CloudTrail 콘솔로 트레일 업데이트

이 섹션에서는 추적 설정을 변경하는 방법을 설명합니다.

단일 지역 트레일을 업데이트하여 모든 이벤트를 기록하려면 AWS 리전 에서 AWS 작업 중인 파티션이나 단일 지역에서만 이벤트를 기록하도록 다중 지역 트레일을 업데이트하려면 다음을 사용해야 합니다. AWS CLI. 모든 지역의 이벤트를 기록하도록 단일 지역 트레일을 업데이트하는 방법에 대한 자세한 내용은 을 참조하십시오한 리전에 적용되는 추적을 모든 리전에 적용되는 추적으로 변환. 모든 리전 추적을 업데이트하여 단일 리전에서 이벤트를 로그하는 방법에 대한 자세한 내용은 다중 리전 추적을 단일 리전 추적으로 변환를 참조하세요.

Amazon Security Lake에서 CloudTrail 관리 이벤트를 활성화한 경우, 다중 read 지역이고 write 관리 이벤트를 모두 기록하는 조직 트레일을 하나 이상 유지 관리해야 합니다. Security Lake 요구 사항을 충족하지 못하는 방식으로는 적격 추적을 업데이트할 수 없습니다. 예를 들어, 추적을 단일 리전으로 변경하거나, read 또는 write 관리 이벤트의 로깅을 비활성화할 수는 없습니다.

참고

CloudTrail 리소스 검증이 실패하더라도 회원 계정의 조직 내역을 업데이트합니다. 검증 실패의 예는 다음과 같습니다.

잘못된 Amazon S3 버킷 정책
잘못된 아마존 SNS 주제 정책
CloudWatch 로그 로그 그룹에 전달할 수 없음
키를 사용하여 암호화할 수 있는 권한이 충분하지 않음 KMS

CloudTrail 권한이 있는 멤버 계정은 CloudTrail 콘솔에서 트레일의 세부 정보 페이지를 보거나 다음을 실행하여 조직 트레일의 유효성 검사 실패를 확인할 수 있습니다. AWS CLI get-trail-status명령.

를 사용하여 트레일을 업데이트하려면 AWS Management Console

에 로그인하세요. AWS Management Console 에서 CloudTrail 콘솔을 엽니다 https://console.aws.amazon.com/cloudtrail/.
탐색 창에서 [추적(Trails)]을 선택한 다음, 추적 이름을 선택합니다.
[일반 세부 정보(General details)]에서 [편집(Edit)]을 선택하여 다음 설정을 변경합니다. 추적 이름은 변경할 수 없습니다.
- 내 조직에 트레일 적용 - 이 트레일이 해당 트레일인지 여부를 변경합니다. AWS Organizations 조직 트레일.
  
  참고
  오직 조직의 관리 계정만이 조직 추적을 비조직 추적으로 전환하거나, 비조직 추적을 조직 추적으로 전환할 수 있습니다.
- [추적 로그 위치(Trail log location)] - 이 추적의 로그를 저장할 S3 버킷 또는 접두사의 이름을 변경합니다.
- 로그 파일 SSE - KMS 암호화 - -S3 KMS 대신 SSE -를 사용하여 SSE 로그 파일 암호화를 활성화하거나 비활성화하도록 선택합니다.
- [로그 파일 검증(Log file validation)] - 로그 파일 무결성 검증을 사용하거나 사용 중지하도록 선택합니다.
- SNS알림 전송 - 트레일에 지정된 버킷으로 로그 파일이 전송되었다는 Amazon Simple Notification Service (AmazonSNS) 알림을 활성화 또는 비활성화할지 선택합니다.
1. 트레일을 다음으로 변경하려면 AWS Organizations 조직 트레일을 선택하면 조직의 모든 계정에 대해 트레일을 활성화할 수 있습니다. 자세한 내용은 조직에 대한 추적 생성 단원을 참조하십시오.
2. [스토리지 위치(Storage location)]에서 지정된 버킷을 변경하려면 [새 S3 버킷 생성(Create new S3 bucket)]을 선택하여 버킷을 생성합니다. 버킷을 만들면 필요한 버킷 정책이 CloudTrail 생성되어 적용됩니다. 새 S3 버킷을 생성하는 경우 기본적으로 버킷에 대해 서버 측 암호화가 활성화되므로 IAM 정책에 s3:PutEncryptionConfiguration 작업에 대한 권한이 포함되어야 합니다.
  
