CloudTrail 개념 - AWS CloudTrail

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

CloudTrail 개념

이 섹션에서는 과 관련된 CloudTrail 기본 개념을 요약합니다.

CloudTrail 이벤트

의 이벤트는 AWS 계정에서의 CloudTrail 활동 기록입니다. 이 활동은 IAM ID 또는 모니터링 가능한 서비스에서 취한 조치일 수 있습니다. CloudTrail CloudTrail이벤트는 AWS Management Console, AWS SDK, 명령줄 도구 및 기타 서비스를 통해 이루어진 API 및 비 API 계정 활동의 기록을 제공합니다. AWS

CloudTrail 로그 파일은 공개 API 호출의 정렬된 스택 트레이스가 아니므로 이벤트가 특정 순서로 표시되지 않습니다.

CloudTrail 세 가지 유형의 이벤트를 기록합니다.

모든 이벤트 유형은 CloudTrail JSON 로그 형식을 사용합니다.

기본적으로 추적 및 이벤트 데이터 스토어는 관리 이벤트를 로그하지만 데이터 또는 Insights 이벤트는 로그하지 않습니다.

와 AWS 서비스 통합하는 방법에 대한 자세한 내용은 CloudTrail 을 참조하십시오AWS 에 대한 서비스 주제 CloudTrail.

관리 이벤트

관리 이벤트는 AWS 계정의 리소스에 대해 수행되는 관리 작업에 대한 정보를 제공합니다. 이를 제어 영역 작업이라고도 합니다.

예제 관리 이벤트에는 다음이 포함됩니다.

  • 보안 구성 (예: AWS Identity and Access Management AttachRolePolicy API 작업).

  • 디바이스 등록(예: Amazon EC2 CreateDefaultVpc API 작업)

  • 데이터 라우팅 규칙 구성(예: Amazon EC2 CreateSubnet API 작업)

  • 로깅 설정 (예: AWS CloudTrail CreateTrail API 작업)

관리 이벤트에는 귀하의 계정에서 발생한 비 API 이벤트도 포함될 수 있습니다. 예를 들어, 사용자가 계정에 CloudTrail 로그인하면 ConsoleLogin 이벤트를 기록합니다. 자세한 정보는 에서 캡처한 비 API 이벤트 CloudTrail을 참조하세요.

기본적으로 CloudTrail 트레일 및 CloudTrail 레이크 이벤트 데이터는 로그 관리 이벤트를 저장합니다. 관리 이벤트 로깅에 대한 자세한 내용은 을 참조하십시오관리 이벤트 로깅.

데이터 이벤트

데이터 이벤트는 리소스 상에서, 또는 리소스 내에서 수행되는 리소스 작업에 대한 정보를 제공합니다. 이를 데이터 영역 작업이라고도 합니다. 데이터 이벤트가 대량 활동인 경우도 있습니다.

예제 데이터 이벤트에는 다음이 포함됩니다.

다음 표는 추적 및 이벤트 데이터 스토어에 사용할 수 있는 데이터 이벤트 유형을 보여 줍니다. Data event type(데이터 이벤트 유형)(콘솔) 열에는 콘솔의 적절한 선택 항목이 표시됩니다. resources.type 값 열에는 또는 API를 사용하여 트레일 또는 이벤트 데이터 저장소에 해당 유형의 데이터 이벤트를 포함하도록 지정하는 resources.type 값이 표시됩니다. AWS CLI CloudTrail

트레일의 경우 기본 또는 고급 이벤트 선택기를 사용하여 범용 버킷, Lambda 함수 및 DynamoDB 테이블 (표의 처음 세 행 참조) 에서 Amazon S3 객체에 대한 데이터 이벤트를 로깅할 수 있습니다. 나머지 행에 표시된 데이터 이벤트 유형은 고급 이벤트 선택기만을 사용하여 로그할 수 있습니다.

이벤트 데이터 스토어는 데이터 이벤트를 포함하려면 고급 이벤트 선택기만을 사용해야 합니다.

AWS 서비스 설명 데이터 이벤트 유형(콘솔) resources.type 값
Amazon DynamoDB

테이블에서의 Amazon DynamoDB 항목 수준 API 활동 (예:PutItem,, DeleteItem 및 API 작업). UpdateItem

참고

스트림이 활성화된 테이블의 경우 데이터 이벤트의 resources 필드에 AWS::DynamoDB::StreamAWS::DynamoDB::Table이 모두 포함됩니다. resources.type으로 AWS::DynamoDB::Table을 지정하는 경우 기본적으로 DynamoDB 테이블과 DynamoDB 스트림 이벤트가 모두 로깅됩니다. 스트림 이벤트를 제외하려면 필드에 필터를 추가하십시오. eventName

DynamoDB

AWS::DynamoDB::Table

AWS Lambda

AWS Lambda 함수 실행 활동 (InvokeAPI).

