트레일 이벤트를 CloudTrail Lake에 복사 - AWS CloudTrail

트레일 이벤트를 CloudTrail Lake에 복사

기존 트레일 이벤트를 CloudTrail Lake 이벤트 데이터 스토어에 복사하여 트레일에 기록된 이벤트의 특정 시점 스냅샷을 생성할 수 있습니다. 트레일의 이벤트를 복사해도 트레일의 이벤트 로깅 기능에 지장을 주지 않으며 어떤 식으로든 트레일이 수정되지 않습니다.

트레일 이벤트를 조직 이벤트 데이터 스토어에 복사하는 경우 조직의 관리 계정을 사용해야 합니다. 조직의 위임된 관리자 계정을 사용하여 트레일 이벤트를 복사할 수 없습니다.

트레일 이벤트를 CloudTrail Lake 이벤트 데이터 스토어에 복사하면 복사된 이벤트에 대해 쿼리를 실행할 수 있습니다. CloudTrail Lake 쿼리는 이벤트 기록(Event history) 또는 LookupEvents 실행 시 단순히 키와 값을 조회하는 것보다 더 깊고 사용자 정의가 가능한 이벤트 뷰를 제공합니다. CloudTrail Lake에 대한 자세한 내용은 AWS CloudTrail Lake 작업 섹션을 참조하세요.

트레일 이벤트를 CloudTrail Lake에 복사하기 전에 이벤트 데이터 스토어를 생성하거나 준비해야 합니다.

참고

트레일 이벤트를 Lake에 복사한 후에는 추가 요금이 부과되지 않도록 트레일에 대해 로깅을 비활성화하는 것이 좋습니다. 자세한 내용은 AWS CloudTrail 요금을 참조하세요.

고려 사항

트레일 이벤트를 복사할 때는 다음 요소를 고려합니다.

  • 트레일 이벤트를 이벤트 데이터 스토어에 복사하면 CloudTrail은 대상 이벤트 데이터 스토어의 이벤트 유형, 고급 이벤트 선택기 또는 리전의 구성과 관계없이 모든 트레일 이벤트를 복사합니다.

  • 트레일 이벤트를 복사하기 전에 이벤트 데이터 스토어의 보존 기간을 확인합니다. CloudTrail은 이벤트 데이터 스토어의 보존 기간 내에 있는 트레일 이벤트만 복사합니다. 예를 들어 이벤트 데이터 스토어의 보존 기간이 90일인 경우 CloudTrail은 90일보다 오래된 트레일 이벤트를 복사하지 않습니다.

  • 트레일 이벤트를 복사하기 전에 소스 S3 버킷에 연결된 모든 액세스 제어 목록(ACL)을 비활성화하고 대상 이벤트 데이터 스토어의 S3 버킷 정책을 업데이트합니다. S3 버킷 정책 업데이트에 대한 자세한 내용은 트레일 이벤트 복사를 위한 Amazon S3 버킷 정책 섹션을 참조하세요. ACL 비활성화에 대한 자세한 내용은 객체 소유권 제어 및 버킷에 대해 ACL 사용 중지를 참조하세요.

  • CloudTrail은 소스 S3 버킷에 있는 Gzip 압축 로그 파일의 트레일 이벤트만 복사합니다. CloudTrail은 압축되지 않은 로그 파일 또는 Gzip 이외의 형식을 사용하여 압축된 로그 파일의 트레일 이벤트를 복사하지 않습니다.

  • 소스 트레일과 대상 이벤트 데이터 스토어 간에 이벤트가 중복되지 않도록 하려면 복사된 이벤트의 시간 범위를 이벤트 데이터 스토어 생성 이전으로 선택합니다.

  • 기본적으로 CloudTrail은 S3 버킷의 CloudTrail 접두사와 CloudTrail 접두사 내의 접두사에 포함된 CloudTrail 이벤트만 복사하고 기타 AWS 서비스의 접두사는 확인하지 않습니다. 다른 접두사에 포함된 CloudTrail 이벤트를 복사하려면 트레일 이벤트를 복사할 때 접두사를 선택해야 합니다.

