CloudTrail 개념

이 섹션에서는 과 관련된 CloudTrail 기본 개념을 요약합니다.

CloudTrail 이벤트

의 이벤트는 이벤트 내의 활동 CloudTrail 기록입니다. AWS 계정. 이 활동은 모니터링 가능한 IAM ID 또는 서비스가 취하는 조치일 수 있습니다. CloudTrail CloudTrail이벤트는 해당 이벤트를 통해 이루어진 계정 외 활동 API 및 API 계정 외 활동에 대한 기록을 제공합니다. AWS Management Console, AWS SDKs, 명령줄 도구 및 기타 AWS 서비스.

CloudTrail 로그 파일은 공개 API 호출의 정렬된 스택 트레이스가 아니므로 이벤트가 특정 순서로 표시되지 않습니다.

CloudTrail 세 가지 유형의 이벤트를 기록합니다.

• 관리 이벤트

• 데이터 이벤트

• 인사이트 이벤트

모든 이벤트 유형은 CloudTrail JSON 로그 형식을 사용합니다.

기본적으로 추적 및 이벤트 데이터 스토어는 관리 이벤트를 로그하지만 데이터 또는 Insights 이벤트는 로그하지 않습니다.

방법에 대한 자세한 내용은 AWS 서비스 통합 대상. CloudTrail 을 참조하십시오AWS 에 대한 서비스 주제 CloudTrail.

관리 이벤트

관리 이벤트는 내 리소스에 대해 수행되는 관리 작업에 대한 정보를 제공합니다. AWS 계정. 이를 제어 영역 작업이라고도 합니다.

예제 관리 이벤트에는 다음이 포함됩니다.

• 보안 구성 (예: AWS Identity and Access Management AttachRolePolicyAPI오퍼레이션).

• 디바이스 등록 (예: Amazon EC2 CreateDefaultVpc API 운영)

• 데이터 라우팅을 위한 규칙 구성 (예: Amazon EC2 CreateSubnet API 작업)

• 로깅 설정 (예: AWS CloudTrail CreateTrailAPI오퍼레이션).

관리 이벤트에는 계정에서 발생하는 비 API 이벤트도 포함될 수 있습니다. 예를 들어, 사용자가 계정에 CloudTrail 로그인하면 ConsoleLogin 이벤트를 기록합니다. 자세한 내용은 에서 캡처한 비 API 이벤트 CloudTrail 단원을 참조하십시오.

기본적으로 CloudTrail 트레일 및 CloudTrail 레이크 이벤트 데이터는 로그 관리 이벤트를 저장합니다. 관리 이벤트 로깅에 대한 자세한 내용은 을 참조하십시오관리 이벤트 로깅.

데이터 이벤트

데이터 이벤트는 리소스 상에서, 또는 리소스 내에서 수행되는 리소스 작업에 대한 정보를 제공합니다. 이를 데이터 영역 작업이라고도 합니다. 데이터 이벤트가 대량 활동인 경우도 있습니다.

예제 데이터 이벤트에는 다음이 포함됩니다.

• S3 버킷의 객체에 대한 Amazon S3 객체 수준 API 활동 (예: GetObjectDeleteObject,, 및 PutObject API 작업)

• AWS Lambda 함수 실행 활동 (the). Invoke API

• CloudTrail PutAuditEvents외부 이벤트를 기록하는 데 사용되는 CloudTrail Lake 채널에서의 활동 AWS.

• SNSPublish아마존과 주제에 관한 PublishBatchAPI운영.

다음 표는 추적 및 이벤트 데이터 스토어에 사용할 수 있는 데이터 이벤트 유형을 보여 줍니다. Data event type(데이터 이벤트 유형)(콘솔) 열에는 콘솔의 적절한 선택 항목이 표시됩니다. resources.type 값 열에는 다음을 사용하여 트레일 또는 이벤트 데이터 스토어에 해당 유형의 데이터 이벤트를 포함하도록 지정하는 resources.type 값이 표시됩니다. AWS CLI 또는. CloudTrail APIs

트레일의 경우 기본 또는 고급 이벤트 선택기를 사용하여 범용 버킷, Lambda 함수 및 DynamoDB 테이블 (표의 처음 세 행 참조) 에서 Amazon S3 객체에 대한 데이터 이벤트를 로깅할 수 있습니다. 나머지 행에 표시된 데이터 이벤트 유형은 고급 이벤트 선택기만을 사용하여 로그할 수 있습니다.

이벤트 데이터 스토어는 데이터 이벤트를 포함하려면 고급 이벤트 선택기만을 사용해야 합니다.

