미사용 IAM Role/Policy 자동 정리 로직 구현 필요

[MoohyunSong]

현재 ddpslab AWS Account에 IAM Role이 약 800개 가량 생성되어있습니다.
그러나, IAM Role은 기본적으로 Account당 1000개까지 생성할 수 있으며, Policy의 경우 1500개 까지 생성할 수 있습니다.

따라서 대략 반년정도 사용이 되지 않은 IAM Role의 경우 자동으로 삭제되도록하는 것이 좋을 것 같습니다.

---

현재 ddpslab Account의 경우, 반년이상 사용되지 않은 IAM Role이 800개가 넘습니다.

Policy의 경우 대략 2000개 정도가 생성되어있고, 사용하지 않는 IAM Policy가 1000개가 넘습니다.

[hyu-leeky]

실제로 활용되는 Role 인지도 알수있을까?
사용안된다면 삭제해도 전혀 문제없어보이기도한다.

[MoohyunSong]

IAM Role의 경우, 어떤 리소스에 연결되어있는지에 대한 정보는 제공이 되고 있지 않습니다.
제공하는 값은 Last activity로 마지막으로 이 Role이 언제사용되었는지 입니다.

따라서 자동으로 IAM Role을 삭제하는 로직을 구현하기 위해서는 Last activity를 보고 긴시간 (최소 반년 이상?) 사용안되었다면 사용을 안하는 것이라고 판단하고 삭제하는 방법밖에 없을것 같습니다.

또는 AWS의 모든 Resource의 정보를 확인하는 방법이 있는데, 이 방법은 너무 overhead가 클 것 같습니다.

[hyu-leeky]

추가 부담 최소화하면서 정리하자. 잘 동작안하면 뭔가 메시지가 있기를 바라며.