CloudTrail 개념 - AWS CloudTrail

CloudTrail 개념

이 단원에서는 CloudTrail과 관련된 기본 개념을 요약하여 설명합니다.

CloudTrail 이벤트란?

CloudTrail의 이벤트는 AWS 계정의 활동 레코드입니다. 이 활동은 CloudTrail에서 모니터링할 수 있는 사용자, 역할 또는 서비스가 수행하는 작업일 수 있습니다. CloudTrail 이벤트는 AWS Management Console, AWS SDK, 명령줄 도구 및 기타 AWS 서비스를 통해 이루어진 API 및 비 API 계정 활동에 대한 기록을 제공합니다. CloudTrail에 로그할 수 있는 이벤트에는 세 가지 유형, 즉 관리 이벤트, 데이터 이벤트, CloudTrail Insights 이벤트가 있습니다. 기본적으로 추적은 관리 이벤트를 로그하지만 데이터 또는 Insights 이벤트는 로그하지 않습니다.

모든 이벤트 유형은 CloudTrail JSON 로그 형식을 사용합니다.

참고

CloudTrail이 모든 AWS 서비스와 모든 이벤트를 로그하지는 않습니다. 특정 서비스에 대해 로그되는 API에 관한 자세한 내용은 CloudTrail 지원 서비스 및 통합에서 해당 서비스에 대한 설명서를 참조하세요.

관리 이벤트란?

관리 이벤트는 AWS 계정의 리소스에 대해 수행되는 관리 작업에 대한 정보를 제공합니다. 이를 제어 영역 작업이라고도 합니다. 예제 관리 이벤트에는 다음이 포함됩니다.

  • 보안 구성(예: AWS Identity and Access Management AttachRolePolicy API 작업).

  • 디바이스 등록(예: Amazon EC2 CreateDefaultVpc API 작업)

  • 데이터 라우팅 규칙 구성(예: Amazon EC2 CreateSubnet API 작업)

  • 로깅 설정(예: AWS CloudTrail CreateTrail API 작업).

관리 이벤트에는 귀하의 계정에서 발생한 비 API 이벤트도 포함될 수 있습니다. 예를 들어 사용자가 계정에 로그인하면 CloudTrail은 ConsoleLogin 이벤트를 로그합니다. 자세한 내용은 CloudTrail에 의해 캡처된 비 API 이벤트 단원을 참조하세요. AWS 서비스에 대해 CloudTrail이 로그하는 관리 이벤트 목록은 CloudTrail 지원 서비스 및 통합 단원을 참조하세요.

데이터 이벤트란?

데이터 이벤트는 리소스 상에서, 또는 리소스 내에서 수행되는 리소스 작업에 대한 정보를 제공합니다. 이를 데이터 영역 작업이라고도 합니다. 데이터 이벤트가 대량 활동인 경우도 있습니다. 다음 데이터 유형이 기록됩니다.

  • 버킷 및 버킷의 객체의 Amazon S3 객체 수준 API 활동(예: GetObject, DeleteObject, PutObject API 작업)

  • AWS Lambda 함수 실행 활동(Invoke API)

  • 테이블에서의 Amazon DynamoDB 객체 수준 API 활동(예: PutItem, DeleteItem, UpdateItem API 작업)

  • Outposts의 Amazon S3 객체 수준 API 활동

  • Ethereum 노드에서의 Amazon Managed Blockchain JSON-RPC 호출(예: eth_getBalance 또는 eth_getBlockByNumber)

  • Amazon S3 객체 Lambda 액세스 포인트의 API 활동(예: CompleteMultipartUploadGetObject에 대한 호출)

  • Amazon Elastic Block Store(EBS) 다이렉트 API(예: Amazon EBS 스냅샷의 PutSnapshotBlock, GetSnapshotBlock, ListChangedBlocks)

  • 액세스 포인트에 대한 Amazon S3 API 활동

  • 스트림에서의 Amazon DynamoDB API 활동

  • Lake Formation에서 생성한 테이블에서의 AWS Glue API 활동

  • 환경에서의 Amazon FinSpace API 활동

  • 실험 평가 구성 요소에서의 Amazon SageMaker API 활동

  • 특성 저장소에서의 Amazon SageMaker API 활동

추적을 생성하면 데이터 이벤트가 기본적으로 로깅되지 않습니다. CloudTrail 데이터 이벤트를 기록하려면 활동을 수집할 지원되는 리소스 또는 리소스 유형을 추적에 명시적으로 추가해야 합니다. 자세한 내용은 추적 생성데이터 이벤트 단원을 참조하세요.