Lambda AWS::Lambda::Function
Amazon S3

범용 버킷의 객체에 대한 Amazon S3 객체 수준 PutObject API 활동 (예: GetObjectDeleteObject,, 및 API 작업)

S3 AWS::S3::Object
AWS AppConfig

AWS AppConfig 및 호출과 같은 구성 작업을 위한 API 활동. StartConfigurationSession GetLatestConfiguration

AWS AppConfig AWS::AppConfig::Configuration
AWS B2B 데이터 교환

GetTransformerJobStartTransformerJob 호출과 같은 Transformer 작업을 위한 B2B Data Interchange API 활동

B2B Data Interchange AWS::B2BI::Transformer
Amazon Bedrock 에이전트 별칭에 대한 Amazon Bedrock API 활동 Bedrock 에이전트 별칭 AWS::Bedrock::AgentAlias
Amazon Bedrock 지식 기반에 대한 Amazon Bedrock API 활동 Bedrock 지식 기반 AWS::Bedrock::KnowledgeBase
아마존 CloudFront

CloudFront a에서의 API 활동 KeyValueStore.

CloudFront KeyValueStore AWS::CloudFront::KeyValueStore
AWS Cloud Map AWS Cloud Map 네임스페이스에서의 API 활동. AWS Cloud Map 네임스페이스 AWS::ServiceDiscovery::Namespace
AWS Cloud Map AWS Cloud Map 서비스에서의 API 활동. AWS Cloud Map service AWS::ServiceDiscovery::Service
AWS CloudTrail

CloudTrail PutAuditEvents외부 이벤트를 기록하는 데 사용되는 CloudTrail Lake 채널에서의 활동 AWS.

CloudTrail 채널 AWS::CloudTrail::Channel
아마존 CloudWatch

지표에 대한 Amazon CloudWatch API 활동.

CloudWatch 메트릭 AWS::CloudWatch::Metric
아마존 CodeWhisperer 사용자 지정에 대한 Amazon CodeWhisperer API 활동. CodeWhisperer 사용자 지정 AWS::CodeWhisperer::Customization
아마존 CodeWhisperer 프로필에서의 아마존 CodeWhisperer API 활동. CodeWhisperer AWS::CodeWhisperer::Profile
Amazon Cognito

Amazon Cognito 자격 증명 풀에서의 Amazon Cognito API 활동.

Cognito 자격 증명 풀 AWS::Cognito::IdentityPool
Amazon DynamoDB

스트림에서의 Amazon DynamoDB API 활동

DynamoDB Streams AWS::DynamoDB::Stream
Amazon Elastic Block Store

Amazon Elastic Block Store(EBS) 다이렉트 API(예: Amazon EBS 스냅샷의 PutSnapshotBlock, GetSnapshotBlock, ListChangedBlocks).

Amazon EBS 다이렉트 API AWS::EC2::Snapshot
Amazon EMR 미리 쓰기 로그 작업 영역에서의 Amazon EMR API 활동. EMR 미리 쓰기 로그 작업 영역 AWS::EMRWAL::Workspace
Amazon FinSpace

환경에서의 Amazon FinSpace API 활동

FinSpace AWS::FinSpace::Environment
AWS Glue

AWS Glue Lake Formation에서 생성한 테이블에서의 API 활동

Lake Formation AWS::Glue::Table
아마존 GuardDuty

탐지기를 위한 Amazon GuardDuty API 활동.

GuardDuty 감지기 AWS::GuardDuty::Detector
AWS HealthImaging

AWS HealthImaging 데이터 스토어에서의 API 활동.

MedicalImaging 데이터 스토어 AWS::MedicalImaging::Datastore
AWS IoT

AWS IoT 인증서에 대한 API 활동.

IoT 인증서 AWS::IoT::Certificate
AWS IoT

AWS IoT 사물에 대한 API 활동.

IoT 관련 AWS::IoT::Thing
AWS IoT Greengrass Version 2

구성 요소 버전의 그린그래스 코어 디바이스에서의 Greengrass API 활동

참고

Greengrass는 액세스 거부 이벤트를 기록하지 않습니다.

IoT 그린그래스 컴포넌트 버전 AWS::GreengrassV2::ComponentVersion
AWS IoT Greengrass Version 2

배포 시 그린그래스 코어 디바이스에서의 그린그래스 API 활동

참고

Greengrass는 액세스 거부 이벤트를 기록하지 않습니다.

IoT 그린그래스 배포 AWS::GreengrassV2::Deployment
AWS IoT SiteWise

자산에 대한 IoT SiteWise API 활동.

IoT SiteWise 자산 AWS::IoTSiteWise::Asset
AWS IoT SiteWise

시계열에 따른 IoT SiteWise API 활동.

IoT SiteWise 시계열 AWS::IoTSiteWise::TimeSeries
AWS IoT TwinMaker

엔티티에서의 IoT TwinMaker API 활동.

IoT TwinMaker 엔티티 AWS::IoTTwinMaker::Entity
AWS IoT TwinMaker

작업 공간에서의 IoT TwinMaker API 활동.

IoT TwinMaker 워크스페이스 AWS::IoTTwinMaker::Workspace
Amazon Kendra Intelligent Ranking

재평가 실행 계획에 대한 Amazon Kendra Intelligent Ranking API 활동.

