Amazon Simple Storage Service
개발자 안내서 (API 버전 2006-03-01)

Amazon S3를 사용한 로깅

Amazon S3 리소스에 대해 사용자, 역할 또는 AWS 서비스가 수행하는 작업을 기록하고 감사 및 규정 준수 목적으로 로그 레코드를 유지 관리할 수 있습니다. 이를 수행하려면, Amazon S3 서버 액세스 로깅, AWS CloudTrail 로그 또는 이 두 가지의 조합을 사용할 수 있습니다. Amazon S3 리소스의 버킷 및 객체 수준 작업 로깅에 AWS CloudTrail을 사용하는 것이 좋습니다.

다음 표에 AWS CloudTrail 로그와 Amazon S3 서버 액세스 로그의 주요 속성이 나와 있습니다.

로그 속성 AWS CloudTrail Amazon S3 서버 로그

다른 시스템(CloudWatch Logs, CloudWatch 이벤트)으로 전달할 수 있음

둘 이상의 대상으로 로그 전송(예: 서로 다른 두 버킷으로 동일한 로그 전송)

객체의 하위 세트(접두사)에 대해 로그 켜기

교차 계정 로그 전송(서로 다른 계정이 소유한 대상 및 소스 버킷)

디지털 서명/해싱을 사용하여 로그 파일의 무결성 검증

로그 파일에 대해 기본/선택 암호화

객체 작업(Amazon S3 API 사용)

버킷 작업(Amazon S3 API 사용)

로그에 대해 검색 가능한 UI

객체 잠금 파라미터의 필드, Amazon S3는 로그 레코드의 속성 선택

로그 레코드의 Object Size, Total Time, Turn-Around Time, HTTP Referrer 필드

수명 주기 전환, 만료, 복원

일괄 삭제 작업에서 키 로깅

인증 실패1

로그가 전달되는 계정

버킷 소유자2 및 요청자

버킷 소유자만

Performance and Cost AWS CloudTrail Amazon S3 Server Logs

가격

관리 이벤트(첫 전달)는 무료, 로그 저장 외에 데이터 이벤트에도 요금 발생

로그 저장 외에 추가 비용 없음

로그 전달 속도

5분마다 데이터 이벤트, 15분마다 관리 이벤트

몇 시간 내에

로그 형식

JSON

공백으로 구분되고 줄 바꿈으로 구분된 레코드가 있는 로그 파일

참고:

  1. CloudTrail은 인증에 실패한 요청(제공된 자격 증명이 유효하지 않은 요청)에 대해 로그를 전달하지 않습니다. 그러나 권한 부여에 실패한 요청(AccessDenied)과 익명 사용자의 요청에 대한 로그는 포함합니다.

  2. S3 버킷 소유자는 계정이 요청의 객체를 소유했거나 이에 대한 모든 액세스를 보유한 경우에만 CloudTrail 로그를 수신합니다. 자세한 내용은 교차 계정 시나리오에서의 객체 수준 작업 단원을 참조하십시오.