AWS 계정에 대한 추적 생성 - AWS CloudTrail

AWS 계정에 대한 추적 생성

추적을 생성할 때 이벤트를 로그 파일로 지정한 Amazon S3 버킷에 지속적으로 전달하도록 활성화합니다. 추적 생성에는 다음을 포함한 많은 이점이 있습니다.

  • 90일이 지난 이벤트 기록

  • 로그 이벤트를 Amazon CloudWatch Logs로 보내 지정된 이벤트를 자동으로 모니터링하고 경보하는 옵션

  • Amazon Athena로 AWS 서비스 활동을 분석하고 로그를 쿼리하는 옵션

2019년 4월 12일부터 추적이 이벤트를 로깅하는 AWS 리전에서만 해당 추적을 볼 수 있습니다. 모든 AWS 리전에서 이벤트를 로깅하는 추적을 생성할 경우 해당 추적이 모든 AWS 리전의 콘솔에서 표시됩니다. 단일 AWS 리전에서만 이벤트를 로깅하는 추적을 생성할 경우 해당 AWS 리전에서만 추적을 보고 관리할 수 있습니다.

AWS Organizations를 사용하는 경우, 조직의 모든 AWS 계정에 대한 이벤트를 로깅하는 추적을 생성할 수 있습니다. 동일한 이름의 추적이 각 멤버 계정에 생성되고, 각 추적의 이벤트가 지정한 Amazon S3 버킷에 전달됩니다.

참고

조직의 마스터 계정만 조직에 대한 추적을 생성할 수 있습니다. 조직에 대한 추적을 생성하면 CloudTrail과 조직 간에 통합됩니다. 자세한 내용은 조직에 대한 추적 생성 단원을 참조하십시오.

CloudTrail 콘솔 또는 AWS Command Line Interface(AWS CLI)로 추적을 생성하거나 업데이트하여 다음 설정을 구성할 수 있습니다. 두 가장 방법은 동일한 단계를 따릅니다.

  1. 추적 생성. 기본적으로 CloudTrail 콘솔의 리전에서 추적을 생성할 때 모든 리전에 추적이 적용됩니다.

  2. Amazon S3 버킷을 생성하거나 로그 파일을 전달하려는 기존 버킷을 지정합니다. 기본적으로 계정에 있는 모든 리전의 로그 파일은 지정한 버킷으로 전달됩니다.

  3. 읽기 전용, 쓰기 전용 또는 모든 관리 이벤트, 모든 Insights events 및 데이터 이벤트 전체 또는 하위 집합을 로깅하도록 트레일을 구성합니다. 기본적으로 트레일은 모든 관리 이벤트를 로깅하지만 데이터 이벤트 또는 Insights events를 로깅하지 않습니다.

  4. 로그 파일이 전달되었을 때 알림을 수신할 Amazon SNS 주제를 생성합니다. 모든 리전의 전달 알림이 지정한 주제로 전송됩니다.

  5. CloudTrail에서 로그를 수신하기 위해 CloudWatch Logs을 구성하면 특정 로그 이벤트를 모니터링할 수 있습니다.

  6. 로그 파일에 대한 암호화 방법을 Amazon S3 관리형 암호화 키(SSE-S3)를 사용하는 서버 측 암호화에서 AWS KMS 관리형 키(SSE-KMS)를 사용하는 서버 측 암호화로 변경합니다.

  7. 로그 파일에 대한 무결성 검증을 켭니다. 이렇게 하면 CloudTrail이 전달한 후 로그 파일의 무결성을 확인하는 데 사용하는 다이제스트 파일을 전달할 수 있습니다.

  8. 추적에 태그(사용자 지정 키-값 쌍)를 추가합니다.