  참고
  [기존 S3 버킷 사용(Use existing S3 bucket)]을 선택한 경우 [추적 로그 버킷 이름(Trail log bucket name)]에 버킷을 지정하거나 [찾아보기(Browse)]를 선택하여 버킷을 선택합니다. 버킷 정책은 쓰기 CloudTrail 권한을 부여해야 합니다. 버킷 정책의 수동 편집에 대한 자세한 내용은 에 대한 Amazon S3 버킷 정책 CloudTrail 단원을 참조하세요.
  
  로그를 더 쉽게 찾을 수 있도록 기존 버킷에 새 폴더 (접두사라고도 함) 를 만들어 CloudTrail 로그를 저장하십시오. [접두사(Prefix)]에 접두사를 입력합니다.
3. 로그 파일 SSE - KMS 암호화의 경우 SSE -S3 KMS 암호화 대신 SSE - 암호화를 사용하여 로그 파일을 암호화하려면 활성화를 선택합니다. 기본값은 [사용(Enabled)]입니다. SSE- KMS 암호화를 활성화하지 않으면 SSE -S3 암호화를 사용하여 로그가 암호화됩니다. SSE- KMS 암호화에 대한 자세한 내용은 다음과 같은 서버 측 암호화 사용을 참조하십시오. AWS Key Management Service (SSE-KMS). SSE-S3 암호화에 대한 자세한 내용은 Amazon S3 관리형 암호화 키 (-S3) 를 사용한 서버 측 암호화 사용을 참조하십시오. SSE
  
  SSE- KMS 암호화를 활성화하는 경우 신규 또는 기존 암호화를 선택하십시오. AWS KMS key. 에서 AWS KMS 별칭, 다음 형식으로 별칭을 지정합니다. alias/ MyAliasName. 자세한 내용은 을 참조하십시오콘솔에서 KMS 키를 사용하도록 리소스 업데이트. CloudTrail 또한 지원합니다. AWS KMS 다중 지역 키. 다중 지역 키에 대한 자세한 내용은 의 다중 지역 키 사용을 참조하십시오. AWS Key Management Service 개발자 가이드.
  
  참고
  다른 ARN 계정의 키를 입력할 수도 있습니다. 자세한 내용은 콘솔에서 KMS 키를 사용하도록 리소스 업데이트 단원을 참조하십시오. 키 정책은 키를 CloudTrail 사용하여 로그 파일을 암호화하고 지정한 사용자가 암호화되지 않은 형식으로 로그 파일을 읽을 수 있도록 허용해야 합니다. 키 정책의 수동 편집에 대한 자세한 내용은 에 대한 AWS KMS 주요 정책 구성 CloudTrail 단원을 참조하세요.
4. [로그 파일 검증(Log file validation)]에서 [사용(Enabled)]을 선택하여 로그 다이제스트를 S3 버킷에 전달합니다. 다이제스트 파일을 사용하여 로그 파일이 전달된 후 CloudTrail 변경되지 않았는지 확인할 수 있습니다. 자세한 내용은 CloudTrail 로그 파일 무결성 검증 단원을 참조하십시오.
5. SNS알림 전달의 경우 로그가 버킷으로 전송될 때마다 알림을 받으려면 활성화를 선택합니다. CloudTrail 로그 파일에 여러 이벤트를 저장합니다. SNS알림은 모든 이벤트가 아닌 모든 로그 파일에 대해 전송됩니다. 자세한 내용은 다음에 대한 Amazon SNS 알림 구성 CloudTrail 단원을 참조하십시오.
  
