Amazon S3에 대한 로깅 옵션 - Amazon Simple Storage Service

Amazon S3에 대한 로깅 옵션

Amazon S3 리소스에 대해 사용자, 역할 또는 AWS 서비스가 수행하는 작업을 기록하고 감사 및 규정 준수 목적으로 로그 레코드를 유지 관리할 수 있습니다. 서버 액세스 로깅, AWS CloudTrail 로깅 또는 둘 다를 사용할 수 있습니다. Amazon S3 리소스의 버킷 및 객체 수준 작업 로깅에 AWS CloudTrail을 사용하는 것이 좋습니다. 각 옵션에 대한 자세한 내용은 다음 섹션을 참조하세요.

다음 표에 AWS CloudTrail 로그와 Amazon S3 서버 액세스 로그의 주요 속성이 나와 있습니다. 표 및 참고 사항을 검토하여 AWS CloudTrail이 보안 요구 사항을 충족하는지 확인하세요.

로그 속성 AWS CloudTrail Amazon S3 서버 로그

다른 시스템(CloudWatch Logs, CloudWatch Events)으로 전달 가능

둘 이상의 대상으로 로그 전송(예: 서로 다른 두 버킷으로 동일한 로그 전송)

객체의 하위 세트(접두사)에 대해 로그 켜기

교차 계정 로그 전송(서로 다른 계정이 소유한 대상 및 소스 버킷)

디지털 서명/해싱을 사용하여 로그 파일의 무결성 검증

로그 파일에 대해 기본/선택 암호화

객체 작업(Amazon S3 API 사용)

버킷 작업(Amazon S3 API 사용)

로그에 대해 검색 가능한 UI

객체 잠금 파라미터의 필드, 로그 레코드에 대한 Amazon S3 Select 속성

로그 레코드의 Object Size, Total Time, Turn-Around Time, HTTP Referer의 필드

수명 주기 전환, 만료, 복원

일괄 삭제 작업에서 키 로깅

인증 실패1

로그가 전달되는 계정

버킷 소유자2 및 요청자

버킷 소유자만

Performance and Cost AWS CloudTrail Amazon S3 Server Logs

가격

관리 이벤트(첫 전달)는 무료, 로그 저장 외에 데이터 이벤트에도 요금 발생

로그 저장 외에 추가 비용 없음

로그 전달 속도

5분마다 데이터 이벤트, 15분마다 관리 이벤트

몇 시간 내에

로그 형식

JSON

공백으로 구분되고 줄 바꿈으로 구분된 레코드가 있는 로그 파일

참고:

  1. CloudTrail은 인증에 실패한 요청(제공된 자격 증명이 유효하지 않은 요청)에 대해 로그를 전달하지 않습니다. 그러나 권한 부여에 실패한 요청(AccessDenied)과 익명 사용자의 요청에 대한 로그는 포함합니다.

  2. S3 버킷 소유자는 계정이 요청의 객체를 소유했거나 이에 대한 모든 액세스를 보유한 경우에만 CloudTrail 로그를 수신합니다. 자세한 정보는 교차 계정 시나리오에서의 객체 수준 작업을 참조하십시오.