update-trail 사용 - AWS CloudTrail

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

update-trail 사용

중요

2021년 11월 22일 기준으로 AWS CloudTrail은 추적이 글로벌 서비스 이벤트를 캡처하는 방법을 변경했습니다. 이제 이벤트는 CloudFront Amazon에서 AWS STS 생성되고 이벤트가 생성된 지역인 미국 동부 (버지니아 북부) 지역인 us-east-1에 기록됩니다. AWS Identity and Access Management 따라서 이러한 서비스를 다른 글로벌 서비스의 처리 방식과 일관되게 CloudTrail 취급할 수 있습니다. AWS 미국 동부(버지니아 북부) 이외의 지역에서 글로벌 서비스 이벤트를 계속 수신하려면 반드시 미국 동부(버지니아 북부) 이외의 글로벌 서비스 이벤트를 사용하는 단일 리전 추적다중 리전 추적으로 변환해야 합니다. 글로벌 서비스 이벤트 캡처에 대한 자세한 내용은 이 단원의 후반부에서 글로벌 서비스 이벤트 로깅 활성화 및 비활성화을(를) 참조하세요.

반대로 CloudTrail 콘솔과 aws cloudtrail lookup-events 명령의 이벤트 기록에는 이벤트가 발생한 AWS 리전 위치에서 해당 이벤트가 표시됩니다.

update-trail 명령을 사용하여 추적에 대한 구성 설정을 변경할 수 있습니다. 또한 add-tagsremove-tags 명령을 사용하여 추적의 태그를 추가하고 제거할 수 있습니다. 추적이 생성된 AWS 리전(홈 리전)에서만 추적을 업데이트할 수 있습니다. AWS CLI를 사용할 때는 프로필에 구성된 AWS 리전에서 명령이 실행된다는 점을 기억해야 합니다. 다른 리전에서 명령을 실행하려는 경우 프로필의 기본 리전을 변경하거나 명령에 --region 파라미터를 사용합니다.

Amazon Security Lake에서 CloudTrail 관리 이벤트를 활성화한 경우, 다중 read 지역이고 write 관리 이벤트를 모두 기록하는 조직 트레일을 하나 이상 유지 관리해야 합니다. Security Lake 요구 사항을 충족하지 못하는 방식으로는 적격 추적을 업데이트할 수 없습니다. 예를 들어, 추적을 단일 리전으로 변경하거나, read 또는 write 관리 이벤트의 로깅을 비활성화할 수는 없습니다.

참고

AWSSDK AWS CLI 또는 둘 중 하나를 사용하여 트레일을 수정하는 경우 트레일의 버킷 정책이 맞는지 확인하십시오. up-to-date 버킷이 새 AWS 리전에서 자동으로 이벤트를 수신하려면 정책에 전체 서비스 이름(cloudtrail.amazonaws.com)이 포함되어 있어야 합니다. 자세한 설명은 CloudTrail에 대한 Amazon S3 버킷 정책 섹션을 참조하세요.

한 리전에 적용되는 추적을 모든 리전에 적용되는 추적으로 변환

모든 리전에 적용되도록 기존 추적을 변경하려면 --is-multi-region-trail 옵션을 사용합니다.

aws cloudtrail update-trail --name my-trail --is-multi-region-trail

이제 추적이 모든 리전에 적용되는지 확인하려면 출력의 IsMultiRegionTrail 요소에 true가 표시되는지 확인합니다.

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "S3BucketName": "my-bucket" }

다중 리전 추적을 단일 리전 추적으로 변환

생성된 리전에만 추적이 적용되도록 기존 다중 리전 추적을 변경하려면 --no-is-multi-region-trail 옵션을 사용합니다.

aws cloudtrail update-trail --name my-trail --no-is-multi-region-trail

이제 추적이 단일 리전에 적용되는지 확인하려면 출력의 IsMultiRegionTrail 요소에 false가 표시되는지 확인합니다.

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "my-bucket" }

글로벌 서비스 이벤트 로깅 활성화 및 비활성화

글로벌 서비스 이벤트를 로깅하지 않도록 추적을 변경하려면 --no-include-global-service-events 옵션을 사용합니다.

aws cloudtrail update-trail --name my-trail --no-include-global-service-events

추적이 글로벌 서비스 이벤트를 더 이상 로깅하지 않는지 확인하려면 출력의 IncludeGlobalServiceEvents 요소에 false가 표시되는지 확인합니다.

{ "IncludeGlobalServiceEvents": false, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "my-bucket" }

글로벌 서비스 이벤트를 로깅하도록 추적을 변경하려면 --include-global-service-events 옵션을 사용합니다.

단일 리전 추적은 2021년 11월 22일부터 글로벌 서비스 이벤트를 수신하지 않습니다(단, 미국 동부(버지니아 북부) 리전(us-east-1)에 이미 나타난 추적 제외). 글로벌 서비스 이벤트를 계속 캡처하려면 추적 구성을 다중 리전 추적으로 업데이트하세요. 예를 들어 이 명령은 미국 동부(오하이오)(us-east-2)의 단일 리전 추적을 다중 리전 추적으로 업데이트합니다. myExistingSingleRegionTrailWithGSE를 구성에 적합한 트레일 이름으로 바꾸십시오.

aws cloudtrail --region us-east-2 update-trail --name myExistingSingleRegionTrailWithGSE --is-multi-region-trail

글로벌 서비스 이벤트는 2021년 11월 22일부터 미국 동부(버지니아 북부)에서만 사용할 수 있으므로 단일 리전 추적을 생성하여 미국 동부(버지니아 북부) 리전(us-east-1)의 글로벌 서비스 이벤트를 구독할 수도 있습니다. 다음 명령은 us-east-1에 수신 CloudFront, IAM 및 이벤트를 위한 단일 리전 트레일을 생성합니다. AWS STS

aws cloudtrail --region us-east-1 create-trail --include-global-service-events --name myTrail --s3-bucket-name DOC-EXAMPLE-BUCKET

로그 파일 검증 활성화

추적에 대해 로그 파일 검증을 활성화하려면 --enable-log-file-validation 옵션을 사용합니다. 해당 추적에 대해 다이제스트 파일이 Amazon S3 버킷에 전달됩니다.

aws cloudtrail update-trail --name my-trail --enable-log-file-validation

로그 파일 검증이 활성화되었는지 확인하려면 출력의 LogFileValidationEnabled 요소에 true가 표시되는지 확인합니다.

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": true, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "my-bucket" }

로그 파일 검증 비활성화

추적에 대해 로그 파일 검증을 비활성화하려면 --no-enable-log-file-validation 옵션을 사용합니다.

aws cloudtrail update-trail --name my-trail-name --no-enable-log-file-validation

로그 파일 검증이 비활성화되었는지 확인하려면 출력의 LogFileValidationEnabled 요소에 false가 표시되는지 확인합니다.

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "my-bucket" }

AWS CLI를 사용하여 로그 파일을 검증하려면 AWS CLI를 사용하여 CloudTrail 로그 파일 무결성 검증 단원을 참조하십시오.