Amazon S3에 대한 로깅 옵션
Amazon S3 리소스에 대해 사용자, 역할 또는 AWS 서비스가 수행하는 작업을 기록하고 감사 및 규정 준수 목적으로 로그 레코드를 유지 관리할 수 있습니다. 서버 액세스 로깅, AWS CloudTrail 로깅 또는 둘 다를 사용할 수 있습니다. Amazon S3 리소스의 버킷 수준 및 객체 수준 작업 로깅에 CloudTrail을 사용하는 것이 좋습니다. 각 옵션에 대한 자세한 내용은 다음 섹션을 참조하십시오.
다음 표에 CloudTrail 로그와 Amazon S3 서버 액세스 로그의 주요 속성이 나와 있습니다. AWS CloudTrail이 보안 요구 사항을 충족하는지 확인하려면 표 및 참고 사항을 검토하십시오.
| 로그 속성 | AWS CloudTrail | Amazon S3 서버 로그 |
|---|---|---|
|
다른 시스템(Amazon CloudWatch Logs, Amazon CloudWatch Events)으로 전달 가능 |
예 |
No |
|
둘 이상의 대상으로 로그 전송(예: 서로 다른 두 버킷으로 동일한 로그 전송) |
예 |
No |
|
객체의 하위 세트(접두사)에 대해 로그 켜기 |
예 |
No |
|
교차 계정 로그 전송(서로 다른 계정이 소유한 대상 및 소스 버킷) |
예 |
No |
|
디지털 서명 또는 해싱을 사용하여 로그 파일의 무결성 검증 |
예 |
No |
|
로그 파일을 기본으로 또는 선택적으로 암호화 |
예 |
No |
|
객체 작업(Amazon S3 API 사용) |
예 |
예 |
|
버킷 작업(Amazon S3 API 사용) |
예 |
예 |
|
로그에 대해 검색 가능한 UI |
예 |
No |
|
객체 잠금 파라미터의 필드, 로그 레코드에 대한 Amazon S3 Select 속성 |
예 |
No |
|
로그 레코드의 |
예 |
|
|
수명 주기 전환, 만료, 복원 |
예 |
|
|
일괄 삭제 작업에서 키 로깅 |
예 |
|
|
인증 실패1 |
예 |
|
|
로그가 전달되는 계정 |
버킷 소유자2 및 요청자 |
버킷 소유자만 |
| Performance and Cost | AWS CloudTrail | Amazon S3 Server Logs |
|
가격 |
관리 이벤트(첫 전달)는 무료, 로그 저장 외에 데이터 이벤트에도 요금 발생 |
로그 저장 외에 다른 비용 없음 |
|
로그 전달 속도 |
5분마다 데이터 이벤트, 15분마다 관리 이벤트 |
몇 시간 내에 |
|
로그 형식 |
JSON |
공백으로 구분되고 줄 바꿈으로 구분된 레코드가 있는 로그 파일 |
참고
-
CloudTrail은 인증에 실패한 요청(제공된 자격 증명이 유효하지 않은 요청)에 대해 로그를 전달하지 않습니다. 그러나 권한 부여에 실패한 요청(
AccessDenied)과 익명 사용자의 요청에 대한 로그는 포함합니다. -
S3 버킷 소유자 계정이 요청내 객체에 대한 모든 액세스를 보유했을 때 CloudTrail 로그를 수신합니다. 자세한 내용은 교차 계정 시나리오에서의 객체 수준 작업 단원을 참조하십시오.
-
S3는 VPC 엔드포인트 정책에서 거부하는 경우 VPC 엔드포인트 요청에 대해 요청자 또는 버킷 소유자에게 CloudTrail 로그 또는 서버 액세스 로그를 전송하는 것을 지원하지 않습니다.