AWS 서비스	설명	데이터 이벤트 유형(콘솔)	resources.type 값
Amazon DynamoDB	테이블에서의 Amazon DynamoDB API 항목 수준 활동 (예:PutItem,, 및 작업) DeleteItem UpdateItem API 참고 스트림이 활성화된 테이블의 경우 데이터 이벤트의 resources 필드에 AWS::DynamoDB::Stream과 AWS::DynamoDB::Table이 모두 포함됩니다. resources.type으로 AWS::DynamoDB::Table을 지정하는 경우 기본적으로 DynamoDB 테이블과 DynamoDB 스트림 이벤트가 모두 로깅됩니다. 스트림 이벤트를 제외하려면 필드에 필터를 추가하십시오. eventName	DynamoDB	AWS::DynamoDB::Table
AWS Lambda	AWS Lambda 함수 실행 활동 (the InvokeAPI).	Lambda	AWS::Lambda::Function
Amazon S3	범용 버킷의 객체에 대한 Amazon S3 객체 수준 API 활동 (예: GetObjectDeleteObject,,, PutObject API 작업)	S3	AWS::S3::Object
AWS AppConfig	AWS AppConfig API및 에 대한 호출과 같은 구성 작업을 위한 활동. StartConfigurationSession GetLatestConfiguration	AWS AppConfig	AWS::AppConfig::Configuration
AWS B2B Data Interchange	및 에 대한 호출과 같은 트랜스포머 작업에 대한 B2B 데이터 교환 API 활동 GetTransformerJob StartTransformerJob	B2B Data Interchange	AWS::B2BI::Transformer
Amazon Bedrock	에이전트 별칭에 대한 Amazon 베드락 API 활동	Bedrock 에이전트 별칭	AWS::Bedrock::AgentAlias
Amazon Bedrock	플로우 별칭의 Amazon 베드락 API 활동	베드락 플로우 별칭	AWS::Bedrock::FlowAlias
Amazon Bedrock	가드레일에서의 아마존 베드락 API 활동.	베드락 가드레일	AWS::Bedrock::Guardrail
Amazon Bedrock	지식 기반에서의 Amazon 베드락 API 활동.	Bedrock 지식 기반	AWS::Bedrock::KnowledgeBase
아마존 CloudFront	CloudFront APIa에서의 활동 KeyValueStore.	CloudFront KeyValueStore	AWS::CloudFront::KeyValueStore
AWS Cloud Map	AWS Cloud Map API네임스페이스에서의 활동	AWS Cloud Map 네임스페이스	AWS::ServiceDiscovery::Namespace
AWS Cloud Map	AWS Cloud Map API서비스에서의 활동.	AWS Cloud Map 서비스	AWS::ServiceDiscovery::Service
AWS CloudTrail	CloudTrail PutAuditEvents외부 이벤트를 기록하는 데 사용되는 CloudTrail Lake 채널에서의 활동 AWS.	CloudTrail 채널	AWS::CloudTrail::Channel
아마존 CloudWatch	지표에 대한 아마존 CloudWatch API 활동.	CloudWatch 메트릭	AWS::CloudWatch::Metric
아마존 CloudWatch RUM	앱 모니터에서의 아마존 CloudWatch RUM API 활동.	RUM앱 모니터	AWS::RUM::AppMonitor
아마존 CodeWhisperer	사용자 지정에 대한 Amazon CodeWhisperer API 활동.	CodeWhisperer 사용자 지정	AWS::CodeWhisperer::Customization
아마존 CodeWhisperer	프로필에서의 아마존 CodeWhisperer API 활동.	CodeWhisperer	AWS::CodeWhisperer::Profile
Amazon Cognito	아마존 Cognito 자격 증명 풀에서의 Amazon Cognito API 활동.	Cognito 자격 증명 풀	AWS::Cognito::IdentityPool
Amazon DynamoDB	스트림에서의 Amazon API DynamoDB 활동.	DynamoDB Streams	AWS::DynamoDB::Stream
Amazon Elastic Block Store	Amazon Elastic Block Store (EBS) 다이렉트 APIs (예: PutSnapshotBlockGetSnapshotBlock,, 아마존 EBS 스냅샷) ListChangedBlocks	아마존 EBS 다이렉트 APIs	AWS::EC2::Snapshot
아마존 EMR	미리 쓰기 로그 작업 영역에서의 Amazon EMR API 활동	EMR미리 쓰기 로그 작업 영역	AWS::EMRWAL::Workspace
Amazon FinSpace	Amazon FinSpaceAPI환경에서의 활동.	FinSpace	AWS::FinSpace::Environment
AWS Glue	AWS Glue APILake Formation에서 만든 테이블에서의 활동	Lake Formation	AWS::Glue::Table
아마존 GuardDuty	탐지기를 위한 아마존 GuardDuty API 활동.	GuardDuty 감지기	AWS::GuardDuty::Detector
AWS HealthImaging	AWS HealthImaging API데이터 저장소에서의 활동.	MedicalImaging 데이터 스토어	AWS::MedicalImaging::Datastore
AWS IoT	AWS IoT API인증서에 대한 활동.	IoT 인증서	AWS::IoT::Certificate
AWS IoT	AWS IoT API사물에 대한 활동.	IoT 관련	AWS::IoT::Thing
AWS IoT Greengrass Version 2	구성 요소 버전의 Greengrass 코어 디바이스에서의 Greengrass API 활동 참고 Greengrass는 액세스 거부 이벤트를 기록하지 않습니다.	IoT 그린그래스 컴포넌트 버전	AWS::GreengrassV2::ComponentVersion
AWS IoT Greengrass Version 2	배포 시 Greengrass 코어 디바이스에서의 Greengrass API 활동 참고 Greengrass는 액세스 거부 이벤트를 기록하지 않습니다.	IoT 그린그래스 배포	AWS::GreengrassV2::Deployment
AWS IoT SiteWise	자산에 대한 IoT SiteWise API 활동.	IoT SiteWise 자산	AWS::IoTSiteWise::Asset
AWS IoT SiteWise	시계열에 따른 IoT SiteWise API 활동.	IoT SiteWise 시계열	AWS::IoTSiteWise::TimeSeries
AWS IoT TwinMaker	엔티티에서의 IoT TwinMaker API 활동.	IoT TwinMaker 엔티티	AWS::IoTTwinMaker::Entity
AWS IoT TwinMaker	작업 공간에서의 IoT TwinMaker API 활동.	IoT TwinMaker 워크스페이스	AWS::IoTTwinMaker::Workspace
Amazon Kendra Intelligent Ranking	리스코어 실행 계획에 대한 Amazon Kendra 인텔리전트 API 랭킹 활동.	Kendra Ranking	AWS::KendraRanking::ExecutionPlan
Amazon Keyspaces(Apache Cassandra용)	테이블에서의 Amazon Keyspaces API 활동.	카산드라 테이블	AWS::Cassandra::Table
