CloudTrail 서명 파일 구조

서명 파일에는 쿼리 결과를 저장할 때 Amazon S3 버킷에 전달된 각 쿼리 결과 파일의 이름, 각 쿼리 결과 파일의 해시 값, 파일의 디지털 서명이 포함됩니다. 디지털 서명 및 해시 값은 쿼리 결과 파일과 서명 파일 자체의 무결성을 검증하는 데 사용됩니다.

서명 파일 위치

서명 파일은 이 구문을 따른 Amazon S3 버킷 위치로 전송됩니다.


s3://s3-bucket-name/optional-prefix/AWSLogs/aws-account-ID/CloudTrail-Lake/Query/year/month/date/query-ID/result_sign.json

샘플 서명 파일 콘텐츠

다음 예시 서명 파일에는 다음 예시 서명 파일에는 대한 정보가 포함됩니다. CloudTrail Lake 쿼리 결과입니다.


{
  "version": "1.0",
  "region": "us-east-1",
  "files": [
    {
      "fileHashValue" : "de85a48b8a363033c891abd723181243620a3af3b6505f0a44db77e147e9c188",
      "fileName" : "result_1.csv.gz"
    }
  ],
  "hashAlgorithm" : "SHA-256",
  "signatureAlgorithm" : "SHA256withRSA",
  "queryCompleteTime": "2022-05-10T22:06:30Z",
  "hashSignature" : "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",
  "publicKeyFingerprint" : "67b9fa73676d86966b449dd677850753"
}

서명 파일 필드 설명

서명 파일의 각 필드에 대한 설명은 다음과 같습니다.

version: 서명 파일의 버전입니다.

region: 대상 지역:AWS쿼리 결과를 저장하는 데 사용되는 계정입니다.

files.fileHashValue: 압축된 쿼리 결과 파일 콘텐츠의 16진수 인코딩 해시 값입니다.

files.fileName: 쿼리 결과 파일의 이름입니다.

hashAlgorithm: 쿼리 결과 파일 해싱에 사용하는 해시 알고리즘입니다.

signatureAlgorithm: 파일에 서명하는 데 사용하는 알고리즘입니다.

queryCompleteTime: 시기를 표시합니다. CloudTrail 쿼리 결과를 S3 버킷에 전달했습니다. 이 값을 사용하여 퍼블릭 키를 찾을 수 있습니다.

hashSignature: 파일의 해시 서명입니다.

publicKeyFingerprint: 파일에 서명하는 데 사용된 퍼블릭 키의 16진수 인코딩 지문입니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

를 사용하여 쿼리 결과를 검증합니다.AWS CLI

사용자 지정 구현: CloudTrail 쿼리 결과 검증