데이터 이벤트 로깅에는 추가 요금이 부과됩니다. CloudTrail 요금은 AWS CloudTrail 요금을 참조하세요.

Insights 이벤트란?

CloudTrail Insights 이벤트는 사용자의 AWS 계정에서 비정상적인 API 호출률 또는 오류율 활동을 캡처합니다. Insights 이벤트를 사용 설정했을 때 CloudTrail이 비정상적인 활동을 감지하면 Insights 이벤트는 추적에 대한 대상 S3 버킷의 다른 폴더 또는 접두사에 로그됩니다. 또한 CloudTrail 콘솔에서 Insights 이벤트를 살펴볼 때 인사이트 유형 및 인시던트 기간을 확인할 수도 있습니다. Insights 이벤트는 관련 API, 오류 코드, 인시던트 시간, 통계 등 비정상적인 활동을 파악하고 이에 대한 조치를 취하는 데 도움이 되는 관련 정보를 제공합니다. CloudTrail 추적에서 캡처된 다른 유형의 이벤트와 달리 Insights 이벤트는 CloudTrail이 계정의 일반적인 사용 패턴과 크게 다른 계정의 API 사용 또는 오류율 로깅 변경을 감지한 경우에만 로그됩니다. Insights 이벤트를 생성할 수 있는 활동의 예는 다음과 같습니다.

  • 계정이 일반적으로 분당 20건 이하의 Amazon S3 deleteBucket API 호출을 로그하는데, 계정에서 분당 평균 100건의 deleteBucket API 호출을 로그하기 시작합니다. 인사이트 이벤트는 비정상적인 활동이 시작될 때 로깅되고, 다른 인사이트 이벤트는 비정상적인 활동의 종료를 표시하기 위해 로깅됩니다.

  • 계정이 일반적으로 분당 20건의 Amazon EC2 AuthorizeSecurityGroupIngress API 호출을 로그하는데, 계정에서 0건의 AuthorizeSecurityGroupIngress 호출을 로그하기 시작합니다. 인사이트 이벤트는 비정상적인 활동이 시작될 때 로깅되고, 10분 후 비정상적인 활동이 종료될 때 비정상적 활동의 종료를 표시하기 위해 다른 인사이트 이벤트가 로깅됩니다.

  • 계정은 일반적으로 AWS Identity and Access Management API, DeleteInstanceProfile에서 7일 동안 1개 미만의 AccessDeniedException 오류를 로그합니다. 계정에서 DeleteInstanceProfile API 호출에서 분당 평균 12개의 AccessDeniedException 오류를 로그하기 시작합니다. 인사이트 이벤트는 비정상적인 오류율 활동이 시작될 때 로그되고, 다른 인사이트 이벤트는 비정상적인 활동의 종료를 표시하기 위해 로그됩니다.

이러한 예제는 설명용으로만 제공됩니다. 사용 사례에 따라 결과가 달라질 수 있습니다.

추적을 생성할 때 Insights 이벤트는 기본적으로 사용 중지되어 있습니다. CloudTrail Insights 이벤트를 기록하려면 신규 또는 기존 추적에서 Insights 이벤트 수집을 명시적으로 사용 설정해야 합니다. 자세한 내용은 추적 생성추적에 대한 Insights 이벤트 로깅 단원을 참조하세요.

CloudTrail Insights 이벤트 로깅에는 추가 요금이 부과됩니다. CloudTrail 요금은 AWS CloudTrail 요금을 참조하세요.

CloudTrail 이벤트 기록이란?