Amazon Kinesis Data Streams	스트림에서의 Kinesis Data API Streams 활동	Kinesis 스트림	AWS::Kinesis::Stream
Amazon Kinesis Data Streams	스트림 소비자에 대한 Kinesis Data API Streams 활동	Kinesis 스트림 컨슈머	AWS::Kinesis::StreamConsumer
Amazon Kinesis Video Streams	비디오 API 스트림에서의 Kinesis Video Streams 활동 (예: 및 에 대한 호출GetMedia) PutMedia	Kinesis 비디오 스트림	AWS::KinesisVideo::Stream
Amazon Machine Learning	ML 모델에서의 Machine Learning API 활동.	매칭 러닝 MlModel	AWS::MachineLearning::MlModel
Amazon Managed Blockchain	네트워크에서의 아마존 매니지드 블록체인 API 활동.	Managed Blockchain 네트워크	AWS::ManagedBlockchain::Network
Amazon Managed Blockchain	아마존 매니지드 블록체인 JSON - eth_getBalance 또는 eth_getBlockByNumber 같은 이더리움 노드를 RPC 호출합니다.	Managed Blockchain	AWS::ManagedBlockchain::Node
Amazon Neptune Graph	Neptune API Graph에서의 데이터 활동 (예: 쿼리, 알고리즘 또는 벡터 검색)	Neptune Graph	AWS::NeptuneGraph::Graph
Amazon One Enterprise	a에서의 Amazon One Enterprise API 액티비티UKey.	아마존 원 UKey	AWS::One::UKey
Amazon One Enterprise	사용자에 대한 아마존 원 엔터프라이즈 API 활동.	아마존 원 유저	AWS::One::User
AWS Payment Cryptography	AWS Payment Cryptography API별칭에 대한 활동.	결제, 암호화, 별칭	AWS::PaymentCryptography::Alias
AWS Payment Cryptography	AWS Payment Cryptography API키에 대한 활동.	결제 암호화 키	AWS::PaymentCryptography::Key
AWS Private CA	AWS Private CA 액티브 디렉터리 API 활동을 위한 커넥터.	AWS Private CA 액티브 디렉터리용 커넥터	AWS::PCAConnectorAD::Connector
AWS Private CA	AWS Private CA SCEPAPI활동을 위한 커넥터.	AWS Private CA SCEP용 커넥터	AWS::PCAConnectorSCEP::Connector
아마존 Q 앱	Amazon Q 앱에서의 데이터 API 활동.	아마존 Q 앱	AWS::QApps:QApp
Amazon Q 비즈니스용	애플리케이션에서의 Amazon Q 비즈니스 API 활동	Amazon Q Business 애플리케이션	AWS::QBusiness::Application
Amazon Q 비즈니스용	데이터 소스에서의 Amazon Q 비즈니스 API 활동	Amazon Q Business 데이터 소스	AWS::QBusiness::DataSource
Amazon Q 비즈니스용	인덱스에 대한 Amazon Q 비즈니스 API 활동	Amazon Q Business 인덱스	AWS::QBusiness::Index
Amazon Q 비즈니스용	웹 환경에서의 Amazon Q 비즈니스 API 활동.	Amazon Q Business 웹 경험	AWS::QBusiness::WebExperience
아마존 RDS	DB 클러스터에서의 Amazon RDS API 활동.	RDS데이터 API - DB 클러스터	AWS::RDS::DBCluster
Amazon S3	액세스 포인트에서의 Amazon S3 API 활동.	S3 액세스 포인트	AWS::S3::AccessPoint
Amazon S3	디렉터리 버킷의 객체에 대한 Amazon S3 객체 수준 API 활동 (예: GetObjectDeleteObject,,, PutObject API 작업)	S3 익스프레스	AWS::S3Express::Object
Amazon S3	Amazon S3 Object Lambda 액세스 API 포인트 활동 (예: 및 에 대한 호출) CompleteMultipartUpload GetObject	S3 객체 Lambda	AWS::S3ObjectLambda::AccessPoint
Outposts에서의 Amazon S3	Outposts의 Amazon S3 기반 객체 API 수준 활동.	S3 Outposts	AWS::S3Outposts::Object
아마존 SageMaker	엔드포인트에서의 Amazon SageMaker InvokeEndpointWithResponseStream활동.	SageMaker 엔드포인트	AWS::SageMaker::Endpoint
아마존 SageMaker	피처 스토어에서의 Amazon SageMaker API 활동.	SageMaker 기능 스토어	AWS::SageMaker::FeatureGroup
아마존 SageMaker	실험 시험 구성 요소에 대한 Amazon SageMaker API 활동.	SageMaker 메트릭, 실험, 시험 구성 요소	AWS::SageMaker::ExperimentTrialComponent
아마존 SNS	플랫폼 엔드포인트에서 Amazon을 SNS PublishAPI운영합니다.	SNS플랫폼 엔드포인트	AWS::SNS::PlatformEndpoint
아마존 SNS	SNSPublish아마존과 주제에 관한 PublishBatchAPI운영.	SNS주제	AWS::SNS::Topic
아마존 SQS	메시지에 대한 아마존 SQS API 활동.	SQS	AWS::SQS::Queue
AWS Step Functions	스테이트 머신에서의 Step Functions API 액티비티	Step Functions 상태 시스템	AWS::StepFunctions::StateMachine
AWS Supply Chain	AWS Supply Chain API인스턴스에서의 활동.	공급망	AWS::SCN::Instance
아마존 SWF	도메인에서의 아마존 SWF API 활동.	SWF도메인	AWS::SWF::Domain
AWS Systems Manager	제어 채널에서의 Systems Manager API 활동	Systems Manager	AWS::SSMMessages::ControlChannel
AWS Systems Manager	관리 노드에서의 Systems Manager API 활동	Systems Manager 관리형 노드	AWS::SSM::ManagedNode
Amazon Timestream	데이터베이스에서의 Amazon Timestream QueryAPI활동.	Timestream 데이터베이스	AWS::Timestream::Database
Amazon Timestream	테이블에서의 Amazon Timestream QueryAPI활동.	Timestream 테이블	AWS::Timestream::Table
Amazon Verified Permissions	정책 스토어에서의 Amazon 검증 권한 API 활동.	Amazon Verified Permissions	AWS::VerifiedPermissions::PolicyStore
아마존 WorkSpaces 씬 클라이언트	WorkSpaces 디바이스에서의 씬 클라이언트 API 활동.	씬 클라이언트 디바이스	AWS::ThinClient::Device
아마존 WorkSpaces 씬 클라이언트	WorkSpaces 환경에서의 씬 클라이언트 API 활동.	씬 클라이언트 환경	AWS::ThinClient::Environment
AWS X-Ray	흔적에 대한 X선 API 활동.	X-Ray 트레이스	AWS::XRay::Trace

