CloudTrail 서명 파일 구조

서명 파일에는 쿼리 결과를 저장할 때 Amazon S3 버킷에 전달된 각 쿼리 결과 파일의 이름, 각 쿼리 결과 파일의 해시 값, 파일의 디지털 서명이 포함됩니다. 디지털 서명 및 해시 값은 쿼리 결과 파일과 서명 파일 자체의 무결성을 검증하는 데 사용됩니다.

서명 파일 위치

서명 파일은 이 구문을 따른 Amazon S3 버킷 위치로 전송됩니다.

s3://s3-bucket-name/optional-prefix/AWSLogs/aws-account-ID/CloudTrail-Lake/Query/year/month/date/query-ID/result_sign.json

샘플 서명 파일 콘텐츠

다음 예시 서명 파일에는 CloudTrail Lake 쿼리 결과에 대한 정보가 포함됩니다.

{
  "version": "1.0",
  "region": "us-east-1",
  "files": [
    {
      "fileHashValue" : "de85a48b8a363033c891abd723181243620a3af3b6505f0a44db77e147e9c188",
      "fileName" : "result_1.csv.gz"
    }
  ],
  "hashAlgorithm" : "SHA-256",
  "signatureAlgorithm" : "SHA256withRSA",
  "queryCompleteTime": "2022-05-10T22:06:30Z",
  "hashSignature" : "7664652aaf1d5a17a12ba50abe6aca77c0ec76264bdf7dce71ac6d1c7781117c2a412e5820bccf473b1361306dff648feae20083ad3a27c6118172a81635829bdc7f7b795ebfabeb5259423b2fb2daa7d1d02f55791efa403dac553171e7ce5f9307d13e92eeec505da41685b4102c71ec5f1089168dacde702c8d39fed2f25e9216be5c49769b9db51037cb70a84b5712e1dffb005a74580c7fdcbb89a16b9b7674e327de4f5414701a772773a4c98eb008cca34228e294169901c735221e34cc643ead34628aabf1ba2c32e0cdf28ef403e8fe3772499ac61e21b70802dfddded9bea0ddfc3a021bf2a0b209f312ccee5a43f2b06aa35cac34638f7611e5d7",
  "publicKeyFingerprint" : "67b9fa73676d86966b449dd677850753"
}

서명 파일 필드 설명

서명 파일의 각 필드에 대한 설명은 다음과 같습니다.

version

서명 파일의 버전입니다.

region

쿼리 결과를 저장하는 데 사용되는 AWS 계정 리전입니다.

files.fileHashValue

압축된 쿼리 결과 파일 콘텐츠의 16진수 인코딩 해시 값입니다.

files.fileName

쿼리 결과 파일의 이름입니다.

hashAlgorithm

쿼리 결과 파일 해싱에 사용하는 해시 알고리즘입니다.

signatureAlgorithm

파일에 서명하는 데 사용하는 알고리즘입니다.

queryCompleteTime

CloudTrail이 쿼리 결과를 S3 버킷에 전송한 시점을 나타냅니다. 이 값을 사용하여 퍼블릭 키를 찾을 수 있습니다.

hashSignature

파일의 해시 서명입니다.

publicKeyFingerprint

파일에 서명하는 데 사용된 퍼블릭 키의 16진수 인코딩 지문입니다.