제한 시간 구성

Lambda 함수에서 구성 탭을 유지합니다.
왼쪽 메뉴에서 일반 구성을 선택합니다.
수정을 클릭합니다.
제한 시간을 5분 (300초)으로 변경합니다.
저장을 클릭합니다.

선택사항: CloudWatch Logs용 Lambda 트리거 구성

Lambda 함수에서 상단의 함수 개요 섹션을 선택합니다.
트리거 추가를 클릭합니다.
트리거 구성 드롭다운에서 CloudWatch Logs를 선택합니다.
다음 구성 세부정보를 제공합니다.
- 로그 그룹: CloudTrail과 연결된 CloudWatch Logs 로그 그룹을 선택하거나 입력합니다 (예: /aws/cloudtrail/).
- 필터 이름: 설명이 포함된 이름 (예: IAM-events-filter)을 입력합니다.
- 필터 패턴: 모든 이벤트를 캡처하려면 비워 두고 특정 패턴을 입력합니다.
추가를 클릭합니다.

피드 설정

Google SecOps 플랫폼에서 피드를 설정하는 방법은 두 가지입니다.

SIEM 설정 > 피드 > 새 피드 추가
콘텐츠 허브 > 콘텐츠 팩 > 시작하기

AWS IAM 피드를 설정하는 방법

Amazon Cloud Platform 팩을 클릭합니다.
AWS IAM 로그 유형을 찾습니다.
다음 필드에 값을 지정합니다.
- 소스 유형: 서드 파티 API
- 사용자 이름: 인증에 사용되는 사용자 이름입니다.
- 보안 비밀: 인증에 사용할 보안 비밀
고급 옵션
- 피드 이름: 피드를 식별하는 미리 채워진 값입니다.
- 애셋 네임스페이스: 피드와 연결된 네임스페이스입니다.
- 수집 라벨: 이 피드의 모든 이벤트에 적용되는 라벨입니다.
피드 만들기를 클릭합니다.

이 제품군 내에서 다양한 로그 유형에 대해 여러 피드를 구성하는 방법에 관한 자세한 내용은 제품별 피드 구성을 참고하세요.

SIEM 설정 사용

SIEM 설정> 피드로 이동합니다.
새 피드 추가를 클릭합니다.
다음 페이지에서 단일 피드 구성을 클릭합니다.
피드 이름 필드에 피드 이름을 입력합니다(예: AWS IAM CloudTrail Logs).
소스 유형으로 Amazon S3 V2를 선택합니다.
로그 유형으로 AWS IAM을 선택합니다.
다음을 클릭합니다.
다음 입력 매개변수의 값을 지정합니다.
- S3 URI: s3://iam-activity-logs-bucket/
  - iam-activity-logs-bucket을 실제 버킷 이름으로 바꿉니다.
  참고: URI 끝에 후행 슬래시 (/)를 포함하세요.
- 소스 삭제 옵션: 환경설정에 따라 삭제 옵션을 선택합니다.
  - 삭제 안함: 전송 후 파일을 삭제하지 않습니다 (테스트에 권장).
  - 성공 시: 전송이 성공한 후 모든 파일과 빈 디렉터리를 삭제합니다 (비용 최적화).
  참고: 삭제 옵션을 선택하는 경우 IAM 사용자에게 s3:DeleteObject 권한이 있는지 확인하세요.
- 최대 파일 기간: 지난 일수 동안 수정된 파일을 포함합니다. 기본값은 180일입니다.
- 액세스 키 ID: S3 버킷에 대한 액세스 권한이 있는 사용자 액세스 키
- 보안 비밀 액세스 키: S3 버킷에 액세스할 수 있는 사용자 보안 비밀 키입니다.
- 애셋 네임스페이스: 애셋 네임스페이스입니다.
- 수집 라벨: 이 피드의 이벤트에 적용할 라벨입니다.
다음을 클릭합니다.
확정 화면에서 새 피드 구성을 검토한 다음 제출을 클릭합니다.

방법 B: 서드 파티 API 통합

이 메서드는 직접 AWS IAM API 호출을 사용하여 현재 IAM 구성 데이터 (사용자, 그룹, 역할, 정책)를 수집합니다.

Google SecOps IP 범위 가져오기

SIEM 설정> 피드로 이동합니다.
새 피드 추가를 클릭합니다.
페이지 상단에 표시된 IP 범위를 확인합니다.
또는 피드 관리 API를 사용하여 IP 범위를 프로그래매틱 방식으로 가져옵니다.