추적 또는 이벤트 데이터 스토어를 생성하면 데이터 이벤트는 기본적으로 로깅되지 않습니다. CloudTrail 데이터 이벤트를 기록하려면 활동을 수집하려는 지원되는 리소스 또는 리소스 유형을 명시적으로 추가해야 합니다. 데이터 이벤트 로깅에 대한 자세한 내용은 데이터 이벤트 로깅 섹션을 참조하세요.

데이터 이벤트 로깅에는 추가 요금이 부과됩니다. CloudTrail 요금에 대한 자세한 내용은 을 참조하십시오. AWS CloudTrail 가격 책정.

인사이트 이벤트

CloudTrail Insights 이벤트는 사용자 환경의 비정상적인 API 통화 속도 또는 오류율 활동을 캡처합니다. AWS CloudTrail 관리 활동을 분석하여 계정을 생성하세요. Insights 이벤트는 관련 정보, 오류 코드API, 사고 시간, 통계 등 비정상적인 활동을 이해하고 조치를 취하는 데 도움이 되는 관련 정보를 제공합니다. CloudTrail 트레일 또는 이벤트 데이터 저장소에서 캡처된 다른 유형의 이벤트와 달리 Insights 이벤트는 계정의 일반적인 사용 패턴과 크게 다른 계정 API 사용 또는 오류율 로깅의 변화를 CloudTrail 감지한 경우에만 로깅됩니다.

Insights 이벤트를 생성할 수 있는 활동의 예는 다음과 같습니다.

• 계정은 일반적으로 분당 20건 이하의 Amazon S3 deleteBucket API 호출을 기록하지만, 계정에서는 분당 평균 100건의 deleteBucket API 호출을 기록하기 시작합니다. 인사이트 이벤트는 비정상적인 활동이 시작될 때 로깅되고, 다른 인사이트 이벤트는 비정상적인 활동의 종료를 표시하기 위해 로깅됩니다.

• 일반적으로 계정은 Amazon에 분당 20건의 통화를 기록하지만 EC2 AuthorizeSecurityGroupIngress API 계정에서는 통화가 전혀 기록되지 AuthorizeSecurityGroupIngress 않습니다. 인사이트 이벤트는 비정상적인 활동이 시작될 때 로깅되고, 10분 후 비정상적인 활동이 종료될 때 비정상적 활동의 종료를 표시하기 위해 다른 인사이트 이벤트가 로깅됩니다.

• 계정에서 기록하는 AccessDeniedException 오류는 보통 7일 동안 한 개 미만입니다. AWS Identity and Access Management API,. DeleteInstanceProfile DeleteInstanceProfileAPI통화에서 분당 평균 12개의 AccessDeniedException 오류가 계정에 기록되기 시작합니다. 인사이트 이벤트는 비정상적인 오류율 활동이 시작될 때 로그되고, 다른 인사이트 이벤트는 비정상적인 활동의 종료를 표시하기 위해 로그됩니다.

이러한 예제는 설명용으로만 제공됩니다. 사용 사례에 따라 결과가 달라질 수 있습니다.