Kendra Ranking AWS::KendraRanking::ExecutionPlan
Amazon Keyspaces(Apache Cassandra용) 테이블에서의 Amazon Keyspaces API 활동. 카산드라 테이블 AWS::Cassandra::Table
Amazon Kinesis Data Streams 스트림에서의 Kinesis Data Streams API 활동. Kinesis 스트림 AWS::Kinesis::Stream
Amazon Kinesis Data Streams 스트림 소비자에 대한 Kinesis Data Streams API 활동. Kinesis 스트림 컨슈머 AWS::Kinesis::StreamConsumer
Amazon Kinesis Video Streams 비디오 스트림에서의 Kinesis Video Streams API 활동 (예: 및 에 대한 호출GetMedia) PutMedia Kinesis 비디오 스트림 AWS::KinesisVideo::Stream
Amazon Machine Learning ML 모델에서의 Machine Learning API 활동. 매칭 러닝 MlModel AWS::MachineLearning::MlModel
Amazon Managed Blockchain

네트워크에서의 Amazon Managed Blockchain API 활동

Managed Blockchain 네트워크 AWS::ManagedBlockchain::Network
Amazon Managed Blockchain

Ethereum 노드에서의 Amazon Managed Blockchain JSON-RPC 호출(예: eth_getBalance 또는 eth_getBlockByNumber)

Managed Blockchain AWS::ManagedBlockchain::Node
Amazon Neptune Graph

Neptune Graph에 대한 데이터 API 활동(예: 쿼리, 알고리즘 또는 벡터 검색)

Neptune Graph AWS::NeptuneGraph::Graph
AWS Private CA

AWS Private CA 액티브 디렉터리 API 활동을 위한 커넥터.

AWS Private CA 액티브 디렉터리용 커넥터 AWS::PCAConnectorAD::Connector
AWS Private CA

AWS Private CA SCEP API 활동을 위한 커넥터.

AWS Private CA SCEP용 커넥터 AWS::PCAConnectorSCEP::Connector
아마존 Q 앱

Amazon Q 앱에서의 데이터 API 활동.

아마존 Q 앱 AWS::QApps:QApp
Amazon Q 비즈니스용

애플리케이션에 대한 Amazon Q Business API 활동

Amazon Q Business 애플리케이션 AWS::QBusiness::Application
Amazon Q 비즈니스용

데이터 소스에 대한 Amazon Q Business API 활동

Amazon Q Business 데이터 소스 AWS::QBusiness::DataSource
Amazon Q 비즈니스용

인덱스에 대한 Amazon Q Business API 활동

Amazon Q Business 인덱스 AWS::QBusiness::Index
Amazon Q 비즈니스용

웹 경험에 대한 Amazon Q Business API 활동

Amazon Q Business 웹 경험 AWS::QBusiness::WebExperience
Amazon RDS

DB 클러스터에서의 Amazon RDS API 활동.

RDS 데이터 API - DB 클러스터 AWS::RDS::DBCluster
Amazon S3

액세스 포인트에서의 Amazon S3 API 활동.

S3 액세스 포인트 AWS::S3::AccessPoint
Amazon S3

Amazon S3 오브젝트 Lambda는 및 에 대한 호출과 같은 API 활동을 액세스합니다. CompleteMultipartUpload GetObject

S3 객체 Lambda AWS::S3ObjectLambda::AccessPoint
Outposts에서의 Amazon S3

Amazon S3 on Outposts 객체 수준 API 활동

S3 Outposts AWS::S3Outposts::Object
아마존 SageMaker 엔드포인트에서의 Amazon SageMaker InvokeEndpointWithResponseStream활동. SageMaker 엔드포인트 AWS::SageMaker::Endpoint
아마존 SageMaker

피처 스토어에서의 Amazon SageMaker API 활동.

SageMaker 기능 스토어 AWS::SageMaker::FeatureGroup
아마존 SageMaker

실험 시험 구성 요소에 대한 Amazon SageMaker API 활동.

SageMaker 메트릭, 실험, 시험 구성 요소 AWS::SageMaker::ExperimentTrialComponent
Amazon SNS

플랫폼 엔드포인트에서 Amazon SNS Publish API 작업을 수행합니다.

SNS 플랫폼 엔드포인트 AWS::SNS::PlatformEndpoint
Amazon SNS

주제에 따른 Amazon SNS PublishPublishBatch API 운영입니다.

SNS 주제 AWS::SNS::Topic
Amazon SQS

메시지에 대한 Amazon SQS API 활동

SQS AWS::SQS::Queue
AWS Step Functions

스테이트 머신에서의 Step Functions API 액티비티.

Step Functions 상태 시스템 AWS::StepFunctions::StateMachine
AWS Supply Chain

AWS Supply Chain 인스턴스에서의 API 활동.

공급망 AWS::SCN::Instance
Amazon SWF

도메인에서의 Amazon SWF API 활동.