  SNS알림을 활성화한 경우 새 SNS 주제 만들기에서 새로 만들기를 선택하여 주제를 생성하거나 기존 주제를 사용하려면 기존을 선택합니다. 모든 지역에 적용되는 트레일을 생성하는 경우 모든 지역의 로그 파일 전송에 대한 SNS 알림이 생성한 단일 SNS 주제로 전송됩니다.
  
  새로 만들기를 선택한 경우 새 주제의 이름을 CloudTrail 지정하거나 이름을 입력할 수 있습니다. 기존을 선택하는 경우 드롭다운 목록에서 SNS 주제를 선택합니다. 다른 지역의 주제 또는 적절한 권한이 있는 계정에서 주제를 입력할 수도 있습니다. ARN 자세한 내용은 에 대한 아마존 SNS 주제 정책 CloudTrail 단원을 참조하십시오.
  
  주제를 생성한 경우 로그 파일 전송에 대한 알림을 받으려면 해당 주제를 구독해야 합니다. Amazon SNS 콘솔에서 구독할 수 있습니다. 알림 빈도가 높기 때문에 Amazon SQS 대기열을 사용하여 프로그래밍 방식으로 알림을 처리하도록 구독을 구성하는 것이 좋습니다. 자세한 내용은 Amazon 단순 알림 서비스 개발자 안내서의 Amazon SNS 시작하기를 참조하십시오.
CloudWatch 로그에서 편집을 선택하여 CloudTrail 로그 파일을 CloudWatch Logs로 전송하기 위한 설정을 변경합니다. CloudWatch 로그 파일 전송을 활성화하려면 [로그에서 활성화] 를 선택합니다. 자세한 내용은 CloudWatch 로그로 이벤트 전송 단원을 참조하십시오.
1. CloudWatch 로그와의 통합을 활성화한 경우 새 로그 그룹을 만들려면 [새로 만들기] 를 선택하고 기존 로그 그룹을 사용하려면 [Existing] 을 선택합니다. 새로 만들기를 선택하는 경우 새 로그 그룹의 이름을 CloudTrail 지정하거나 이름을 입력할 수 있습니다.
2. [기존(Existing)]을 선택하는 경우 드롭다운 목록에서 로그 그룹을 선택합니다.
3. 로그에 로그를 전송할 수 있는 권한에 대한 새 IAM 역할을 만들려면 [새로 만들기] 를 CloudWatch 선택합니다. 기존 역할을 선택하여 드롭다운 목록에서 기존 IAM 역할을 선택합니다. [정책 문서(Policy document)]를 확장하면 새 역할 또는 기존 역할의 정책 문이 표시됩니다. 이에 대한 자세한 내용은 모니터링에 CloudWatch 로그를 CloudTrail 사용하기 위한 역할 정책 문서 단원을 참조하세요.
  참고
  트레일을 구성할 때 다른 계정에 속하는 S3 버킷과 SNS 주제를 선택할 수 있습니다. 하지만 로그 CloudWatch 로그 그룹에 이벤트를 CloudTrail 전송하려면 현재 계정에 있는 로그 그룹을 선택해야 합니다.
  
