Amazon S3에 대한 로깅 옵션 - Amazon Simple Storage Service

Amazon S3에 대한 로깅 옵션

Amazon S3 리소스에 대해 사용자, 역할 또는 AWS 서비스가 수행하는 작업을 기록하고 감사 및 규정 준수 목적으로 로그 레코드를 유지 관리할 수 있습니다. 서버 액세스 로깅, AWS CloudTrail 로깅 또는 둘 다를 사용할 수 있습니다. Amazon S3 리소스의 버킷 수준 및 객체 수준 작업 로깅에 CloudTrail을 사용하는 것이 좋습니다. 각 옵션에 대한 자세한 내용은 다음 섹션을 참조하세요.

다음 표에 CloudTrail 로그와 Amazon S3 서버 액세스 로그의 주요 속성이 나와 있습니다. AWS CloudTrail이 보안 요구 사항을 충족하는지 확인하려면 표 및 참고 사항을 검토하세요.

로그 속성 AWS CloudTrail Amazon S3 서버 로그

다른 시스템(Amazon CloudWatch Logs, Amazon CloudWatch Events)으로 전달 가능

No

둘 이상의 대상으로 로그 전송(예: 서로 다른 두 버킷으로 동일한 로그 전송)

No

객체의 하위 세트(접두사)에 대해 로그 켜기

No

교차 계정 로그 전송(서로 다른 계정이 소유한 대상 및 소스 버킷)

No

디지털 서명 또는 해싱을 사용하여 로그 파일의 무결성 검증

No

로그 파일을 기본으로 또는 선택적으로 암호화

No

객체 작업(Amazon S3 API 사용)

버킷 작업(Amazon S3 API 사용)

로그에 대해 검색 가능한 UI

No

객체 잠금 파라미터의 필드, 로그 레코드에 대한 Amazon S3 Select 속성

No

로그 레코드의 Object Size, Total Time, Turn-Around Time, HTTP Referer의 필드

수명 주기 전환, 만료, 복원

일괄 삭제 작업에서 키 로깅

인증 실패1

로그가 전달되는 계정

버킷 소유자2 및 요청자

버킷 소유자만

Performance and Cost AWS CloudTrail Amazon S3 Server Logs

가격

관리 이벤트(첫 전달)는 무료, 로그 저장 외에 데이터 이벤트에도 요금 발생

로그 저장 외에 다른 비용 없음

로그 전달 속도

5분마다 데이터 이벤트, 15분마다 관리 이벤트

몇 시간 내에

로그 형식

JSON

공백으로 구분되고 줄 바꿈으로 구분된 레코드가 있는 로그 파일

참고
  1. CloudTrail은 인증에 실패한 요청(제공된 자격 증명이 유효하지 않은 요청)에 대해 로그를 전달하지 않습니다. 그러나 권한 부여에 실패한 요청(AccessDenied)과 익명 사용자의 요청에 대한 로그는 포함합니다.

  2. S3 버킷 소유자 계정이 요청내 객체에 대한 모든 액세스를 보유했을 때 CloudTrail 로그를 수신합니다. 자세한 내용은 교차 계정 시나리오에서의 객체 수준 작업 섹션을 참조하세요.