CloudTrail 이벤트 기록은 지난 90일간의 CloudTrail 이벤트에 대한 보기, 검색 및 다운로드 가능한 레코드를 제공합니다. 이 기록을 사용하여 AWS Management Console, AWS SDK, 명령줄 도구 및 기타 AWS 서비스를 통해 수행되는 AWS 계정 활동에 대한 가시성을 확보할 수 있습니다. CloudTrail 콘솔에서 표시할 열을 선택하여 이벤트 기록 보기를 사용자 지정할 수 있습니다. 자세한 내용은 CloudTrail 이벤트 기록에서 이벤트 보기 단원을 참조하세요.

추적이란?

추적은 CloudTrail 이벤트를 Amazon S3 버킷, CloudWatch Logs, CloudWatch Events에 전달할 수 있게 하는 구성입니다. 추적을 사용하면 전달하려는 CloudTrail 이벤트를 필터링하고 AWS KMS 키로 CloudTrail 이벤트 로그 파일을 암호화하며 로그 파일 전달의 Amazon SNS 알림을 설정할 수 있습니다. 추적 생성 및 관리에 대한 자세한 내용은 AWS 계정에 대한 추적 생성 단원을 참조하십시오.

조직 추적이란?

조직 추적은 AWS Organizations 조직 내 관리 계정, 위임된 관리자 계정, 모든 멤버 계정의 CloudTrail 이벤트를 동일한 Amazon S3 버킷, CloudWatch Logs, CloudWatch Events에 전달할 수 있도록 하는 구성입니다. 조직 추적을 생성하면 조직에 대한 균일한 이벤트 로깅 전략을 정의하는 데 도움이 됩니다.

조직 추적을 생성하면 사용자가 부여한 이름의 추적이 조직에 속한 모든 AWS 계정에 생성됩니다. 멤버 계정의 CloudTrail 권한이 있는 사용자는 AWS 계정에서 AWS CloudTrail 콘솔에 로그인하거나 describe-trails와 같은 AWS CLI 명령을 실행하여(멤버 계정이 AWS CLI를 사용할 경우 이름이 아니라 조직 추적의 ARN을 사용해야 함) 이 추적(추적 ARN 포함)을 볼 수 있습니다. 그러나 멤버 계정의 사용자는 조직 추적을 삭제하거나, 로깅을 켜고 끄거나, 로깅되는 이벤트 유형을 변경하거나, 어떤 식으로든 조직 추적을 변경할 수 있는 충분한 권한이 없습니다. AWS Organizations에 대한 자세한 내용은 Organizations 용어 및 개념 단원을 참조하세요. 조직 추적을 생성하고 사용하는 방법에 대한 자세한 내용은 조직에 대한 추적 생성을 참조하십시오.

CloudTrail을 어떻게 관리합니까?

CloudTrail 콘솔

AWS CloudTrail 콘솔에서 CloudTrail 서비스를 사용하고 관리할 수 있습니다. 콘솔은 다음과 같은 다양한 CloudTrail 작업을 수행할 수 있도록 사용자 인터페이스를 제공합니다.

  • AWS 계정의 최근 이벤트 및 이벤트 기록 보기.

  • 지난 90일간의 이벤트에 대해 필터링된 파일이나 전체 파일을 다운로드.

  • CloudTrail 추적 생성 및 편집.

  • 다음을 포함한 CloudTrail 추적 구성.

    • Amazon S3 버킷 선택.

    • 접두사 설정.

    • CloudWatch Logs로의 전달 구성.

    • 암호화를 위한 AWS KMS 키 사용.

    • 로그 파일 전달의 Amazon SNS 알림 사용 설정.

    • 추적에 대한 태그 추가 및 관리.

2019년 4월 12일부터 추적이 이벤트를 로깅하는 AWS 리전에서만 해당 추적을 볼 수 있습니다. 모든 AWS 리전에서 이벤트를 로그하는 추적을 생성할 경우 해당 추적이 모든 AWS 리전의 콘솔에 표시됩니다. 단일 AWS 리전에서만 이벤트를 로그하는 추적을 생성할 경우 해당 AWS 리전에서만 추적을 보고 관리할 수 있습니다.