SWF 도메인 AWS::SWF::Domain
AWS Systems Manager 제어 채널에서의 Systems Manager API 활동 Systems Manager AWS::SSMMessages::ControlChannel
AWS Systems Manager 관리형 노드에서의 Systems Manager API 활동 Systems Manager 관리형 노드 AWS::SSM::ManagedNode
Amazon Timestream 데이터베이스에서의 Amazon Timestream Query API 활동 Timestream 데이터베이스 AWS::Timestream::Database
Amazon Timestream 테이블에서의 Amazon Timestream QueryAPI 활동. Timestream 테이블 AWS::Timestream::Table
Amazon Verified Permissions

정책 스토어에서의 Amazon Verified Permissions API 활동.

Amazon Verified Permissions AWS::VerifiedPermissions::PolicyStore
아마존 WorkSpaces 씬 클라이언트 WorkSpaces 디바이스에서의 씬 클라이언트 API 활동. 씬 클라이언트 디바이스 AWS::ThinClient::Device
아마존 WorkSpaces 씬 클라이언트 WorkSpaces 환경에서의 씬 클라이언트 API 활동. 씬 클라이언트 환경 AWS::ThinClient::Environment
AWS X-Ray

트레이스에 대한 X-Ray API 활동.

X-Ray 트레이스 AWS::XRay::Trace

추적 또는 이벤트 데이터 스토어를 생성하면 데이터 이벤트는 기본적으로 로깅되지 않습니다. CloudTrail 데이터 이벤트를 기록하려면 활동을 수집하려는 지원되는 리소스 또는 리소스 유형을 명시적으로 추가해야 합니다. 데이터 이벤트 로깅에 대한 자세한 내용은 데이터 이벤트 로깅 섹션을 참조하세요.

데이터 이벤트 로깅에는 추가 요금이 부과됩니다. CloudTrail 요금은 요금을 참조하십시오AWS CloudTrail .

인사이트 이벤트

CloudTrail Insights 이벤트는 CloudTrail 관리 활동을 분석하여 AWS 계정의 비정상적인 API 호출률 또는 오류율 활동을 캡처합니다. Insights 이벤트는 관련 API, 오류 코드, 인시던트 시간, 통계 등 비정상적인 활동을 파악하고 이에 대한 조치를 취하는 데 도움이 되는 관련 정보를 제공합니다. CloudTrail 트레일 또는 이벤트 데이터 스토어에서 캡처된 다른 유형의 이벤트와 달리 Insights 이벤트는 계정의 일반적인 사용 패턴과 크게 다른 계정의 API 사용 또는 오류율 로깅 변경을 CloudTrail 감지한 경우에만 로깅됩니다.

Insights 이벤트를 생성할 수 있는 활동의 예는 다음과 같습니다.

  • 계정이 일반적으로 분당 20건 이하의 Amazon S3 deleteBucket API 호출을 로그하는데, 계정에서 분당 평균 100건의 deleteBucket API 호출을 로그하기 시작합니다. 인사이트 이벤트는 비정상적인 활동이 시작될 때 로깅되고, 다른 인사이트 이벤트는 비정상적인 활동의 종료를 표시하기 위해 로깅됩니다.

  • 계정이 일반적으로 분당 20건의 Amazon EC2 AuthorizeSecurityGroupIngress API 호출을 로그하는데, 계정에서 0건의 AuthorizeSecurityGroupIngress 호출을 로그하기 시작합니다. 인사이트 이벤트는 비정상적인 활동이 시작될 때 로깅되고, 10분 후 비정상적인 활동이 종료될 때 비정상적 활동의 종료를 표시하기 위해 다른 인사이트 이벤트가 로깅됩니다.

  • 계정은 일반적으로 AWS Identity and Access Management API, DeleteInstanceProfile에서 7일 동안 1개 미만의 AccessDeniedException 오류를 로그합니다. 계정에서 DeleteInstanceProfile API 호출에서 분당 평균 12개의 AccessDeniedException 오류를 로그하기 시작합니다. 인사이트 이벤트는 비정상적인 오류율 활동이 시작될 때 로그되고, 다른 인사이트 이벤트는 비정상적인 활동의 종료를 표시하기 위해 로그됩니다.

이러한 예제는 설명용으로만 제공됩니다. 사용 사례에 따라 결과가 달라질 수 있습니다.

CloudTrail Insights 이벤트를 로깅하려면 신규 또는 기존 트레일 또는 이벤트 데이터 스토어에서 Insights 이벤트를 명시적으로 활성화해야 합니다. 추적 생성에 대한 자세한 내용은 CloudTrail 콘솔로 트레일 만들기을 참조하세요. 이벤트 데이터 스토어 생성에 대한 자세한 내용은 콘솔을 사용하여 Insights 이벤트용 이벤트 데이터 저장소를 생성하십시오. 섹션을 참조하세요.

Insights 이벤트 적용에는 추가 요금이 부과됩니다. 추적과 이벤트 데이터 스토어 모두에 대해 Insights를 활성화하면 요금이 별도로 부과됩니다. 자세한 내용은 AWS CloudTrail 요금을 참조하십시오.