CloudTrail Insights 이벤트를 기록하려면 새 또는 기존 트레일 또는 이벤트 데이터 저장소에서 Insights 이벤트를 명시적으로 활성화해야 합니다. 추적 생성에 대한 자세한 내용은 CloudTrail 콘솔로 트레일 만들기을 참조하세요. 이벤트 데이터 스토어 생성에 대한 자세한 내용은 콘솔을 사용하여 Insights 이벤트용 이벤트 데이터 저장소를 생성하십시오. 섹션을 참조하세요.

Insights 이벤트 적용에는 추가 요금이 부과됩니다. 추적과 이벤트 데이터 스토어 모두에 대해 Insights를 활성화하면 요금이 별도로 부과됩니다. 자세한 내용은 단원을 참조하세요.AWS CloudTrail 가격 책정.

이벤트 기록

CloudTrail 이벤트 기록은 지난 90일간의 관리 이벤트에 대한 조회, 검색, 다운로드 및 변경 불가능한 기록을 제공합니다. CloudTrail AWS 리전. 이 기록을 사용하여 자신의 행동에 대한 가시성을 확보할 수 있습니다. AWS 내 계정 AWS Management Console, AWS SDKs, 명령줄 도구 및 기타 AWS 서비스. 표시할 열을 선택하여 CloudTrail 콘솔에서 이벤트 기록 보기를 사용자 정의할 수 있습니다. 자세한 내용은 CloudTrail 이벤트 기록 다루기 단원을 참조하십시오.

추적

트레일은 CloudTrail 이벤트를 S3 버킷으로 전송하고 CloudWatch Logs 및 Amazon으로의 선택적 전송을 가능하게 하는 EventBridge 구성입니다. 트레일을 사용하여 전송하려는 CloudTrail 이벤트를 선택하고 다음을 사용하여 CloudTrail 이벤트 로그 파일을 암호화할 수 있습니다. AWS KMS 키를 누르고 로그 파일 전송을 위한 Amazon SNS 알림을 설정합니다. 추적 생성 및 관리에 대한 자세한 내용은 나만의 트레일 만들기 AWS 계정 단원을 참조하십시오.

다중 지역 및 단일 지역 트레일

자신에게 맞는 다중 지역 트레일과 단일 지역 트레일을 모두 만들 수 있습니다. AWS 계정.

멀티 리전 트레일

멀티 리전 트레일을 생성하면 모든 이벤트를 CloudTrail 기록합니다. AWS 리전 에서 AWS 작업 중인 파티션으로 CloudTrail 이벤트 로그 파일을 지정한 S3 버킷으로 전송합니다. 다음과 같은 경우 AWS 리전 멀티 리전 트레일을 생성한 후 추가되면 새 리전이 자동으로 포함되고 해당 리전의 이벤트가 로깅됩니다. 계정의 모든 리전에서 활동을 캡처하므로, 다중 리전 추적 생성이 권장하는 모범 사례입니다. CloudTrail 콘솔을 사용하여 생성하는 모든 트레일은 다중 지역입니다. 를 사용하여 단일 지역 트레일을 다중 지역 트레일로 변환할 수 있습니다. AWS CLI. 자세한 내용은 콘솔에서 추적 생성 및 을 참조하십시오한 리전에 적용되는 추적을 모든 리전에 적용되는 추적으로 변환.

단일 지역 트레일

단일 지역 트레일을 만들 때는 해당 지역의 이벤트만 CloudTrail 기록합니다. 그런 다음 지정한 Amazon S3 버킷으로 CloudTrail 이벤트 로그 파일을 전송합니다. 를 사용하여 단일 지역 트레일만 생성할 수 있습니다. AWS CLI. 단일 트레일을 추가로 생성하는 경우 해당 트레일이 CloudTrail 이벤트 로그 파일을 동일한 S3 버킷 또는 별도의 버킷으로 전송하도록 할 수 있습니다. 를 사용하여 트레일을 생성할 때의 기본 옵션입니다. AWS CLI 또는 CloudTrail API. 자세한 내용은 를 사용하여 트레일 생성, 업데이트 및 관리 AWS CLI 단원을 참조하십시오.

참고

두 유형의 추적 모두에 대해 모든 리전에서 Amazon S3 버킷을 지정할 수 있습니다.

다지역 트레일에는 다음과 같은 이점이 있습니다.

• 트레일의 구성 설정은 모든 트레일에 일관되게 적용됩니다. AWS 리전.

• 모든 사용자로부터 CloudTrail 이벤트를 수신합니다. AWS 리전 단일 Amazon S3 버킷에서, 그리고 선택적으로 로그 CloudWatch 로그 그룹에 포함할 수 있습니다.

• 모든 트레일 구성을 관리합니다. AWS 리전 한 곳에서.

모든 사람에게 트레일을 적용할 때 AWS 지역: 특정 지역에서 생성한 트레일을 CloudTrail 사용하여 해당 지역의 다른 모든 지역에서 동일한 구성의 트레일을 생성합니다. AWS 작업 중인 파티션.

이렇게 하면 다음과 같은 효과가 발생합니다.

• CloudTrail 모든 계정 활동에 대한 로그 파일을 제공합니다. AWS 지정한 단일 Amazon S3 버킷에 대한 지역 및 선택적으로 CloudWatch Logs 로그 그룹에 대한 지역

• 트레일에 대해 Amazon SNS 주제를 구성한 경우, 로그 파일 전송에 대한 모든 SNS 알림 AWS 지역은 해당 단일 SNS 주제로 전송됩니다.