  관리 계정만 콘솔을 사용하여 조직 트레일의 CloudWatch 로그 로그 그룹을 구성할 수 있습니다. 위임된 관리자는 다음을 사용하여 로그 CloudWatch 로그 그룹을 구성할 수 있습니다. AWS CLI CloudTrail CreateTrail또는 UpdateTrail API 작업.
[태그(Tags)]에서 [편집(Edit)]을 선택하여 추적의 태그를 변경, 추가 또는 삭제합니다. 최대 50개의 태그 키 쌍을 추가하여 트레일을 식별, 분류 및 제어하는 데 도움이 될 수 있습니다. 태그를 사용하면 CloudTrail 트레일과 CloudTrail 로그 파일이 포함된 Amazon S3 버킷을 모두 식별할 수 있습니다. 그러면 리소스에 리소스 그룹을 사용할 수 있습니다. CloudTrail 자세한 내용은 단원을 참조하세요.AWS Resource Groups 및 Tags.
[관리 이벤트(Management events)]에서 [편집(Edit)]을 선택하여 관리 이벤트 로깅 설정을 변경합니다.
1. API활동의 경우 트레일에 읽기 이벤트를 기록할지, 쓰기 이벤트를 기록할지, 아니면 둘 다를 기록할지 선택합니다. 자세한 내용은 관리 이벤트 단원을 참조하십시오.
2. 제외를 선택합니다. AWS KMS 필터링할 이벤트 AWS Key Management Service (AWS KMS) 트레일 외 이벤트. 기본 설정은 모두 포함하도록 되어 있습니다. AWS KMS 이벤트.
  
  기록 또는 제외 옵션 AWS KMS 이벤트는 트레일에 관리 이벤트를 기록하는 경우에만 사용할 수 있습니다. 관리 이벤트를 기록하지 않기로 선택한 경우 AWS KMS 이벤트는 기록되지 않으며 변경할 수 없습니다. AWS KMS 이벤트 로깅 설정.
  
  AWS KMS Encrypt,Decrypt, 와 같은 작업은 GenerateDataKey 일반적으로 대규모 (99% 이상) 의 이벤트를 생성합니다. 이러한 작업은 이제 읽기 이벤트로 로그됩니다. 볼륨이 적고 관련성이 높습니다. AWS KMS Disable,Delete, ScheduleKey (일반적으로 0.5% 미만을 차지하는) 와 같은 작업 AWS KMS 이벤트 볼륨) 은 쓰기 이벤트로 기록됩니다.
  
  Encrypt,, DecryptGenerateDataKey, 와 같은 대용량 이벤트를 제외하지만 여전히 관련 이벤트 (예: Delete 및ScheduleKey) 는 기록하려면 쓰기 관리 이벤트를 기록하도록 선택하고 제외 확인란의 선택을 취소합니다. Disable AWS KMS 이벤트.
3. Amazon RDS Data API 이벤트 제외를 선택하여 Amazon 관계형 데이터베이스 서비스 API 데이터 이벤트를 트레일에서 필터링하십시오. 기본 설정은 모든 Amazon RDS Data API 이벤트를 포함하는 것입니다. Amazon RDS Data API 이벤트에 대한 자세한 내용은 데이터 API 호출 로깅을 참조하십시오. AWS CloudTrailAurora용 Amazon RDS 사용 설명서에서 확인할 수 있습니다.
중요
7~11단계는 고급 이벤트 선택기를 사용하여 데이터 이벤트를 구성하는 단계입니다. 고급 이벤트 선택기를 사용하면 더 많은 데이터 이벤트 유형을 구성하고, 추적에서 캡처하는 데이터 이벤트를 세밀하게 제어할 수 있습니다. 고급 이벤트 선택기를 사용한다면 기본 이벤트 선택기를 사용하여 데이터 이벤트 설정 업데이트 섹션을 참조한 다음 이 절차의 12단계로 돌아옵니다.

[데이터 이벤트(Data events)]에서 [편집(Edit)]을 선택하여 데이터 이벤트 로깅 설정을 변경합니다. 기본적으로 추적은 데이터 이벤트를 로그하지 않습니다. 데이터 이벤트 로깅에는 추가 요금이 부과됩니다. CloudTrail요금은 다음을 참조하십시오. AWS CloudTrail 가격 책정.

[데이터 이벤트 유형(Data event type)]에서 데이터 이벤트를 로그할 리소스 유형을 선택합니다. 사용할 수 있는 데이터 이벤트 유형에 대한 자세한 내용은 데이터 이벤트 섹션을 참조하세요.