AWS Management Console에 대한 자세한 내용은 AWS Management Console 섹션을 참조하세요.

CloudTrail CLI

AWS Command Line Interface는 명령줄에서 CloudTrail과 상호 작용을 할 때 사용할 수 있는 통합 도구입니다. 자세한 정보는 AWS Command Line Interface 사용 설명서를 참조하세요. CloudTrail CLI 명령의 전체 목록은 사용 가능한 명령 단원을 참조하세요.

CloudTrail API

콘솔 및 CLI 외에도 CloudTrail RESTful API를 사용하여 CloudTrail을 직접 프로그래밍할 수도 있습니다. 자세한 내용은 AWS CloudTrail API 참조를 참조하세요.

AWS SDK

CloudTrail API를 사용하는 대신 AWS SDK 중 하나를 사용할 수 있습니다. 각 SDK는 다양한 프로그래밍 언어 및 플랫폼을 위한 라이브러리와 샘플 코드로 구성되어 있습니다. SDK를 사용하면 편리하게 CloudTrail에 프로그래밍 방식으로 액세스할 수 있습니다. 예를 들어, SDK를 사용하여 요청에 암호화 방식으로 서명하고, 오류를 관리하며, 자동으로 요청을 재시도할 수 있습니다. 자세한 내용은 Amazon Web Services의 도구 페이지를 참조하세요.

추적에 태그를 사용하는 이유는 무엇입니까?

태그는 CloudTrail 추적, CloudTrail 로그 파일을 저장하는 데 사용되는 Amazon S3 버킷, AWS Organizations 조직 및 조직 단위 등과 같은 AWS 리소스에 할당할 수 있는 고객 정의 키 및 선택적 값입니다. 추적에 대한 로그 파일을 저장하는 데 사용하는 Amazon S3 버킷과 추적에 동일한 태그를 추가하면 AWS Resource Groups로 이러한 리소스를 더 쉽게 관리, 검색 및 필터링할 수 있습니다. 일관적이고 효과적이며 간편한 방식으로 리소스를 찾고 관리할 수 있도록 태깅 전략을 구현할 수 있습니다. 자세한 내용은 AWS 태그 지정 전략을 참조하세요.

CloudTrail에 대한 액세스를 어떻게 제어합니까?

AWS Identity and Access Management는 Amazon Web Services(AWS) 고객이 사용자와 각 사용자 권한을 관리할 수 있도록 하는 웹 서비스입니다. IAM을 사용하면 AWS CloudTrail에 액세스해야 하는 사람을 위한 개별 사용자를 생성할 수 있습니다. 개발자 본인을 위한 IAM 사용자를 생성하고 해당 IAM 사용자에게 관리 권한을 부여하며 모든 작업에 해당 IAM 사용자를 사용할 수 있습니다. 계정에 액세스하는 사람들에 대해 개별 IAM 사용자를 생성하여 각 IAM 사용자에게 고유한 보안 자격 증명 세트를 제공할 수 있습니다. 또한 각 IAM 사용자에게 서로 다른 권한을 부여할 수도 있습니다. 필요한 경우 언제든지 IAM 사용자의 권한을 변경하거나 취소할 수 있습니다. 자세한 내용은 CloudTrail에 대한 사용자 권한 제어 단원을 참조하세요.

관리 및 데이터 이벤트를 어떻게 로그합니까?

기본적으로 추적은 AWS 계정에 대한 관리 이벤트를 로깅하지만 데이터 이벤트는 포함되지 않습니다. 원한다면 데이터 이벤트를 로깅하도록 추적을 생성하거나 업데이트할 수 있습니다. 추적 설정과 일치하는 이벤트만 Amazon S3 버킷 및 Amazon CloudWatch Logs 로그 그룹(선택 사항)에 전달됩니다. 이벤트가 추적에 대한 설정과 일치하지 않으면 추적은 이벤트를 로깅하지 않습니다. 자세한 내용은 CloudTrail 로그 파일 작업 단원을 참조하세요.