트레일이 다중 지역인지 단일 지역인지에 관계없이 Amazon으로 전송된 이벤트는 단일 이벤트 버스가 아닌 각 지역의 이벤트 버스에서 EventBridge 수신됩니다.

리전별 다중 추적

개발자, 보안 직원 및 IT 감사자 등 서로 다르지만 관련된 사용자 그룹이 있는 경우 리전별로 여러 추적을 생성할 수 있습니다. 이렇게 하면 각 그룹이 고유한 로그 파일 사본을 수신할 수 있습니다.

CloudTrail 지역당 5개의 트레일을 지원합니다. 다중 지역 트레일은 지역당 하나의 트레일로 계산됩니다.

다음은 다섯 개의 트레일이 있는 지역의 예입니다.

• 미국 서부(캘리포니아 북부) 리전에 이 리전에만 적용되는 추적 2개를 생성합니다.

• 미국 서부 (캘리포니아 북부) 지역에 다중 지역 트레일을 두 개 더 생성합니다.

• 아시아 태평양 (시드니) 지역에 멀티 리전 트레일을 하나 더 생성합니다. 이 추적은 미국 서부(캘리포니아 북부) 리전에도 추적으로 존재합니다.

에서 트레일 목록을 볼 수 있습니다. AWS 리전 콘솔의 CloudTrail 트레일 페이지에서 자세한 내용은 CloudTrail 콘솔로 트레일 업데이트 단원을 참조하십시오. CloudTrail 가격은 을 참조하십시오. AWS CloudTrail 가격 책정.

조직 트레일

조직 트레일은 관리 계정과 모든 구성원 계정의 CloudTrail 이벤트를 전달할 수 있는 구성입니다. AWS Organizations 동일한 Amazon S3 버킷, CloudWatch 로그 및 Amazon으로 구성합니다 EventBridge. 조직 추적을 생성하면 조직에 대한 균일한 이벤트 로깅 전략을 정의하는 데 도움이 됩니다.

콘솔을 사용하여 생성된 모든 조직 트레일은 활성화된 상태에서 발생한 이벤트를 기록하는 다중 지역 조직 트레일입니다. AWS 리전 조직의 각 구성원 계정에서 모든 이벤트를 기록하려면 AWS 조직 내 파티션에는 각 파티션에 다중 지역 조직 트레일을 만드세요. 를 사용하여 단일 지역 또는 다중 지역 조직 트레일을 만들 수 있습니다. AWS CLI. 단일 지역 트레일을 생성하는 경우 트레일의 활동만 기록합니다. AWS 리전 (홈 지역이라고도 함).

하지만 대부분은 AWS 리전 사용자 사용자에게는 기본적으로 활성화되어 있습니다. AWS 계정특정 지역 (옵트인 지역이라고도 함) 을 수동으로 활성화해야 합니다. 기본적으로 활성화되는 지역에 대한 자세한 내용은 지역에서 지역을 활성화 및 비활성화하기 전 고려 사항을 참조하십시오. AWS Account Management 참조 가이드. 지역 CloudTrail 지원 목록은 을 참조하십시오CloudTrail 지원되는 지역.

조직 트레일을 생성하면 지정한 이름을 가진 트레일의 사본이 조직에 속한 멤버 계정에 생성됩니다.

• 조직 트레일이 단일 지역용이고 트레일의 홈 지역이 Opt 지역이 아닌 경우, 각 멤버 계정의 조직 트레일 홈 지역에 트레일 사본이 생성됩니다.

• 조직 트레일이 단일 지역용이고 트레일의 홈 지역이 Opt 지역인 경우, 해당 지역을 활성화한 구성원 계정의 조직 트레일 홈 지역에 트레일 사본이 생성됩니다.

• 조직 트레일이 다중 지역이고 트레일의 홈 지역이 옵트인 지역이 아닌 경우 활성화된 각 영역에 트레일 사본이 생성됩니다. AWS 리전 각 멤버 계정에서. 멤버 계정에서 옵트인 지역을 활성화하면 해당 지역의 활성화가 완료된 후 멤버 계정에 대해 새로 선택한 지역에 멀티 리전 트레일의 사본이 생성됩니다.

• 조직 트레일이 다중 지역이고 홈 지역이 옵트인 지역인 경우, 멤버 계정은 옵트인하지 않는 한 조직 트레일로 활동을 전송하지 않습니다. AWS 리전 다중 지역 트레일이 생성된 위치. 예를 들어 다중 지역 트레일을 생성하고 유럽 (스페인) 지역을 트레일의 홈 지역으로 선택하면 해당 계정에 유럽 (스페인) 지역을 활성화한 멤버 계정만 계정 활동을 조직 트레일로 전송합니다.

참고

CloudTrail 리소스 검증에 실패한 경우에도 구성원 계정에 조직 트레일을 생성합니다. 검증 실패의 예는 다음과 같습니다.

• 잘못된 Amazon S3 버킷 정책

• 잘못된 아마존 SNS 주제 정책

• CloudWatch 로그 로그 그룹에 전달할 수 없음

• 키를 사용하여 암호화할 수 있는 권한이 충분하지 않음 KMS

CloudTrail 권한이 있는 멤버 계정은 CloudTrail 콘솔에서 트레일의 세부 정보 페이지를 보거나 다음을 실행하여 조직 트레일의 유효성 검사 실패를 확인할 수 있습니다. AWS CLI get-trail-status명령.