  • 트레일 이벤트를 조직 이벤트 데이터 스토어에 복사하려면 조직의 관리 계정을 사용해야 합니다. 위임된 관리자 계정을 사용하여 트레일 이벤트를 조직 이벤트 데이터 스토어에 복사할 수 없습니다.

트레일 이벤트 복사에 필요한 권한

트레일 이벤트를 복사하기 전에 IAM 역할 및 이벤트 데이터 스토어의 S3 버킷에 필요한 모든 권한이 있는지 확인합니다. 트레일 이벤트를 복사할 기존 IAM 역할을 선택한 경우 IAM 역할 권한을 업데이트하기만 하면 됩니다. 새 IAM 역할을 생성하기로 선택한 경우 CloudTrail은 역할에 필요한 모든 권한을 제공합니다.

소스 S3 버킷에서 데이터 암호화에 KMS 키를 사용하는 경우 KMS 키 정책에서 CloudTrail이 버킷의 데이터를 복호화하도록 허용하는지 확인합니다. 소스 S3 버킷에서 여러 KMS 키를 사용하는 경우 CloudTrail이 버킷의 데이터를 복호화할 수 있도록 각 키의 정책을 업데이트해야 합니다.

트레일 이벤트 복사를 위한 IAM 권한

트레일 이벤트를 복사할 때 새 IAM 역할을 생성하거나 기존 IAM 역할을 사용할 수 있습니다. 새 IAM 역할을 선택하면 CloudTrail에서 필요한 권한이 있는 IAM 역할을 생성하므로 별도의 조치가 필요하지 않습니다.

기존 역할을 선택하는 경우 IAM 역할의 정책에 따라 CloudTrail이 트레일 이벤트를 대상 이벤트 데이터 스토어에 복사할 수 있도록 해야 합니다. 이 섹션에서는 필요한 IAM 역할 권한 및 신뢰 정책의 예제를 제공합니다.

다음 예제는 CloudTrail이 트레일 이벤트를 이벤트 데이터 스토어의 S3 버킷에 복사할 수 있도록 하는 권한 정책을 제공합니다. myBucketName, myAccountID, region, prefixeventDataStoreArn을 구성에 적절한 값으로 바꿉니다. myAccountID는 CloudTrail Lake에 사용되는 AWS 계정 ID로, S3 버킷의 AWS 계정 ID 동일하지 않을 수 있습니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailImportBucketAccess", "Effect": "Allow", "Action": ["s3:ListBucket", "s3:GetBucketAcl"], "Resource": [ "arn:aws:s3:::myBucketName" ], "Condition": { "StringEquals": { "aws:SourceAccount": "myAccountID", "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreArn" } } }, { "Sid": "AWSCloudTrailImportObjectAccess", "Effect": "Allow", "Action": ["s3:GetObject"], "Resource": [ "arn:aws:s3:::myBucketName/prefix", "arn:aws:s3:::myBucketName/prefix/*" ], "Condition": { "StringEquals": { "aws:SourceAccount": "myAccountID", "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreArn" } } } ] }

다음 예제는 CloudTrail이 트레일 이벤트를 이벤트 데이터 스토어의 S3 버킷에 복사할 수 있는 IAM 역할을 수임하도록 하는 IAM 신뢰 정책을 제공합니다. myAccountID, region, eventDataStoreArn을 구성에 적절한 값으로 바꿉니다. myAccountID는 CloudTrail Lake에 사용되는 AWS 계정 ID로, S3 버킷의 AWS 계정 ID 동일하지 않을 수 있습니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "myAccountID", "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreArn" } } } ] }

트레일 이벤트 복사를 위한 Amazon S3 버킷 정책

기본적으로 Amazon S3 버킷 및 객체는 프라이빗입니다. 리소스 소유자(버킷을 생성한 AWS 계정)만 버킷과 버킷에 포함된 객체에 액세스할 수 있습니다. 리소스 소유자는 액세스 정책을 작성하여 다른 리소스 및 사용자에게 액세스 권한을 부여할 수 있습니다.

트레일 이벤트를 복사하기 전에 대상 이벤트 데이터 스토어의 S3 버킷 정책을 업데이트하여 CloudTrail이 트레일 이벤트를 버킷에 복사할 수 있도록 해야 합니다.