CloudTrail Insights 이벤트를 어떻게 로그합니까?

AWS CloudTrail Insights는 CloudTrail 관리 이벤트를 지속적으로 분석하여 AWS 사용자가 비정상적인 양의 API 호출 또는 API 호출에 로그된 오류를 식별하고 대응할 수 있도록 도와줍니다. Insights 이벤트는 write 관리 API 활동의 비정상적인 수준 또는 관리 API 활동에서 반환된 비정상적인 수준의 오류에 대한 기록입니다. 인사이트 이벤트의 세부 정보 페이지에는 이벤트가 비정상적인 활동의 그래프로 표시되고, 비정상적인 활동의 시작 및 종료 시간과 함께 작업이 비정상적인지 여부를 확인하는 데 사용되는 기준 요소가 표시됩니다. 기본적으로 추적은 CloudTrail Insights 이벤트를 로그하지 않습니다. 콘솔에서 추적을 생성하거나 업데이트할 때 Insights 이벤트를 로그하도록 선택할 수 있습니다. CloudTrail API를 사용할 때 PutInsightSelectors API로 기존 추적 설정을 편집하여 Insights 이벤트를 로그할 수 있습니다. CloudTrail Insights 이벤트 로깅에는 추가 요금이 부과됩니다. 자세한 내용은 추적에 대한 Insights 이벤트 로깅AWS CloudTrail 요금을 참조하세요.

CloudTrail에 의해 기록된 이벤트에 대한 복잡한 쿼리를 어떻게 실행합니까?

CloudTrail Lake를 사용하면 이벤트에 대해 정밀한 SQL 기반 쿼리를 실행할 수 있습니다. CloudTrail Lake를 사용하기 위해 계정에 트레일을 구성할 필요는 없습니다. 이벤트 데이터 스토어는 고급 이벤트 선택기를 적용하여 선택한 기준을 기반으로 하는 변경 불가능한 이벤트 컬렉션입니다. 이벤트 데이터는 최대 7년 동안 이벤트 데이터 스토어에 보관할 수 있습니다. 나중에 사용할 수 있도록 Lake 쿼리를 저장하고 최대 7일 동안 쿼리 결과를 볼 수 있습니다. CloudTrail Lake는 이벤트 데이터 스토어 또는 여러 리전 및 계정의 이벤트 내 AWS Organizations에 조직의 이벤트를 저장할 수도 있습니다. CloudTrail Lake는 보안 조사 및 문제 해결을 수행하는 데 도움이 되는 감사 솔루션의 일부입니다. 자세한 내용은 AWS CloudTrail Lake 작업 단원을 참조하세요.

CloudTrail을 사용하여 어떻게 모니터링을 수행합니까?

CloudWatch Logs, CloudWatch Events, CloudTrail

Amazon CloudWatch는 지표를 수집하고 추적하여 AWS에서 실행하는 Amazon Web Services(AWS) 리소스와 애플리케이션을 모니터링하는 웹 서비스입니다. Amazon CloudWatch Logs는 특히 로그 데이터를 모니터링하는 데 사용할 수 있는 CloudWatch 기능입니다. CloudWatch Logs와의 통합을 통해 CloudTrail은 AWS 계정의 API 활동이 포함된 이벤트를 CloudWatch Logs 로그 그룹에 전송할 수 있습니다. CloudWatch Logs에 전송되는 CloudTrail 이벤트는 정의한 지표 필터에 따라 경보를 트리거할 수 있습니다. 선택적으로 지표 필터가 추출하는 로그 스트림 이벤트를 기반으로 모니터링 중인 리소스를 변경하거나 알림을 전송하도록 CloudWatch 경보를 구성할 수 있습니다. CloudWatch Logs를 사용하면 CloudWatch Logs에 전송된 운영 체제, 애플리케이션 또는 기타 AWS 서비스의 이벤트와 함께 CloudTrail 이벤트를 추적할 수도 있습니다. 자세한 내용은 Amazon CloudWatch Logs로 CloudTrail 로그 파일 모니터링 단원을 참조하세요.