이벤트 기록

CloudTrail 이벤트 기록은 지난 90일간의 관리 이벤트에 대한 보기, 검색, 다운로드 및 변경 불가능한 기록을 제공합니다. CloudTrail AWS 리전이 기록을 사용하여 AWS Management Console, AWS SDK, 명령줄 도구 및 기타 서비스를 통해 AWS 계정에서 수행된 작업을 파악할 수 있습니다. AWS 표시되는 열을 선택하여 CloudTrail 콘솔에서 이벤트 기록 보기를 사용자 지정할 수 있습니다. 자세한 정보는 CloudTrail 이벤트 기록 다루기을 참조하세요.

추적

트레일은 CloudTrail 이벤트를 S3 버킷으로 전송하고 CloudWatch LogsAmazon으로의 선택적 전송을 가능하게 하는 EventBridge 구성입니다. 트레일을 사용하여 전달하려는 CloudTrail 이벤트를 선택하고, AWS KMS 키로 CloudTrail 이벤트 로그 파일을 암호화하고, 로그 파일 전송을 위한 Amazon SNS 알림을 설정할 수 있습니다. 추적 생성 및 관리에 대한 자세한 내용은 나만의 트레일 만들기 AWS 계정 단원을 참조하십시오.

다중 지역 및 단일 지역 트레일

여러 지역 트레일과 단일 지역 트레일이라는 두 가지 유형의 트레일을 만들 수 있습니다 AWS 계정.

다지역 트레일

멀티 리전 트레일을 생성하면 작업 중인 AWS 파티션의 모든 AWS 리전 이벤트를 CloudTrail 기록하고 지정한 S3 버킷으로 CloudTrail 이벤트 로그 파일을 전송합니다. 멀티 리전 트레일을 생성한 후 AWS 리전 가 추가되면 새 리전이 자동으로 포함되고 해당 리전의 이벤트가 로깅됩니다. 계정의 모든 리전에서 활동을 캡처하므로, 다중 리전 추적 생성이 권장하는 모범 사례입니다. CloudTrail 콘솔을 사용하여 생성하는 모든 트레일은 다중 지역입니다. 를 사용하여 단일 지역 트레일을 다중 지역 트레일로 변환할 수 있습니다. AWS CLI자세한 내용은 콘솔에서 추적 생성한 리전에 적용되는 추적을 모든 리전에 적용되는 추적으로 변환 섹션을 참조하세요.

단일 지역 트레일

단일 지역 트레일을 만들 때는 해당 지역의 이벤트만 CloudTrail 기록합니다. 그런 다음 지정한 Amazon S3 버킷으로 CloudTrail 이벤트 로그 파일을 전송합니다. AWS CLI를 사용하면 단일 리전 추적만 생성할 수 있습니다. 단일 트레일을 추가로 생성하는 경우 해당 트레일이 CloudTrail 이벤트 로그 파일을 동일한 S3 버킷 또는 별도의 버킷으로 전송하도록 할 수 있습니다. AWS CLI 또는 API를 사용하여 트레일을 생성할 때의 기본 옵션입니다. CloudTrail 자세한 정보는 를 사용하여 트레일 생성, 업데이트 및 관리 AWS CLI을 참조하세요.

참고

두 유형의 추적 모두에 대해 모든 리전에서 Amazon S3 버킷을 지정할 수 있습니다.

다중 지역 트레일에는 다음과 같은 이점이 있습니다.

  • 트레일의 구성 설정은 모든 AWS 리전트레일에 일관되게 적용됩니다.

  • 단일 Amazon S3 버킷 및 선택적으로 CloudWatch Logs 로그 그룹에 있는 모든 CloudTrail AWS 리전 이벤트로부터 이벤트를 수신합니다.

  • 한 AWS 리전 위치에서 모든 트레일 구성을 관리할 수 있습니다.

모든 AWS 지역에 트레일을 적용하는 경우 는 특정 지역에서 생성한 트레일을 CloudTrail 사용하여 작업 중인 AWS 파티션의 다른 모든 리전에 동일한 구성의 트레일을 생성합니다.

이렇게 하면 다음과 같은 효과가 발생합니다.

  • CloudTrail 모든 AWS 지역의 계정 활동에 대한 로그 파일을 지정한 단일 Amazon S3 버킷으로, 그리고 선택적으로 CloudWatch Logs log 그룹에 전송합니다.

  • Amazon SNS 주제를 트레일에 구성한 경우 모든 AWS 지역의 로그 파일 전송에 대한 SNS 알림이 해당 단일 SNS 주제로 전송됩니다.

트레일이 다중 지역인지 단일 지역인지에 관계없이 Amazon으로 전송된 이벤트는 단일 이벤트 버스가 아닌 각 지역의 이벤트 버스에서 EventBridge 수신됩니다.

리전별 다중 추적

개발자, 보안 직원 및 IT 감사자 등 서로 다르지만 관련된 사용자 그룹이 있는 경우 리전별로 여러 추적을 생성할 수 있습니다. 이렇게 하면 각 그룹이 고유한 로그 파일 사본을 수신할 수 있습니다.