이벤트 데이터 스토어의 S3 버킷 정책에 다음 명령문을 추가하여 이러한 권한을 부여할 수 있습니다. roleArnmyBucketName을 구성에 적합한 값으로 바꿉니다.

{ "Sid": "AWSCloudTrailImportBucketAccess", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketAcl", "s3:GetObject" ], "Principal": { "AWS": "roleArn" }, "Resource": [ "arn:aws:s3:::myBucketName", "arn:aws:s3:::myBucketName/*" ] },

소스 S3 버킷의 데이터 해독을 위한 KMS 키 정책

소스 S3 버킷에서 데이터 암호화에 KMS 키를 사용하는 경우 KMS 키 정책에서 CloudTrail이 버킷의 데이터를 복호화하도록 허용하는지 확인합니다. 소스 S3 버킷에서 여러 KMS 키를 사용하는 경우 CloudTrail이 버킷의 데이터를 복호화할 수 있도록 각 키의 정책을 업데이트해야 합니다. KMS 키 정책을 업데이트하면 CloudTrail에서 소스 S3 버킷의 데이터를 복호화하고, 유효성 검사를 실행하여 이벤트가 CloudTrail 표준을 준수하는지 확인하고, 이벤트를 CloudTrail Lake 이벤트 데이터 스토어에 복사할 수 있습니다.

다음 예제는 CloudTrail이 소스 S3 버킷의 데이터를 복호화할 수 있도록 허용하는 KMS 키 정책을 제공합니다. roleArn, myBucketName, myAccountID, regioneventDataStoreArn을 구성에 적절한 값으로 바꿉니다. myAccountID는 CloudTrail Lake에 사용되는 AWS 계정 ID로, S3 버킷의 AWS 계정 ID 동일하지 않을 수 있습니다.

{ "Sid": "AWSCloudTrailImportDecrypt", "Effect": "Allow", "Action": "kms:Decrypt", "Principal": { "AWS": "roleArn" }, "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::myBucketName/*" }, "StringEquals": { "aws:SourceAccount": "myAccountID", "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreArn" } } }

CloudTrail 콘솔을 사용하여 트레일 이벤트를 CloudTrail Lake에 복사합니다.

다음 절차에 따라 트레일 이벤트를 CloudTrail Lake에 복사합니다.

  1. AWS Management Console에 로그인하여 https://console.aws.amazon.com/cloudtrail/에서 CloudTrail 콘솔을 엽니다.

  2. CloudTrail 콘솔의 왼쪽 탐색 창에서 트레일(Trails)을 선택합니다.

  3. 트레일 페이지에서 트레일을 선택한 다음 이벤트를 Lake에 복사(Copy events to Lake)를 선택합니다. 트레일에 대한 소스 S3 버킷에서 데이터 암호화에 KMS 키를 사용하는 경우 KMS 키 정책에서 CloudTrail이 버킷의 데이터를 복호화하도록 허용하는지 확인합니다. 소스 S3 버킷에서 여러 KMS 키를 사용하는 경우 CloudTrail이 버킷의 데이터를 복호화할 수 있도록 각 키의 정책을 업데이트해야 합니다. KMS 키 정책 업데이트에 대한 자세한 내용은 소스 S3 버킷의 데이터 해독을 위한 KMS 키 정책 섹션을 참조하세요.

  4. (선택 사항) 기본적으로 CloudTrail은 S3 버킷의 CloudTrail 접두사와 CloudTrail 접두사 내의 접두사에 포함된 CloudTrail 이벤트만 복사하고 기타 AWS 서비스의 접두사는 확인하지 않습니다. 다른 접두사에 포함된 CloudTrail 이벤트를 복사하려면 Enter S3 URI(S3 URI 입력)을 선택한 다음 Browse S3(S3 검색)를 선택하여 접두사를 찾아보세요.