Amazon CloudWatch Events는 AWS 리소스의 변경 사항을 설명하는 시스템 이벤트의 스트림을 거의 실시간으로 전달하는 AWS 서비스입니다. CloudWatch Events에서는 CloudTrail에 의해 기록된 이벤트에서 트리거되는 규칙을 생성할 수 있습니다. 자세한 내용은 AWS CloudTrail을 사용하여 AWS API 호출에서 트리거되는 CloudWatch Events 규칙 생성 단원을 참조하세요.

Insights 이벤트는 CloudWatch와 통합됩니다. Insights 이벤트를 포함하여 추적에서 구독한 이벤트를 CloudWatch Events 및 CloudWatch Logs에 전달할 수 있습니다. CloudWatch 콘솔 또는 API를 사용하여 CloudWatch Events를 구성하려면 CloudWatch 콘솔의 [규칙 생성(Create rule)] 페이지에서 AWS Insight via CloudTrail 이벤트 유형을 선택합니다.

CloudTrail에 의해 로그된 데이터를 CloudWatch Logs 또는 CloudWatch Events에 전송하려면 추적이 하나 이상 있어야 합니다. 추적 생성 방법에 대한 자세한 내용은 추적 생성 단원을 참조하십시오.

CloudTrail은 리전 및 글로벌에서 어떻게 동작합니까?

모든 리전 또는 단일 리전에 추적을 적용할 수 있습니다. 모범 사례로, 작업 중인 AWS 파티션의 모든 리전에 적용되는 추적을 생성합니다. 이렇게 하는 것이 CloudTrail 콘솔에서 추적을 생성할 때의 기본 설정입니다.

참고

추적 활성화란 추적을 생성하고 Amazon S3 버킷에 CloudTrail 이벤트 로그 파일을 전달하기 시작한다는 의미입니다. CloudTrail 콘솔에서 추적을 생성하면 로깅이 자동으로 활성화됩니다.

추적을 모든 리전에 적용할 경우 이점은 무엇입니까?

모든 AWS 리전에 적용되는 추적에는 다음과 같은 이점이 있습니다.

  • 추적에 대한 구성 설정이 모든 AWS 리전에서 일관적으로 적용됩니다.

  • 단일 Amazon S3 버킷 및 선택적으로 CloudWatch Logs 로그 그룹의 모든 AWS 리전에서 CloudTrail 이벤트를 수신합니다.

  • 한 위치에서 모든 AWS 리전에 대한 추적 구성을 관리합니다.

  • 새 AWS 리전에서 이벤트를 즉시 수신합니다. 새 AWS 리전이 시작되면 CloudTrail은 원래 추적과 동일한 설정을 사용하여 새 리전에 모든 리전 추적의 복사본을 자동으로 생성합니다.

  • 비정상적인 활동을 모니터링하기 위해 자주 사용하지 않는 AWS 리전에서 추적을 생성할 필요는 없습니다. AWS 리전의 활동은 모든 AWS 리전에 적용되는 추적에서 로깅됩니다.

추적을 모든 리전에 적용하면 어떻게 됩니까?

모든 AWS 리전에 추적을 적용하면 CloudTrail은 특정 리전에서 생성한 추적을 사용하여 계정의 다른 모든 리전에 동일한 구성으로 추적을 생성합니다.

이렇게 하면 다음과 같은 효과가 발생합니다.

  • CloudTrail은 모든 AWS 리전의 계정 활동에 대한 로그 파일을 지정된 단일 Amazon S3 버킷에 전달하고 선택적으로 CloudWatch Logs 로그 그룹에도 전달합니다.

  • 추적에 대해 Amazon SNS 주제를 구성한 경우 모든 AWS 리전의 로그 파일 전달에 관한 SNS 알림이 해당 단일 SNS 주제에 전송됩니다.

  • 로그 파일 무결성 확인을 활성화하면 모든 AWS 리전의 추적에 대해 로그 파일 무결성 확인이 활성화됩니다. 자세한 내용은 CloudTrail 로그 파일 무결성 검증 단원을 참조하세요.