CloudTrail 지역당 5개의 트레일을 지원합니다. 다중 지역 트레일은 지역당 하나의 트레일로 계산됩니다.

다음은 다섯 개의 트레일이 있는 지역의 예입니다.

  • 미국 서부(캘리포니아 북부) 리전에 이 리전에만 적용되는 추적 2개를 생성합니다.

  • 미국 서부 (캘리포니아 북부) 지역에 다중 지역 트레일을 두 개 더 생성합니다.

  • 아시아 태평양 (시드니) 지역에 멀티 리전 트레일을 하나 더 생성합니다. 이 추적은 미국 서부(캘리포니아 북부) 리전에도 추적으로 존재합니다.

콘솔의 트레일 페이지에서 트레일 목록을 볼 수 있습니다. AWS 리전 CloudTrail 자세한 정보는 CloudTrail 콘솔로 트레일 업데이트하기을 참조하세요. CloudTrail 가격은 요금을 참조하십시오AWS CloudTrail .

조직 트레일

조직 트레일은 관리 계정과 조직의 모든 구성원 계정에 있는 CloudTrail 이벤트를 동일한 Amazon S3 버킷, CloudWatch Logs 및 Amazon으로 전송할 수 있는 EventBridge 구성입니다. AWS Organizations 조직 추적을 생성하면 조직에 대한 균일한 이벤트 로깅 전략을 정의하는 데 도움이 됩니다.

콘솔을 사용하여 생성되는 모든 조직 트레일은 조직의 각 멤버 AWS 리전 계정에서 활성화된 이벤트의 이벤트를 기록하는 다중 지역 조직 트레일입니다. 조직의 모든 AWS 파티션에 이벤트를 기록하려면 각 파티션에 다중 지역 조직 트레일을 만드십시오. 를 사용하여 단일 지역 또는 다중 지역 조직 트레일을 만들 수 있습니다. AWS CLI단일 지역 트레일을 생성하는 경우 트레일 AWS 리전 ( 지역이라고도 함) 의 활동만 기록합니다.

AWS 리전 대부분은 기본적으로 활성화되어 있지만 특정 지역 (옵트인 지역이라고도 함) 을 수동으로 활성화해야 합니다. AWS 계정기본적으로 활성화되는 지역에 대한 자세한 내용은 참조 안내서의 지역 활성화 및 비활성화 전 고려 사항을 참조하십시오.AWS Account Management 지역 CloudTrail 지원 목록은 을 참조하십시오CloudTrail 지원되는 지역.

조직 트레일을 생성하면 지정한 이름의 트레일 사본이 조직에 속한 멤버 계정에 생성됩니다.

  • 조직 트레일이 단일 지역용이고 트레일의 홈 지역이 Opt 지역이 아닌 경우, 각 멤버 계정의 조직 트레일 홈 지역에 트레일 사본이 생성됩니다.

  • 조직 트레일이 단일 지역용이고 트레일의 홈 지역이 Opt 지역인 경우, 해당 지역을 활성화한 구성원 계정의 조직 트레일 홈 지역에 트레일 사본이 생성됩니다.

  • 조직 트레일이 다중 지역이고 트레일의 홈 지역이 옵트인 지역이 아닌 경우, 각 멤버 계정에서 활성화된 AWS 리전 각 영역에 트레일 사본이 생성됩니다. 멤버 계정에서 옵트인 지역을 활성화하면 해당 지역의 활성화가 완료된 후 멤버 계정에 대해 새로 선택한 지역에 멀티 리전 트레일의 사본이 생성됩니다.

  • 조직 트레일이 다중 지역이고 홈 지역이 옵트인 지역인 경우, 구성원 계정은 다중 지역 트레일이 생성된 AWS 리전 곳에서 옵트인하지 않는 한 조직 트레일로 활동을 전송하지 않습니다. 예를 들어 다중 지역 트레일을 생성하고 유럽 (스페인) 지역을 트레일의 홈 지역으로 선택하면 해당 계정에 유럽 (스페인) 지역을 활성화한 멤버 계정만 해당 계정 활동을 조직 트레일로 전송합니다.

참고

CloudTrail 리소스 검증에 실패한 경우에도 구성원 계정에 조직 트레일을 생성합니다. 검증 실패의 예는 다음과 같습니다.

  • 잘못된 Amazon S3 버킷 정책

  • 잘못된 Amazon SNS 주제 정책

  • CloudWatch 로그 로그 그룹에 전송할 수 없음

  • KMS 키를 사용하여 암호화할 수 있는 권한이 부족합니다.

