AWS CLI를 사용하여 저장된 쿼리 결과 검증 - AWS CloudTrail
필수 조건verify-query-results

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS CLI를 사용하여 저장된 쿼리 결과 검증

aws cloudtrail verify-query-results 명령을 사용하여 쿼리 결과 파일과 서명 파일의 무결성을 검증할 수 있습니다.

필수 조건

명령줄을 사용하여 쿼리 결과 무결성을 검증하려면 다음 조건을 충족해야 합니다.

  • AWS에 대한 온라인 연결이 있어야 합니다.

  • AWS CLI 버전 2를 사용해야 합니다.

  • 쿼리 결과 파일의 유효성을 검사하고, 파일을 로컬로 서명하려면, 다음 조건이 적용됩니다.

    • 쿼리 결과 파일과 서명 파일은 지정된 파일 경로에 넣어야 합니다. 파일 경로를 --local-export-path 파라미터 값으로 지정합니다.

    • 쿼리 결과 파일 및 서명 파일의 이름을 변경해서는 안 됩니다.

  • S3 버킷의 쿼리 결과 파일 및 서명 파일을 검증하려면, 다음 조건이 적용됩니다.

    • 쿼리 결과 파일 및 서명 파일의 이름을 변경해서는 안 됩니다.

    • 쿼리 결과 파일 및 서명 파일을 포함하는 Amazon S3 버킷에 대한 읽기 액세스 권한이 있어야 합니다.

    • 지정된 S3 접두사는 쿼리 결과 파일 및 서명 파일을 포함해야 합니다. S3 접두사를 --s3-prefix 파라미터 값으로 지정합니다.

verify-query-results

verify-query-results 명령은 서명 파일의 fileHashValue 값과의 비교를 통해 서명 파일의 hashSignature 값을 검증하여 각 쿼리 결과 파일의 해시 값을 확인합니다.

쿼리 결과를 확인할 때 --s3-bucket--s3-prefix 명령줄 옵션을 사용하여 S3 버킷에 저장된 쿼리 결과 파일 및 서명 파일을 검증하거나, --local-export-path 명령줄 옵션을 사용하여 다운로드한 쿼리 결과 파일 및 서명 파일의 로컬 검증을 수행할 수 있습니다.

참고

verify-query-results 명령은 지역별로 다릅니다. --region 글로벌 옵션을 지정하여 특정 AWS 리전에 대한 쿼리 결과를 검증해야 합니다.

다음은 verify-query-results 명령에 대한 옵션입니다.

--s3-bucket <string>

쿼리 결과 파일 및 서명 파일을 저장하는 S3 버킷 이름을 지정합니다. 이 파라미터는 --local-export-path와 함께 사용할 수 없습니다.

--s3-prefix <string>

쿼리 결과 파일 및 서명 파일(예: s3/path/)이 포함된 S3 폴더의 S3 경로를 지정합니다. 이 파라미터는 --local-export-path와 함께 사용할 수 없습니다. 파일이 S3 버킷의 루트 디렉터리에 있는 경우에는 이 파라미터를 제공할 필요가 없습니다.

--local-export-path <string>

쿼리 결과 파일 및 서명 파일(예: /local/path/to/export/file/)이 포함된 로컬 디렉터리를 지정합니다. 이 파라미터는 --s3-bucket 또는 --s3-prefix와 함께 사용할 수 없습니다.

예시

다음 예는 쿼리 결과 파일 및 서명 파일이 포함된 S3 버킷 이름과 접두사를 지정하는 --s3-bucket--s3-prefix 명령줄 옵션을 사용하여 쿼리 결과를 검증합니다.

aws cloudtrail verify-query-results --s3-bucket bucket_name --s3-prefix prefix --region region

다음 예는 쿼리 결과 파일 및 서명 파일의 로컬 경로를 지정하는 --local-export-path 명령줄 옵션을 사용하여 다운로드한 쿼리 결과를 검증합니다. 쿼리 결과 파일 다운로드에 대한 자세한 내용은 저장된 CloudTrail Lake 쿼리 결과 다운로드 섹션을 참조하세요.

aws cloudtrail verify-query-results --local-export-path local_file_path --region region

검증 결과

다음 표는 쿼리 결과 파일 및 서명 파일에 가능한 검증 메시지를 설명합니다.

파일 형식 확인 메시지 설명
Sign file Successfully validated sign and query result files 서명 파일 서명이 유효합니다. 참조하는 쿼리 결과 파일을 확인할 수 있습니다.
Query result file

ValidationError: "File file_name has inconsistent hash value with hash value recorded in sign file, hash value in sign file is expected_hash, but get computed_hash

 쿼리 결과 파일의 해시 값이 서명 파일의 fileHashValue와 일치하지 않아 검증이 실패했습니다.
Sign file

ValidationError: Invalid signature in sign file

 서명이 유효하지 않아 서명 파일 검증에 실패했습니다.