리전별 다중 추적

개발자, 보안 직원 및 IT 감사자 등 서로 다르지만 관련된 사용자 그룹이 있는 경우 리전별로 여러 추적을 생성할 수 있습니다. 이렇게 하면 각 그룹이 고유한 로그 파일 사본을 수신할 수 있습니다.

CloudTrail은 리전별로 5개의 추적을 지원합니다. 모든 AWS 리전에 적용되는 추적은 모든 리전에서 한 추적으로 계산됩니다.

다음 예제은 5개의 추적이 있는 리전입니다.

  • 미국 서부(캘리포니아 북부) 리전에 이 리전에만 적용되는 추적 2개를 생성합니다.

  • 미국 서부(캘리포니아 북부) 리전에 모든 AWS 리전에 적용되는 추적 2개를 추가로 생성합니다.

  • 아시아 태평양(시드니) 리전에 모든 AWS 리전에 적용되는 추적을 생성합니다. 이 추적은 미국 서부(캘리포니아 북부) 리전에도 추적으로 존재합니다.

추적은 존재하는 AWS 리전에 나타납니다. 모든 AWS 리전에서 이벤트를 로깅하는 추적은 모든 리전에 나타납니다. CloudTrail 콘솔의 [추적(Trails)] 페이지에서 AWS 리전의 추적 목록을 볼 수 있습니다. 자세한 내용은 추적 업데이트 단원을 참조하세요. CloudTrail 요금은 AWS CloudTrail 요금을 참조하세요.

AWS Security Token Service 및 CloudTrail

AWS Security Token Service(AWS STS)는 글로벌 엔드포인트가 있고 리전별 엔드포인트도 지원하는 서비스입니다. 종단점은 웹 서비스 요청에 대한 진입점인 URL입니다. 예를 들어 https://cloudtrail.us-west-2.amazonaws.com은 AWS CloudTrail 서비스에 대한 미국 서부(오레곤) 리전의 진입점입니다. 리전 종단점은 애플리케이션의 지연 시간을 줄이는 데 유용합니다.

AWS STS 리전 엔드포인트를 사용하면 해당 리전의 추적은 해당 리전에 발생한 AWS STS 이벤트만 전송합니다. 예를 들어, 엔드포인트 sts.us-west-2.amazonaws.com을 사용하면 us-west-2의 추적은 us-west-2에서 비롯된 AWS STS 이벤트만 전송합니다. AWS STS 리전 엔드포인트에 대한 자세한 내용은 IAM 사용 설명서AWS 리전에서 AWS STS 활성화 및 비활성화 단원을 참조하세요.

AWS 리전 엔드포인트의 전체 목록은 AWS 일반 참조AWS 리전 및 엔드포인트 단원을 참조하세요. 전역적 AWS STS 엔드포인트의 이벤트에 대한 자세한 내용은 글로벌 서비스 이벤트 단원을 참조하세요.

글로벌 서비스 이벤트

중요

2021년 11월 22일 기준으로 AWS CloudTrail는 글로벌 서비스 이벤트를 캡처하는 데 추적을 사용할 수 있는 방법을 변경합니다. 변경 후 CloudFront, IAM 및 AWS STS는 생성된 리전인 미국 동부(버지니아 북부) 리전(us-east-1)에서 기록됩니다. 따라서 CloudTrail은 이러한 서비스를 다른 AWS 글로벌 서비스와 일관되게 처리할 수 있습니다.

미국 동부(버지니아 북부) 이외의 지역에서 글로벌 서비스 이벤트를 계속 수신하려면 반드시 미국 동부(버지니아 북부) 이외의 글로벌 서비스 이벤트를 사용하는 단일 리전 추적다중 리전 추적으로 변환해야 합니다. 또한 글로벌 서비스 이벤트를 볼 수 있도록 조회 이벤트 API 호출의 리전을 업데이트합니다. CLI를 사용하여 글로벌 서비스 이벤트에 대한 추적 생성 및 조회 이벤트 업데이트에 대한 자세한 내용은 AWS CLI를 사용하여 CloudTrail 이벤트 보기update-trail 사용 단원을 참조하세요.

