기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
증거 찾기를 위한 기본 내보내기 목적지 설정
증거 찾기에서 쿼리를 실행하면 검색 결과를 쉼표로 구분된 값 (CSV) 파일로 내보낼 수 있습니다. 이 설정을 사용하여 Audit Manager가 내보낸 파일을 저장하는 기본 S3 버킷을 선택할 수 있습니다.
사전 조건
S3 버킷에 내보내기 파일을 쓸 수 있도록 허용하는 CloudTrail 데 필요한 권한 정책이 있어야 합니다. 좀 더 구체적으로 말하자면, 버킷 정책에는 s3:PutObject
작업과 버킷 ARN이 포함되어야 하고 list가 서비스 보안 CloudTrail 주체로 포함되어야 합니다.
-
사용할 수 있는 권한 정책의 예는 을 참조하십시오예 3(대상 권한 내보내기).
-
이 정책을 S3 버킷에 연결하는 지침은 Amazon S3 콘솔을 사용하여 버킷 정책 추가를 참조하십시오.
-
추가 팁은 이 페이지의 내보내기 목적지에 대한 구성 팁을 참조하세요.
내보내기 목적지에 대한 구성 팁
파일을 성공적으로 내보내려면 내보내기 목적지의 다음 구성을 확인하는 것이 좋습니다.
- AWS 리전
-
고객 관리 키 (키를 제공한 경우) 는 평가 지역과 일치해야 합니다. AWS 리전 KMS 키를 변경하는 방법에 대한 지침은 Audit Manager 데이터 암호화 설정을 참조하세요.
- 계정 간 S3 버킷
계정 간 S3 버킷을 내보내기 대상으로 사용하는 것은 Audit Manager 콘솔에서 지원되지 않습니다. SDK AWS CLI 또는 AWS SDK 중 하나를 사용하여 교차 계정 버킷을 지정할 수 있지만, 단순화를 위해 이렇게 하지 않는 것이 좋습니다. 계정 간 S3 버킷을 내보내기 대상으로 사용하기로 선택한 경우 다음 사항을 고려하세요.
-
기본적으로 CSV 내보내기와 같은 S3 객체는 해당 객체를 업로드한 사람이 소유합니다. AWS 계정 S3 객체 소유권 설정을 사용하여 미리 준비된
bucket-owner-full-control
액세스 제어 목록(ACL)을 포함하여 계정에서 작성한 새 객체를 버킷 소유자가 자동으로 소유하게 되도록 이 기본 동작을 변경할 수 있습니다.필수 사항은 아니지만 계정 간 버킷 설정을 다음과 같이 변경하는 것이 좋습니다. 이렇게 변경하면 버킷에 게시한 내보낸 파일을 버킷 소유자가 완전히 제어할 수 있습니다.
-
Audit Manager가 계정 간 S3 버킷으로 파일을 내보낼 수 있도록 하려면 내보내기 대상 버킷에 다음 S3 버킷 정책을 추가해야 합니다. 각
자리 표시자 텍스트
를 자신의 정보로 바꿉니다. 이 정책의Principal
요소는 평가를 소유하고 파일을 내보내는 사용자 또는 역할입니다.Resource
은 파일을 내보낼 계정 간 S3 버킷을 지정합니다.{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow cross account file exports", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
AssessmentOwnerAccountId
:user/AssessmentOwnerUserName
" }, "Action": [ "s3:ListBucket", "s3:PutObject", "s3:GetObject", "s3:GetBucketLocation", "s3:PutObjectAcl", "s3:DeleteObject" ], "Resource": [ "arn:aws:s3:::CROSS-ACCOUNT-BUCKET
", "arn:aws:s3:::CROSS-ACCOUNT-BUCKET/*
" ] } ] }
-
절차
감사 관리자 콘솔, AWS Command Line Interface (AWS CLI) 또는 감사 관리자 API를 사용하여 이 설정을 업데이트할 수 있습니다.