CloudTrail 권한이 있는 구성원 계정은 CloudTrail 콘솔에서 트레일의 세부 정보 페이지를 보거나 명령을 실행하여 조직 트레일의 유효성 검사 실패를 확인할 수 있습니다. AWS CLI get-trail-status

구성원 계정에서 CloudTrail 권한을 가진 사용자는 AWS 자신의 계정으로 콘솔에 AWS CloudTrail 로그인하거나 다음과 describe-trails 같은 명령을 AWS CLI 실행할 때 조직 트레일 (trail ARN 포함) 을 볼 수 있습니다 (단, 멤버 계정을 사용할 때는 이름이 아닌 조직 트레일에 ARN을 사용해야 함). AWS CLI하지만 구성원 계정의 사용자에게는 조직 트레일을 삭제하거나, 로그온/오프하거나, 로깅되는 이벤트 유형을 변경하거나, 어떤 방식으로든 조직 트레일을 변경할 수 있는 충분한 권한이 없습니다. AWS Organizations에 대한 자세한 내용은 Organizations 용어 및 개념 단원을 참조하세요. 조직 추적을 생성하고 사용하는 방법에 대한 자세한 내용은 조직에 대한 추적 생성을 참조하십시오.

CloudTrail 레이크 및 이벤트 데이터 스토어

CloudTrail Lake를 사용하면 이벤트에 대해 세분화된 SQL 기반 쿼리를 실행하고 자체 애플리케이션을 포함한 외부 AWS소스와 통합된 파트너의 이벤트를 기록할 수 있습니다. CloudTrail Lake를 사용하기 위해 계정에 트레일을 구성하지 않아도 됩니다. CloudTrail

이벤트는 이벤트 데이터 스토어로 집계되며, 이벤트 데이터 스토어는 고급 이벤트 선택기를 적용하여 선택한 기준을 기반으로 하는 변경 불가능한 이벤트 컬렉션입니다. 1년 연장 가능 보존 요금 옵션을 선택하는 경우 최대 3,653일(약 10년), 7년 보존 요금 옵션을 선택하는 경우 최대 2,557일(약 7년) 동안 이벤트 데이터를 이벤트 데이터 스토어에 보관할 수 있습니다. 나중에 사용할 수 있도록 Lake 쿼리를 저장하고 최대 7일 동안 쿼리 결과를 볼 수 있습니다. 쿼리 결과를 S3 버킷에 저장할 수도 있습니다. CloudTrail Lake는 또한 이벤트 데이터 스토어에 조직의 이벤트 또는 여러 지역 및 계정의 이벤트를 저장할 수 있습니다. AWS Organizations CloudTrail Lake는 보안 조사 및 문제 해결을 수행하는 데 도움이 되는 감사 솔루션의 일부입니다. 자세한 내용은 AWS CloudTrail 호수와 함께 일하기CloudTrail 호수 개념 및 용어 섹션을 참조하세요.

CloudTrail 인사이트

CloudTrail AWS 사용자는 인사이트를 통해 CloudTrail 관리 이벤트를 지속적으로 분석하여 비정상적인 양의 API 호출 또는 API 호출에 기록된 오류를 식별하고 이에 대응할 수 있습니다. Insights 이벤트는 write 관리 API 활동의 비정상적인 수준 또는 관리 API 활동에서 반환된 비정상적인 수준의 오류에 대한 기록입니다. 기본적으로 트레일 및 이벤트 데이터 스토어는 CloudTrail Insights 이벤트를 기록하지 않습니다. 콘솔에서 추적 또는 이벤트 데이터 스토어를 생성하거나 업데이트할 때 Insights 이벤트를 로그하도록 선택할 수 있습니다. API를 사용하면 CloudTrail API로 기존 트레일 또는 이벤트 데이터 저장소의 설정을 편집하여 Insights 이벤트를 기록할 수 있습니다. PutInsightSelectors CloudTrail Insights 이벤트 로깅에는 추가 요금이 적용됩니다. 추적과 이벤트 데이터 스토어 모두에 대해 Insights를 활성화하면 요금이 별도로 부과됩니다. 자세한 내용은 Insights 이벤트 로깅AWS CloudTrail 요금을 참조하세요.

Tags

태그는 CloudTrail 트레일, 이벤트 데이터 스토어, 채널, CloudTrail 로그 파일을 저장하는 데 사용되는 S3 버킷, 조직 및 AWS Organizations 조직 단위 등과 같은 AWS 리소스에 할당할 수 있는 고객 정의 키이자 선택적 값입니다. 트레일에 대한 로그 파일을 저장하는 데 사용하는 것과 동일한 태그를 트레일과 S3 버킷에 추가하면 이러한 리소스를 더 쉽게 관리, 검색 및 필터링할 수 있습니다. AWS Resource Groups 일관적이고 효과적이며 간편한 방식으로 리소스를 찾고 관리할 수 있도록 태깅 전략을 구현할 수 있습니다. 자세한 내용은 리소스 태그 지정 모범 사례를 참조하십시오. AWS

AWS Security Token Service 및 CloudTrail

AWS Security Token Service (AWS STS) 는 글로벌 엔드포인트가 있고 지역별 엔드포인트도 지원하는 서비스입니다. 종단점은 웹 서비스 요청에 대한 진입점인 URL입니다. 예를 들어 https://cloudtrail.us-west-2.amazonaws.com 는 서비스의 미국 서부 (오레곤) 지역 진입점입니다. AWS CloudTrail 리전 종단점은 애플리케이션의 지연 시간을 줄이는 데 유용합니다.