대부분의 서비스의 경우 이벤트는 작업이 발생한 리전에 기록됩니다. AWS Identity and Access Management(IAM), AWS STS, Amazon CloudFront와 같은 글로벌 서비스의 경우 이벤트는 글로벌 서비스를 포함하는 추적에 전달됩니다.

대부분의 글로벌 서비스의 경우 이벤트는 미국 동부(버지니아 북부) 리전에서 발생한 것으로 로그되지만, 일부 글로벌 서비스 이벤트는 미국 동부(오하이오) 리전 또는 미국 서부(오레곤) 리전과 같은 다른 리전에서 발생한 것으로 로그됩니다.

중복 전역적 서비스 이벤트를 수신하지 않으려면 다음을 알아두십시오.

  • 기본적으로 글로벌 서비스 이벤트는 CloudTrail 콘솔을 사용하여 생성되는 추적에 전달됩니다. 이벤트는 추적에 대한 버킷으로 전송됩니다.

  • 단일 리전 추적이 여러 개 있는 경우 글로벌 서비스 이벤트가 추적 중 하나에만 전송되도록 추적을 구성하는 것이 좋습니다. 자세한 내용은 글로벌 서비스 이벤트 로깅 활성화 및 비활성화 단원을 참조하세요.

  • 모든 리전 로깅에서 단일 리전 로깅으로 추적 구성을 변경하면 글로벌 서비스 이벤트 로깅은 해당 추적에 대해 자동으로 꺼집니다. 마찬가지로, 단일 리전 로깅에서 모든 리전 로깅으로 추적 구성을 변경하면 글로벌 서비스 이벤트 로깅은 해당 추적에 대해 자동으로 켜집니다.

    추적에 대해 글로벌 서비스 이벤트 로깅을 변경하는 방법에 대한 자세한 내용은 글로벌 서비스 이벤트 로깅 활성화 및 비활성화 단원을 참조하십시오.

예:

  1. CloudTrail 콘솔에서 추적을 생성합니다. 기본적으로 이 추적은 전역적 서비스 이벤트를 로깅합니다.

  2. 단일 리전 추적이 여러 개 있습니다.

  3. 단일 리전 추적에 대한 전역적 서비스를 포함할 필요가 없습니다. 전역적 서비스 이벤트는 첫 번째 추적에 전달됩니다. 자세한 내용은 AWS Command Line Interface를 사용하여 추적 생성, 업데이트 및 관리 단원을 참조하세요.

참고

AWS CLI, AWS SDK 또는 CloudTrail API를 사용하여 추적을 생성 또는 업데이트할 때 추적에 대한 글로벌 서비스 이벤트를 포함하거나 제외할지 여부를 지정할 수 있습니다. CloudTrail 콘솔에서 글로벌 서비스 이벤트 로깅을 구성할 수 없습니다.

CloudTrail은 다른 AWS 모니터링 서비스와 어떤 관련이 있습니까?

CloudTrail은 이미 AWS에서 제공하는 모니터링 기능에 또 다른 차원을 추가합니다. Amazon S3 또는 Amazon CloudFront 구독과 같이 이미 사용 중일 수 있는 로깅 기능을 변경하거나 대체하지 않습니다. Amazon CloudWatch는 성능 모니터링 및 시스템 상태에 중점을 둡니다. CloudTrail은 API 활동에 중점을 둡니다. CloudTrail은 시스템 성능 또는 상태에 대해 보고하지 않지만, CloudWatch 경보와 함께 CloudTrail을 사용하면 관심이 있는 활동에 관해 알림을 받을 수 있습니다.

파트너 솔루션

AWS는 CloudTrail 출력을 사용하는 솔루션을 제공하기 위해 서드 파티 로깅 및 분석 전문가와 협력합니다. 자세한 내용은 AWS CloudTrail의 CloudTrail 세부 정보 페이지를 참조하세요.