필요한 권한이 있는 IAM 사용자 만들기

옵션 A: AWS 관리 정책 사용 (권장)

이 사용자 가이드(IAM 사용자 만들기)에 따라 사용자를 만듭니다.
생성된 사용자를 선택합니다.
보안용 사용자 인증 정보 탭을 선택합니다.
액세스 키 섹션에서 액세스 키 만들기를 클릭합니다.
사용 사례로 서드 파티 서비스를 선택합니다.
다음을 클릭합니다.
선택사항: 설명 태그를 추가합니다.
액세스 키 만들기를 클릭합니다.
CSV 파일 다운로드를 클릭하여 나중에 사용할 수 있도록 액세스 키와 보안 비밀 액세스 키를 저장합니다.
완료를 클릭합니다.
권한 탭을 선택합니다.
권한 정책 섹션에서 권한 추가를 클릭합니다.
권한 추가를 선택합니다.
정책 직접 연결을 선택합니다.
IAMReadOnlyAccess (AWS 관리 정책)를 검색합니다.
정책을 선택합니다.
다음을 클릭합니다.
권한 추가를 클릭합니다.

중요: IAMReadOnlyAccess 정책에는 필요한 모든 권한이 포함되어 있습니다.

iam:GetUser
iam:ListUsers
iam:GetGroup
iam:ListGroups
iam:GetPolicy
iam:ListPolicies
iam:GetRole
iam:ListRoles
iam:ListAttachedUserPolicies
iam:ListAttachedGroupPolicies
iam:ListAttachedRolePolicies
iam:GetAccountSummary

옵션 B: 맞춤 정책 만들기 (최소 권한)

보안 정책에 관리 정책 대신 최소 권한이 필요한 경우 다음 단계를 따르세요.

AWS 콘솔에서 IAM > 정책 > 정책 만들기 > JSON 탭으로 이동합니다.

다음 정책을 붙여넣습니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:GetUser",
        "iam:ListUsers",
        "iam:GetGroup",
        "iam:ListGroups",
        "iam:GetPolicy",
        "iam:ListPolicies",
        "iam:GetRole",
        "iam:ListRoles",
        "iam:ListAttachedUserPolicies",
        "iam:ListAttachedGroupPolicies",
        "iam:ListAttachedRolePolicies",
        "iam:GetAccountSummary"
      ],
      "Resource": "*"
    }
  ]
}

다음을 클릭합니다.
chronicle-iam-api-read-policy 정책의 이름을 지정합니다.
정책 만들기를 클릭합니다.
이 사용자 가이드(IAM 사용자 만들기)에 따라 사용자를 만듭니다.
생성된 사용자를 선택합니다.
보안용 사용자 인증 정보 탭을 선택합니다.
액세스 키 섹션에서 액세스 키 만들기를 클릭합니다.
사용 사례로 서드 파티 서비스를 선택합니다.
다음을 클릭합니다.
선택사항: 설명 태그를 추가합니다.
액세스 키 만들기를 클릭합니다.
CSV 파일 다운로드를 클릭하여 나중에 사용할 수 있도록 액세스 키와 보안 비밀 액세스 키를 저장합니다.
완료를 클릭합니다.
권한 탭을 선택합니다.
권한 정책 섹션에서 권한 추가를 클릭합니다.
권한 추가를 선택합니다.
정책 직접 연결을 선택합니다.
chronicle-iam-api-read-policy을 검색하여 선택합니다.
다음을 클릭합니다.
권한 추가를 클릭합니다.

IAM 구성 데이터를 수집하도록 Google SecOps에서 피드 구성

콘텐츠 허브 사용 (권장)

콘텐츠 허브 > 콘텐츠 팩 > 시작하기로 이동합니다.
Amazon Cloud Platform 팩을 클릭합니다.
AWS IAM 로그 유형을 찾습니다.
소스 유형 드롭다운에서 서드 파티 API를 선택합니다.
다음 구성 세부정보를 제공합니다.
- 사용자 이름: 앞서 만든 IAM 사용자의 액세스 키 ID입니다.
- Secret: 앞서 만든 IAM 사용자의 보안 비밀 액세스 키입니다.
- 피드 이름: 피드를 식별하는 미리 채워진 값입니다 (예: AWS IAM API Configuration).
- 애셋 네임스페이스: 피드와 연결된 네임스페이스입니다.
- 수집 라벨: 이 피드의 모든 이벤트에 적용되는 라벨입니다.
피드 만들기를 클릭합니다.

