AWS Management Console 로그인 이벤트 - AWS CloudTrail

AWS Management Console 로그인 이벤트

중요

2021년 11월 22일 기준으로 AWS CloudTrail는 글로벌 서비스 이벤트를 캡처하는 데 추적을 사용할 수 있는 방법을 변경합니다. 변경 후 CloudFront, IAM 및 AWS STS는 생성된 리전인 미국 동부(버지니아 북부) 리전(us-east-1)에서 기록됩니다. 따라서 CloudTrail은 이러한 서비스를 다른 AWS 글로벌 서비스와 일관되게 처리할 수 있습니다.

미국 동부(버지니아 북부) 이외의 지역에서 글로벌 서비스 이벤트를 계속 수신하려면 반드시 미국 동부(버지니아 북부) 이외의 글로벌 서비스 이벤트를 사용하는 단일 리전 추적다중 리전 추적으로 변환해야 합니다. 또한 글로벌 서비스 이벤트를 볼 수 있도록 조회 이벤트 API 호출의 리전을 업데이트합니다. CLI를 사용하여 글로벌 서비스 이벤트에 대한 추적 생성 및 조회 이벤트 업데이트에 대한 자세한 내용은 AWS CLI를 사용하여 CloudTrail 이벤트 보기update-trail 사용 단원을 참조하세요.

CloudTrail은 AWS Management Console,AWS 토론 포럼 및 AWS 지원 센터에 로그인하려는 시도를 로그합니다. 모든 IAM 사용자와 루트 사용자 로그인 이벤트 및 모든 페더레이션 사용자 로그인 이벤트는 CloudTrail 로그 파일에서 레코드를 생성합니다. AWS Management Console 로그인 이벤트는 글로벌 서비스 이벤트입니다. 로그 가져오기 및 보기에 대한 내용은 CloudTrail 로그 파일 가져오기 및 보기 섹션을 참조하세요.

IAM 사용자에 대한 예시 레코드

다음 예는 여러 IAM 사용자 로그인 시나리오에 대한 이벤트 레코드를 보여줍니다.

MFA를 사용하지 않고 로그인한 IAM 사용자

다음은 Anaya라는 IAM 사용자가 다중 인증(MFA)을 사용하지 않고 AWS Management Console에 성공적으로 로그인한 레코드입니다.

{ "Records":[ { "eventVersion":"1.05", "userIdentity":{ "type":"IAMUser", "principalId":"AIDACKCEVSQ6C2EXAMPLE", "arn":"arn:aws:iam::111122223333:user/anaya", "accountId":"111122223333", "userName":"anaya" }, "eventTime":"2022-11-10T16:24:34Z", "eventSource":"signin.amazonaws.com", "eventName":"ConsoleLogin", "awsRegion":"us-east-2", "sourceIPAddress":"192.0.2.0", "userAgent":"Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:62.0) Gecko/20100101 Firefox/62.0", "requestParameters":null, "responseElements":{ "ConsoleLogin":"Success" }, "additionalEventData":{ "MobileVersion":"No", "LoginTo":"https://console.aws.amazon.com/sns", "MFAUsed":"No" }, "eventID":"3fcfb182-98f8-4744-bd45-10a395ab61cb", "eventType": "AwsConsoleSignIn" } ] }

MFA를 사용하여 로그인한 IAM 사용자

다음은 Anaya라는 IAM 사용자가 다중 인증(MFA)을 사용하여 AWS Management Console에 성공적으로 로그인한 레코드입니다.

{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:user/anaya", "accountId": "111122223333", "userName": "anaya" }, "eventTime": "2022-11-10T16:24:34Z", "eventSource": "signin.amazonaws.com", "eventName": "ConsoleLogin", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36", "requestParameters": null, "responseElements": { "ConsoleLogin": "Success" }, "additionalEventData": { "LoginTo": "https://console.aws.amazon.com/console/home?state=hashArgs%23&isauthcode=true", "MobileVersion": "No", "MFAIdentifier": "arn:aws:iam::111122223333:u2f/user/anaya/default-AAAAAAAABBBBBBBBCCCCCCCCDD", "MFAUsed": "Yes" }, "eventID": "fed06f42-cb12-4764-8c69-121063dc79b9", "eventType": "AwsConsoleSignIn", "recipientAccountId": "111122223333" }

로그인에 실패한 IAM 사용자

다음 레코드는 IAM 사용자의 로그인 시도 실패를 나타냅니다.