멤버 계정에 CloudTrail 대한 권한이 있는 사용자는 로그인할 때 조직 트레일 (트레일 포함ARN) 을 볼 수 있습니다. AWS CloudTrail 콘솔에서 AWS 계정 또는 실행 시점 AWS CLI 다음과 같은 명령 describe-trails (단, 멤버 계정은 조직 트레일에 를 사용해야 하며, 사용 시 이름은 사용하지 않아야 함) ARN AWS CLI). 하지만 회원 계정의 사용자는 조직 내역을 삭제하거나, 로그온하거나 끄거나, 기록되는 이벤트 유형을 변경하거나, 어떤 식으로든 조직 내역을 변경할 수 있는 충분한 권한을 가지고 있지 않습니다. 에 대한 자세한 내용은 AWS Organizations자세한 내용은 조직 용어 및 개념을 참조하십시오. 조직 추적을 생성하고 사용하는 방법에 대한 자세한 내용은 조직에 대한 추적 생성을 참조하십시오.

CloudTrail 호수 및 이벤트 데이터 스토어

CloudTrail Lake를 사용하면 이벤트에 대해 세밀한 SQL 기반 쿼리를 실행하고 외부 소스의 이벤트를 기록할 수 있습니다. AWS여기에는 자체 애플리케이션 및 통합된 파트너의 데이터도 포함됩니다. CloudTrail 계정에 트레일을 구성하지 않아도 CloudTrail Lake를 사용할 수 있습니다.

이벤트는 이벤트 데이터 스토어로 집계되며, 이벤트 데이터 스토어는 고급 이벤트 선택기를 적용하여 선택한 기준을 기반으로 하는 변경 불가능한 이벤트 컬렉션입니다. 1년 연장 가능 보존 요금 옵션을 선택하는 경우 최대 3,653일(약 10년), 7년 보존 요금 옵션을 선택하는 경우 최대 2,557일(약 7년) 동안 이벤트 데이터를 이벤트 데이터 스토어에 보관할 수 있습니다. 나중에 사용할 수 있도록 Lake 쿼리를 저장하고 최대 7일 동안 쿼리 결과를 볼 수 있습니다. 쿼리 결과를 S3 버킷에 저장할 수도 있습니다. CloudTrail Lake는 또한 조직의 이벤트를 다음 위치에 저장할 수 있습니다. AWS Organizations 이벤트 데이터 스토어에 있거나 여러 지역 및 계정의 이벤트를 저장합니다. CloudTrail Lake는 보안 조사 및 문제 해결을 수행하는 데 도움이 되는 감사 솔루션의 일부입니다. 자세한 내용은 함께 일하기 AWS CloudTrail 호수 및 CloudTrail 호수 개념 및 용어 단원을 참조하세요.

CloudTrail 인사이트

CloudTrail 인사이트 도움말 AWS 사용자는 CloudTrail 관리 이벤트를 지속적으로 분석하여 비정상적인 양의 API 통화나 API 통화에 기록된 오류를 식별하고 이에 대응합니다. Insights 이벤트는 비정상적인 수준의 write 관리 API 활동 또는 관리 활동에서 비정상적인 수준의 오류가 반환되는 기록입니다. API 기본적으로 트레일 및 이벤트 데이터 저장소는 CloudTrail Insights 이벤트를 기록하지 않습니다. 콘솔에서 추적 또는 이벤트 데이터 스토어를 생성하거나 업데이트할 때 Insights 이벤트를 로그하도록 선택할 수 있습니다. 를 사용하는 경우 를 CloudTrail API 사용하여 기존 트레일 또는 이벤트 데이터 저장소의 설정을 편집하여 Insights 이벤트를 기록할 수 있습니다. PutInsightSelectorsAPI CloudTrail Insights 이벤트 로깅에는 추가 요금이 적용됩니다. 추적과 이벤트 데이터 스토어 모두에 대해 Insights를 활성화하면 요금이 별도로 부과됩니다. 자세한 내용은 Insights 이벤트 로깅 및 섹션을 참조하세요.AWS CloudTrail 가격.

Tags

태그는 고객이 정의한 키이며 할당할 수 있는 선택적 값입니다. AWS CloudTrail 트레일, 이벤트 데이터 스토어, 채널 등의 리소스, 로그 파일을 저장하는 데 사용되는 S3 버킷, CloudTrail AWS Organizations 조직 및 조직 단위 등. 트레일에 대한 로그 파일을 저장하는 데 사용하는 S3 버킷과 동일한 태그를 트레일과 S3 버킷에 추가하면 다음과 같이 이러한 리소스를 더 쉽게 관리, 검색 및 필터링할 수 있습니다. AWS Resource Groups. 일관되고 효과적이며 쉽게 리소스를 찾고 관리하는 데 도움이 되는 태깅 전략을 구현할 수 있습니다. 자세한 내용은 태깅 모범 사례를 참조하십시오. AWS 리소스.

AWS Security Token Service 그리고 CloudTrail

AWS Security Token Service (AWS STS) 는 글로벌 엔드포인트가 있고 지역별 엔드포인트도 지원하는 서비스입니다. 엔드포인트는 웹 URL 서비스 요청의 진입점이 됩니다. 예를 들어, https://cloudtrail.us-west-2.amazonaws.com 는 미국 서부 (오레곤) 지역 진입점입니다. AWS CloudTrail 서비스. 리전 종단점은 애플리케이션의 지연 시간을 줄이는 데 유용합니다.

