Amazon S3에 대한 로깅 옵션
Amazon S3 리소스에 대해 사용자, 역할 또는 AWS 서비스가 수행하는 작업을 기록하고 감사 및 규정 준수 목적으로 로그 레코드를 유지 관리할 수 있습니다. 서버 액세스 로깅, AWS CloudTrail 로깅 또는 둘 다를 사용할 수 있습니다. Amazon S3 리소스의 버킷 및 객체 수준 작업 로깅에 AWS CloudTrail을 사용하는 것이 좋습니다. 각 옵션에 대한 자세한 내용은 다음 섹션을 참조하세요.
다음 표에 AWS CloudTrail 로그와 Amazon S3 서버 액세스 로그의 주요 속성이 나와 있습니다. 표 및 참고 사항을 검토하여 AWS CloudTrail이 보안 요구 사항을 충족하는지 확인하세요.
| 로그 속성 | AWS CloudTrail | Amazon S3 서버 로그 |
|---|---|---|
|
다른 시스템(CloudWatch Logs, CloudWatch Events)으로 전달 가능 |
예 |
|
|
둘 이상의 대상으로 로그 전송(예: 서로 다른 두 버킷으로 동일한 로그 전송) |
예 |
|
|
객체의 하위 세트(접두사)에 대해 로그 켜기 |
예 |
|
|
교차 계정 로그 전송(서로 다른 계정이 소유한 대상 및 소스 버킷) |
예 |
|
|
디지털 서명/해싱을 사용하여 로그 파일의 무결성 검증 |
예 |
|
|
로그 파일에 대해 기본/선택 암호화 |
예 |
|
|
객체 작업(Amazon S3 API 사용) |
예 |
예 |
|
버킷 작업(Amazon S3 API 사용) |
예 |
예 |
|
로그에 대해 검색 가능한 UI |
예 |
|
|
객체 잠금 파라미터의 필드, 로그 레코드에 대한 Amazon S3 Select 속성 |
예 |
|
|
로그 레코드의 |
예 |
|
|
수명 주기 전환, 만료, 복원 |
예 |
|
|
일괄 삭제 작업에서 키 로깅 |
예 |
|
|
인증 실패1 |
예 |
|
|
로그가 전달되는 계정 |
버킷 소유자2 및 요청자 |
버킷 소유자만 |
| Performance and Cost | AWS CloudTrail | Amazon S3 Server Logs |
|
가격 |
관리 이벤트(첫 전달)는 무료, 로그 저장 외에 데이터 이벤트에도 요금 발생 |
로그 저장 외에 추가 비용 없음 |
|
로그 전달 속도 |
5분마다 데이터 이벤트, 15분마다 관리 이벤트 |
몇 시간 내에 |
|
로그 형식 |
JSON |
공백으로 구분되고 줄 바꿈으로 구분된 레코드가 있는 로그 파일 |
참고:
-
CloudTrail은 인증에 실패한 요청(제공된 자격 증명이 유효하지 않은 요청)에 대해 로그를 전달하지 않습니다. 그러나 권한 부여에 실패한 요청(
AccessDenied)과 익명 사용자의 요청에 대한 로그는 포함합니다. -
S3 버킷 소유자는 계정이 요청의 객체를 소유했거나 이에 대한 모든 액세스를 보유한 경우에만 CloudTrail 로그를 수신합니다. 자세한 내용은 교차 계정 시나리오에서의 객체 수준 작업 섹션을 참조하세요.