{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "accountId": "111122223333", "accessKeyId": "", "userName": "anaya" }, "eventTime": "2022-11-10T16:24:34Z", "eventSource": "signin.amazonaws.com", "eventName": "ConsoleLogin", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36", "errorMessage": "Failed authentication", "requestParameters": null, "responseElements": { "ConsoleLogin": "Failure" }, "additionalEventData": { "LoginTo": "https://console.aws.amazon.com/console/home?state=hashArgs%23&isauthcode=true", "MobileVersion": "No", "MFAUsed": "Yes" }, "eventID": "d38ce1b3-4575-4cb8-a632-611b8243bfc3", "eventType": "AwsConsoleSignIn", "recipientAccountId": "111122223333" }

로그인 프로세스에서 MFA(단일 MFA 디바이스 유형)를 확인하는 IAM 사용자

다음 레코드는 로그인 프로세스에서 로그인 시 IAM 사용자가 멀티 팩터 인증(MFA)을 해야 하는지를 확인했음을 나타냅니다. 이 예에서 mfaType 값은 U2F MFA이며, 이는 IAM 사용자가 단일 MFA 디바이스 또는 동일한 유형(U2F MFA)의 여러 MFA 디바이스를 활성화했음을 나타냅니다.

{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "accountId": "111122223333", "accessKeyId": "", "userName": "anaya" }, "eventTime": "2022-11-10T16:24:34Z", "eventSource": "signin.amazonaws.com", "eventName": "CheckMfa", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36", "requestParameters": null, "responseElements": { "CheckMfa": "Success" }, "additionalEventData": { "MfaType": "U2F MFA" }, "eventID": "f8ef8fc5-e3e8-4ee1-9d52-2f412ddf17e3", "eventType": "AwsConsoleSignIn", "recipientAccountId": "111122223333" }

로그인 프로세스에서 MFA(여러 MFA 디바이스 유형)를 확인하는 IAM 사용자

다음 레코드는 로그인 프로세스에서 로그인 시 IAM 사용자가 멀티 팩터 인증(MFA)을 해야 하는지를 확인했음을 나타냅니다. 이 예에서 mfaType 값은 Multiple MFA Devices이며, 이는 IAM 사용자가 여러 MFA 디바이스를 활성화했음을 나타냅니다.

{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "accountId": "111122223333", "accessKeyId": "", "userName": "anaya" }, "eventTime": "2022-11-10T16:24:34Z", "eventSource": "signin.amazonaws.com", "eventName": "CheckMfa", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36", "requestParameters": null, "responseElements": { "CheckMfa": "Success" }, "additionalEventData": { "MfaType": "Multiple MFA Devices" }, "eventID": "f8ef8fc5-e3e8-4ee1-9d52-2f412ddf17e3", "eventType": "AwsConsoleSignIn", "recipientAccountId": "111122223333" }

루트 사용자에 대한 예시 이벤트 레코드

다음 예는 여러 root 사용자 로그인 시나리오에 대한 이벤트 레코드를 보여줍니다.

MFA를 사용하지 않고 로그인한 루트 사용자

다음은 다중 인증(MFA)을 사용하지 않은 루트 사용자의 성공한 로그인 이벤트를 보여 줍니다.

{ "eventVersion": "1.05", "userIdentity": { "type": "Root", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:root", "accountId": "111122223333", "accessKeyId": "" }, "eventTime": "2022-11-10T16:24:34Z", "eventSource": "signin.amazonaws.com", "eventName": "ConsoleLogin", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:62.0) Gecko/20100101 Firefox/62.0", "requestParameters": null, "responseElements": { "ConsoleLogin": "Success" }, "additionalEventData": { "LoginTo": "https://console.aws.amazon.com/console/home?state=hashArgs%23&isauthcode=true", "MobileVersion": "No", "MFAUsed": "No" }, "eventID": "deb1e1f9-c99b-4612-8e9f-21f93b5d79c0", "eventType": "AwsConsoleSignIn", "recipientAccountId": "111122223333" }

MFA를 사용하여 로그인한 루트 사용자

다음은 다중 인증(MFA)을 사용한 루트 사용자의 성공한 로그인 이벤트를 보여 줍니다.