AWS STS 지역별 엔드포인트를 사용하는 경우 해당 지역의 트레일은 해당 지역에서 발생하는 AWS STS 이벤트만 전달합니다. 예를 들어, 엔드포인트 sts.us-west-2.amazonaws.com을 사용하면 us-west-2의 추적은 us-west-2에서 비롯된 AWS STS 이벤트만 전송합니다. AWS STS 리전 엔드포인트에 대한 자세한 내용은 IAM 사용 설명서의 AWS 리전 활성화 및 비활성화를 AWS STS 참조하십시오.

리전 엔드포인트의 전체 목록은 의 AWS 리전 및 엔드포인트를 참조하십시오AWS . AWS 일반 참조 전역적 AWS STS 엔드포인트의 이벤트에 대한 자세한 내용은 글로벌 서비스 이벤트 단원을 참조하세요.

글로벌 서비스 이벤트

중요

2021년 11월 22일부터 트레일에서 글로벌 서비스 이벤트를 캡처하는 방식이 AWS CloudTrail 변경되었습니다. 이제 이벤트는 CloudFront Amazon에서 AWS STS 생성되며 이벤트가 생성된 지역인 미국 동부 (버지니아 북부) 지역인 us-east-1에 기록됩니다. AWS Identity and Access Management따라서 이러한 서비스를 다른 글로벌 서비스의 처리 방식과 일관되게 CloudTrail 취급할 수 있습니다. AWS 미국 동부(버지니아 북부) 이외의 지역에서 글로벌 서비스 이벤트를 계속 수신하려면 반드시 미국 동부(버지니아 북부) 이외의 글로벌 서비스 이벤트를 사용하는 단일 리전 추적다중 리전 추적으로 변환해야 합니다. 글로벌 서비스 이벤트 캡처에 대한 자세한 내용은 이 단원의 후반부에서 글로벌 서비스 이벤트 로깅 활성화 및 비활성화을(를) 참조하세요.

반대로 CloudTrail 콘솔과 aws cloudtrail lookup-events 명령의 이벤트 기록에는 이벤트가 발생한 AWS 리전 위치에서 해당 이벤트가 표시됩니다.

대부분의 서비스에서 이벤트는 작업이 발생한 리전에 기록됩니다. AWS Identity and Access Management (IAM) 및 Amazon과 같은 글로벌 서비스의 CloudFront 경우 이벤트는 글로벌 서비스를 포함하는 모든 트레일로 전송됩니다. AWS STS

대부분의 글로벌 서비스의 경우 이벤트는 미국 동부(버지니아 북부) 리전에서 발생한 것으로 로그되지만, 일부 글로벌 서비스 이벤트는 미국 동부(오하이오) 리전 또는 미국 서부(오레곤) 리전과 같은 다른 리전에서 발생한 것으로 로그됩니다.

중복 전역적 서비스 이벤트를 수신하지 않으려면 다음을 알아두십시오.

  • 글로벌 서비스 이벤트는 기본적으로 콘솔을 사용하여 생성된 트레일에 전달됩니다. CloudTrail 이벤트는 추적에 대한 버킷으로 전송됩니다.

  • 단일 리전 추적이 여러 개 있는 경우 글로벌 서비스 이벤트가 추적 중 하나에만 전송되도록 추적을 구성하는 것이 좋습니다. 자세한 내용은 글로벌 서비스 이벤트 로깅 활성화 및 비활성화 단원을 참조하세요.

  • 모든 리전 로깅에서 단일 리전 로깅으로 추적 구성을 변경하면 글로벌 서비스 이벤트 로깅은 해당 추적에 대해 자동으로 꺼집니다. 마찬가지로, 단일 리전 로깅에서 모든 리전 로깅으로 추적 구성을 변경하면 글로벌 서비스 이벤트 로깅은 해당 추적에 대해 자동으로 켜집니다.

    추적에 대해 글로벌 서비스 이벤트 로깅을 변경하는 방법에 대한 자세한 내용은 글로벌 서비스 이벤트 로깅 활성화 및 비활성화 단원을 참조하십시오.

예:

  1. CloudTrail 콘솔에서 트레일을 생성합니다. 기본적으로 이 추적은 전역적 서비스 이벤트를 로깅합니다.

  2. 단일 리전 추적이 여러 개 있습니다.

  3. 단일 리전 추적에 대한 전역적 서비스를 포함할 필요가 없습니다. 전역적 서비스 이벤트는 첫 번째 추적에 전달됩니다. 자세한 정보는 를 사용하여 트레일 생성, 업데이트 및 관리 AWS CLI을 참조하세요.

참고

AWS CLI, AWS SDK 또는 CloudTrail API를 사용하여 트레일을 만들거나 업데이트할 때 트레일에 대한 글로벌 서비스 이벤트를 포함할지 또는 제외할지 여부를 지정할 수 있습니다. 콘솔에서는 글로벌 서비스 이벤트 로깅을 구성할 수 없습니다. CloudTrail