  5. (선택 사항) 이벤트 소스(Event source)에서 이벤트를 복사할 시간 범위를 선택합니다. 시간 범위를 선택하는 경우, CloudTrail은 트레일 이벤트를 복사하기 전에 접두사와 로그 파일 이름을 확인하여 선택한 시작 날짜와 종료 날짜 사이의 날짜가 이름에 포함되어 있는지 확인합니다. 상대 범위(Relative range) 또는 절대 범위(Absolute range)를 선택할 수 있습니다. 소스 트레일과 대상 이벤트 데이터 스토어 간에 이벤트가 중복되지 않도록 하려면 이벤트 데이터 스토어 생성 이전의 시간 범위를 선택합니다.

    • 상대 범위(Relative range)를 선택하는 경우 최근 5분, 30분, 1시간, 6시간 또는 사용자 지정 범위 동안 기록된 이벤트를 복사하도록 선택할 수 있습니다. CloudTrail은 선택한 기간 내에 기록된 이벤트를 복사합니다.

    • 절대 범위(Absolute range)를 선택하는 경우 특정 시작일과 종료일을 선택할 수 있습니다. CloudTrail은 선택한 시작일과 종료일 사이에 발생한 이벤트를 복사합니다.

  6. 전송 위치(Delivery location) 드롭다운 목록에서 대상 이벤트 데이터 스토어를 선택합니다. 이벤트 데이터 스토어의 S3 버킷 정책은 트레일 이벤트를 버킷에 복사할 수 있는 CloudTrail 액세스 권한을 부여해야 합니다. S3 버킷 정책 업데이트에 대한 자세한 내용은 트레일 이벤트 복사를 위한 Amazon S3 버킷 정책 섹션을 참조하세요.

  7. 권한(Permissions)에서 다음 IAM 역할 옵션 중 하나를 선택합니다. 기존 IAM 역할을 선택하는 경우 IAM 역할 정책이 필요한 권한을 제공하는지 확인합니다. IAM 역할 권한 업데이트에 대한 자세한 내용은 트레일 이벤트 복사를 위한 IAM 권한 섹션을 참조하세요.

    • 새 IAM 역할을 생성하려면 새 역할 생성(권장)(Create a new role (recommended))을 선택합니다. IAM 역할 이름 입력(Enter IAM role name)에 역할 이름을 입력합니다. CloudTrail은 이 새 역할에 필요한 권한을 자동으로 생성합니다.

    • 목록에 없는 사용자 지정 IAM 역할을 사용하려면 사용자 지정 IAM 역할 사용(Use a custom IAM role)을 선택합니다. IAM 역할 ARN 입력(Enter IAM role ARN)에서 IAM ARN을 입력합니다.

    • 드롭다운 목록에서 기존 IAM 역할을 선택하려면 기존 역할 사용(Use an existing role)을 선택합니다.

  8. 이벤트 복사(Copy events)를 선택합니다.

  9. 복사를 확인하는 메시지가 표시됩니다. 확인 준비가 완료되면 트레일 이벤트를 Lake에 복사(Copy trail events to Lake)를 선택한 다음 이벤트 복사(Copy events)를 선택합니다.

  10. 복사 세부 정보 페이지에서 복사 상태를 확인하고 모든 실패를 검토할 수 있습니다. 트레일 이벤트 복사가 완료되면 복사 상태(Copy status)완료(Completed)(오류가 없는 경우) 또는 실패(Failed)(오류가 발생한 경우)로 설정됩니다.

    참고

    이벤트 복사 세부 정보 페이지에 표시된 세부 정보는 실시간이 아닙니다. Prefixes copied(복사한 접두사) 등의 실제 세부 정보 값은 페이지에 표시된 값보다 높을 수 있습니다. CloudTrail은 이벤트 복사가 진행되는 동안 세부 정보를 점진적으로 업데이트합니다.

  11. 복사 상태(Copy status)실패(Failed)인 경우 복사 실패(Copy failures)에 표시된 오류를 수정한 다음 복사 재시도(Retry copy)를 선택합니다. 복사를 재시도하면 CloudTrail은 오류가 발생한 위치에서 복사를 재개합니다.

트레일 이벤트 복사의 세부 정보 보기에 대한 자세한 내용은 이벤트 복사 세부 정보 섹션을 참조하세요.