{ "eventVersion": "1.05", "userIdentity": { "type": "Root", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:root", "accountId": "111122223333", "accessKeyId": "" }, "eventTime": "2022-11-10T16:24:34Z", "eventSource": "signin.amazonaws.com", "eventName": "ConsoleLogin", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:62.0) Gecko/20100101 Firefox/62.0", "requestParameters": null, "responseElements": { "ConsoleLogin": "Success" }, "additionalEventData": { "LoginTo": "https://console.aws.amazon.com/console/home?state=hashArgs%23&isauthcode=true", "MobileVersion": "No", "MFAIdentifier": "arn:aws:iam::111122223333:mfa/root-account-mfa-device", "MFAUsed": "YES" }, "eventID": "deb1e1f9-c99b-4612-8e9f-21f93b5d79c0", "eventType": "AwsConsoleSignIn", "recipientAccountId": "111122223333" }

루트 사용자, 로그인 실패

다음은 MFA를 사용하지 않은 루트 사용자의 실패한 로그인 이벤트를 나타냅니다.

{ "eventVersion": "1.05", "userIdentity": { "type": "Root", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:root", "accountId": "111122223333", "accessKeyId": "" }, "eventTime": "2022-11-10T16:24:34Z", "eventSource": "signin.amazonaws.com", "eventName": "ConsoleLogin", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36", "errorMessage": "Failed authentication", "requestParameters": null, "responseElements": { "ConsoleLogin": "Failure" }, "additionalEventData": { "LoginTo": "https://console.aws.amazon.com/console/home?state=hashArgs%23&isauthcode=true", "MobileVersion": "No", "MFAUsed": "No" }, "eventID": "a4fbbe77-91a0-4238-804a-64314184edb6", "eventType": "AwsConsoleSignIn", "recipientAccountId": "111122223333" }

루트 사용자, MFA 변경

다음은 멀티 팩터 인증(MFA) 설정을 변경하는 루트 사용자에 대한 예시 이벤트를 보여줍니다.

{ "eventVersion": "1.05", "userIdentity": { "type": "Root", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:root", "accountId": "111122223333", "accessKeyId": "EXAMPLE", "sessionContext": { "sessionIssuer": {}, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2020-10-13T21:05:40Z" } } }, "eventTime": "2022-11-10T16:24:34Z", "eventSource": "iam.amazonaws.com", "eventName": "EnableMFADevice", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "Coral/Netty4", "requestParameters": { "userName": "AWS ROOT USER", "serialNumber": "arn:aws:iam::111122223333:mfa/root-account-mfa-device" }, "responseElements": null, "requestID": "EXAMPLE4-2cf7-4a44-af00-f61f0EXAMPLE", "eventID": "EXAMPLEb-7dae-48cb-895f-20e86EXAMPLE", "readOnly": false, "eventType": "AwsApiCall", "recipientAccountId": "111122223333" }

루트 사용자, 암호 변경

다음은 암호를 변경하는 루트 사용자에 대한 예시 이벤트를 보여줍니다.

{ "eventVersion": "1.05", "userIdentity": { "type": "Root", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:root", "accountId": "111122223333", "accessKeyId": "" }, "eventTime": "2022-11-10T16:24:34Z", "eventSource": "signin.amazonaws.com", "eventName": "PasswordUpdated", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:78.0) Gecko/20100101 Firefox/78.0", "requestParameters": null, "responseElements": { "PasswordUpdated": "Success" }, "eventID": "EXAMPLEd-244c-4044-abbf-21c64EXAMPLE", "eventType": "AwsConsoleSignIn", "recipientAccountId": "111122223333" }