사용할 때 AWS STS 지역별 엔드포인트를 제공하는 경우 해당 지역의 트레일은 다음 항목만 제공합니다. AWS STS 해당 지역에서 발생하는 이벤트. 예를 들어 엔드포인트를 sts.us-west-2.amazonaws.com 사용하는 경우 us-west-2의 트레일은 다음 항목만 제공합니다. AWS STS us-west-2에서 시작된 이벤트 에 대한 자세한 내용은 AWS STS 지역별 엔드포인트는 활성화 및 비활성화를 참조하십시오. AWS STS 에서 AWSIAM사용 설명서의 지역.

전체 목록은 다음과 같습니다. AWS 지역별 엔드포인트는 다음을 참조하십시오. AWS 내 리전 및 엔드포인트 AWS 일반 참조. 글로벌 이벤트에 대한 자세한 내용은 여기를 참조하십시오. AWS STS 엔드포인트는 을 참조하십시오글로벌 서비스 이벤트.

글로벌 서비스 이벤트

중요

2021년 11월 22일을 기준으로 AWS CloudTrail 트레일에서 글로벌 서비스 이벤트를 캡처하는 방식을 변경했습니다. 이제 CloudFront Amazon에서 만든 이벤트는 AWS Identity and Access Management, 및 AWS STS 생성된 지역, 미국 동부 (버지니아 북부) 지역, us-east-1에 기록됩니다. 따라서 이러한 서비스를 CloudTrail 처리하는 방식이 다른 서비스와 일관되게 취급됩니다. AWS 글로벌 서비스. 미국 동부(버지니아 북부) 이외의 지역에서 글로벌 서비스 이벤트를 계속 수신하려면 반드시 미국 동부(버지니아 북부) 이외의 글로벌 서비스 이벤트를 사용하는 단일 리전 추적을 다중 리전 추적으로 변환해야 합니다. 글로벌 서비스 이벤트 캡처에 대한 자세한 내용은 이 단원의 후반부에서 글로벌 서비스 이벤트 로깅 활성화 및 비활성화을(를) 참조하세요.

반대로 CloudTrail 콘솔과 aws cloudtrail lookup-events 명령의 이벤트 기록에는 이러한 이벤트가 다음 위치에 표시됩니다. AWS 리전 어디서 발생했는지

대부분의 서비스에서 이벤트는 작업이 발생한 리전에 기록됩니다. 다음과 같은 글로벌 서비스의 경우 AWS Identity and Access Management (IAM), AWS STS, 그리고 CloudFront Amazon에서는 글로벌 서비스를 포함하는 모든 트레일로 이벤트가 전달됩니다.

대부분의 글로벌 서비스의 경우 이벤트는 미국 동부(버지니아 북부) 리전에서 발생한 것으로 로그되지만, 일부 글로벌 서비스 이벤트는 미국 동부(오하이오) 리전 또는 미국 서부(오레곤) 리전과 같은 다른 리전에서 발생한 것으로 로그됩니다.

중복 전역적 서비스 이벤트를 수신하지 않으려면 다음을 알아두십시오.

• 글로벌 서비스 이벤트는 기본적으로 CloudTrail 콘솔을 사용하여 생성된 트레일에 전달됩니다. 이벤트는 추적에 대한 버킷으로 전송됩니다.

• 단일 리전 추적이 여러 개 있는 경우 글로벌 서비스 이벤트가 추적 중 하나에만 전송되도록 추적을 구성하는 것이 좋습니다. 자세한 내용은 글로벌 서비스 이벤트 로깅 활성화 및 비활성화 단원을 참조하세요.

• 모든 리전 로깅에서 단일 리전 로깅으로 추적 구성을 변경하면 글로벌 서비스 이벤트 로깅은 해당 추적에 대해 자동으로 꺼집니다. 마찬가지로, 단일 리전 로깅에서 모든 리전 로깅으로 추적 구성을 변경하면 글로벌 서비스 이벤트 로깅은 해당 추적에 대해 자동으로 켜집니다.

  추적에 대해 글로벌 서비스 이벤트 로깅을 변경하는 방법에 대한 자세한 내용은 글로벌 서비스 이벤트 로깅 활성화 및 비활성화 단원을 참조하십시오.

예:

1. CloudTrail 콘솔에서 트레일을 생성합니다. 기본적으로 이 추적은 전역적 서비스 이벤트를 로깅합니다.

2. 단일 리전 추적이 여러 개 있습니다.

3. 단일 리전 추적에 대한 전역적 서비스를 포함할 필요가 없습니다. 전역적 서비스 이벤트는 첫 번째 추적에 전달됩니다. 자세한 내용은 를 사용하여 트레일 생성, 업데이트 및 관리 AWS CLI 단원을 참조하십시오.

참고

를 사용하여 트레일을 만들거나 업데이트하는 경우 AWS CLI, AWS SDKs또는 CloudTrail API 트레일에 글로벌 서비스 이벤트를 포함할지 제외할지 여부를 지정할 수 있습니다. CloudTrail 콘솔에서는 글로벌 서비스 이벤트 로깅을 구성할 수 없습니다.