이 제품군 내에서 다양한 로그 유형에 대해 여러 피드를 구성하는 방법에 관한 자세한 내용은 제품별 피드 구성을 참고하세요.

SIEM 설정 사용

SIEM 설정> 피드로 이동합니다.
새 피드 추가를 클릭합니다.
다음 페이지에서 단일 피드 구성을 클릭합니다.
피드 이름 필드에 피드 이름을 입력합니다(예: AWS IAM API Configuration).
소스 유형으로 서드 파티 API를 선택합니다.
로그 유형으로 AWS IAM을 선택합니다.
다음을 클릭합니다.
다음 입력 매개변수의 값을 지정합니다.
- 사용자 이름: 앞서 만든 IAM 사용자의 액세스 키 ID입니다.
- Secret: 앞서 만든 IAM 사용자의 보안 비밀 액세스 키입니다.
- 리전: AWS 리전 (예: us-east-1)입니다.
참고: AWS IAM은 전역 서비스이지만 API 엔드포인트 라우팅을 위해 리전을 지정해야 합니다.
- 애셋 네임스페이스: 애셋 네임스페이스입니다.
- 수집 라벨: 이 피드의 이벤트에 적용할 라벨입니다.
다음을 클릭합니다.
확정 화면에서 새 피드 구성을 검토한 다음 제출을 클릭합니다.

UDM 매핑 테이블

로그 필드	UDM 매핑	논리
`Arn`	`entity.entity.resource.name`	ARN 필드에서 직접 매핑됩니다. 다양한 항목 유형에 적용됩니다. GROUP 항목 유형의 경우 Group.Arn에서 매핑됩니다.
`AssumeRolePolicyDocument`	`entity.entity.resource.attribute.permissions.name`	AssumeRolePolicyDocument 필드에서 직접 매핑되지만 RESOURCE 항목 유형에만 해당합니다.
`CreateDate`	`entity.entity.user.attribute.creation_time`	CreateDate 필드에서 직접 매핑되고 Chronicle의 타임스탬프 형식으로 변환됩니다.
`CreateDate`	`entity.entity.resource.attribute.creation_time`	CreateDate 필드에서 직접 매핑되고 Chronicle의 타임스탬프 형식으로 변환됩니다.
`Group.Arn`	`entity.entity.resource.name`	Group.Arn 필드에서 직접 매핑됩니다.
`Group.CreateDate`	`entity.entity.group.attribute.creation_time`	Group.CreateDate 필드에서 직접 매핑되고 Chronicle의 타임스탬프 형식으로 변환됩니다.
`Group.GroupID`	`entity.entity.group.product_object_id`	Group.GroupID 필드에서 직접 매핑됩니다.
`Group.GroupName`	`entity.entity.group.group_display_name`	Group.GroupName 필드에서 직접 매핑됩니다.
`Group.GroupName`	`entity.entity.group.email_addresses`	Group.GroupName 필드에서 직접 매핑됩니다.
`Group.Path`	`entity.entity.group.attribute.labels.value`	Group.Path 필드에서 직접 매핑되며 키는 경로로 하드코딩됩니다.
`IsTruncated`	`entity.entity.group.attribute.labels.value`	문자열로 변환된 IsTruncated 필드에서 직접 매핑됩니다. 키는 is_truncated로 하드코딩됩니다.
`Marker`	`entity.entity.group.attribute.labels.value`	마커 필드에서 직접 매핑되며 키는 마커로 하드코딩됩니다.
`PasswordLastUsed`	`entity.entity.user.last_login_time`	PasswordLastUsed 필드에서 직접 매핑되고 Chronicle의 타임스탬프 형식으로 변환됩니다.
`Path`	`entity.entity.user.attribute.labels.value`	USER 항목 유형의 경로 필드에서 직접 매핑되며 키는 경로로 하드코딩됩니다.
`Path`	`entity.entity.resource.attribute.labels.value`	리소스 항목 유형의 경로 필드에서 직접 매핑되며 키는 경로로 하드코딩됩니다.
`PermissionsBoundary.PermissionsBoundaryArn`	`entity.entity.resource.attribute.labels.value`	PermissionsBoundary.PermissionsBoundaryArn 필드에서 직접 매핑되며 키는 permissions_boundary_arn으로 하드코딩됩니다.
`PermissionsBoundary.PermissionsBoundaryType`	`entity.entity.resource.attribute.labels.value`	PermissionsBoundary.PermissionsBoundaryType 필드에서 직접 매핑되며 키는 permissions_boundary_type으로 하드코딩됩니다.
`RoleID`	`entity.entity.resource.product_object_id`	RoleID 필드에서 직접 매핑됩니다.
`RoleLastUsed.LastUsedDate`	`entity.entity.resource.attribute.labels.value`	RoleLastUsed.LastUsedDate 필드에서 직접 매핑되며 키는 role_last_used_date로 하드코딩됩니다.
`RoleLastUsed.Region`	`entity.entity.location.name`	RoleLastUsed.Region 필드에서 직접 매핑됩니다.
`RoleName`	`entity.entity.resource.attribute.roles.name`	RoleName 필드에서 직접 매핑됩니다.
`Tags.Key`	`entity.entity.user.attribute.labels.key`	사용자 항목의 라벨 키로 사용됩니다.
`Tags.Value`	`entity.entity.user.attribute.labels.value`	사용자 항목의 라벨 값으로 사용됩니다.
`UserID`	`entity.entity.user.product_object_id`	UserID 필드에서 직접 매핑됩니다.
`UserName`	`entity.entity.user.userid`	UserName 필드에서 직접 매핑됩니다.
`Users.Arn`	`relations.entity.resource.name`	사용자 관계 내의 Users.Arn 필드에서 직접 매핑됩니다.
`Users.CreateDate`	`relations.entity.user.attribute.creation_time`	사용자 관계 내의 Users.CreateDate 필드에서 직접 매핑되고 Chronicle의 타임스탬프 형식으로 변환됩니다.
`Users.PasswordLastUsed`	`relations.entity.user.last_login_time`	사용자 관계 내의 Users.PasswordLastUsed 필드에서 직접 매핑되고 Chronicle의 타임스탬프 형식으로 변환됩니다.
`Users.Path`	`relations.entity.user.attribute.labels.value`	사용자 관계 내의 Users.Path 필드에서 직접 매핑되며 키는 경로로 하드코딩됩니다.
`Users.PermissionsBoundary.PermissionsBoundaryArn`	`relations.entity.resource.attribute.labels.value`	사용자 관계 내의 Users.PermissionsBoundary.PermissionsBoundaryArn 필드에서 직접 매핑되며 키는 permissions_boundary_arn으로 하드코딩됩니다.
`Users.PermissionsBoundary.PermissionsBoundaryType`	`relations.entity.resource.attribute.labels.value`	사용자 관계 내의 Users.PermissionsBoundary.PermissionsBoundaryType 필드에서 직접 매핑되며 키는 permissions_boundary_type으로 하드코딩됩니다.
`Users.UserID`	`relations.entity.user.product_object_id`	사용자 관계 내의 Users.UserID 필드에서 직접 매핑됩니다.
`Users.UserName`	`relations.entity.user.userid`	사용자 관계 내의 Users.UserName 필드에서 직접 매핑됩니다.
해당 사항 없음	`entity.metadata.collected_timestamp`	이벤트 수집 타임스탬프로 채워집니다.
해당 사항 없음	`entity.metadata.vendor_name`	AWS에 하드코딩됩니다.
해당 사항 없음	`entity.metadata.product_name`	AWS IAM으로 하드코딩됩니다.
해당 사항 없음	`entity.metadata.entity_type`	특정 필드의 존재 여부에 따라 결정됩니다. UserID가 있으면 USER, RoleID가 있으면 RESOURCE, Group.GroupName이 있으면 GROUP입니다.
해당 사항 없음	`entity.entity.resource.resource_subtype`	USER 및 RESOURCE 항목 유형의 경우 User로 설정합니다.
해당 사항 없음	`entity.entity.resource.resource_type`	리소스 항목 유형의 경우 ACCESS_POLICY로 설정됩니다.
해당 사항 없음	`entity.entity.resource.attribute.cloud.environment`	AMAZON_WEB_SERVICES로 하드코딩됩니다.
해당 사항 없음	`relations.entity_type`	사용자 관계의 경우 USER로 하드코딩됩니다.
해당 사항 없음	`relations.relationship`	사용자 그룹 관계의 경우 MEMBER로 하드코딩됩니다.
해당 사항 없음	`relations.direction`	UNIDIRECTIONAL로 하드 코딩됩니다.
해당 사항 없음	`relations.entity.resource.resource_subtype`	사용자 관계를 위해 User로 하드코딩됩니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.