참고
에 대한 데이터 이벤트를 기록하려면 AWS Glue 레이크 포메이션에서 만든 테이블은 레이크 포메이션을 선택하세요.
로그 셀렉터 템플릿을 선택하세요. CloudTrail 리소스 유형에 대한 모든 데이터 이벤트를 기록하는 사전 정의된 템플릿이 포함되어 있습니다. 사용자 지정 로그 선택기 템플릿을 구축하려면 [사용자 지정(Custom)]을 선택합니다.

참고
S3 버킷에 사전 정의된 템플릿을 선택하면 현재 내 버킷에 있는 모든 버킷에 대한 데이터 이벤트 로깅이 활성화됩니다. AWS 트레일 생성을 완료한 후 생성한 계정 및 모든 버킷 또한 내 사용자 또는 역할이 수행한 데이터 이벤트 활동을 기록할 수 있습니다. AWS 계정 (해당 활동이 다른 버킷에 속한 버킷에서 수행되더라도) AWS 계정.
한 리전에만 추적을 적용하는 경우 모든 S3 버킷을 로그하는 사전 정의된 템플릿을 선택하면 추적과 동일한 리전의 모든 버킷과 해당 리전에서 나중에 생성하는 버킷에 대해 데이터 이벤트 로깅이 활성화됩니다. 해당 지역의 다른 지역에 있는 Amazon S3 버킷에 대한 데이터 이벤트는 기록하지 않습니다. AWS 계정.
모든 리전에 대한 트레일을 생성하는 경우, Lambda 함수의 사전 정의된 템플릿을 선택하면 현재 내 모든 함수에 대한 데이터 이벤트 로깅이 활성화됩니다. AWS 계정 및 트레일 생성을 완료한 후 모든 지역에서 생성할 수 있는 모든 Lambda 함수 단일 리전에 대한 트레일을 생성하는 경우 (다음을 사용하여 완료) AWS CLI) 이 옵션을 선택하면 현재 해당 지역의 모든 함수에 대한 데이터 이벤트 로깅이 활성화됩니다. AWS 계정 및 트레일 생성을 완료한 후 해당 리전에서 생성할 수 있는 모든 Lambda 함수 다른 리전에서 생성되는 Lambda 함수에 대한 데이터 이벤트 로깅은 활성화되지 않습니다.
모든 함수에 대한 데이터 이벤트를 로깅하면 해당 함수의 모든 사용자 또는 역할이 수행한 데이터 이벤트 활동을 로깅할 수도 있습니다. AWS 계정 (해당 활동이 다른 함수에 속해 있는 함수에서 수행된 경우에도 마찬가지) AWS 계정.
(선택 사항) 선택자 이름(Selector name)에 선택자를 식별할 이름을 입력합니다. 선택기 이름은 "2개의 S3 버킷에 대한 데이터 이벤트 로그그"애와 같이 고급 이벤트 선택기를 설명하는 이름입니다. 선택기 이름은 고급 이벤트 선택기와 같이 Name 나열되며 보기를 확장하면 볼 수 있습니다. JSON

[고급 이벤트 선택기(Advanced event selectors)]에서 데이터 이벤트를 로그하려는 특정 리소스에 대한 표현식을 작성합니다. 사전 정의된 로그 템플릿을 사용한다면 이 단계를 건너뛸 수 있습니다.

다음 필드 중에서 선택합니다.

readOnly- readOnly 또는 의 값과 같도록 설정할 수 있습니다. true false 읽기 전용 데이터 이벤트는 Get* 또는 Describe* 이벤트와 같이 리소스의 상태를 변경하지 않는 이벤트입니다. 쓰기 이벤트는 Put*, Delete* 또는 Write* 이벤트와 같이 리소스, 속성 또는 아티팩트를 추가, 변경 또는 삭제합니다. read 이벤트와 write 이벤트를 모두 로그하려면 readOnly 선택기를 추가하지 마세요.
eventName - eventName은 연산자를 사용할 수 있습니다. 이를 사용하여 CloudTrail, 또는 와 같이 PutBucket 기록된 모든 데이터 이벤트를 포함하거나 GetSnapshotBlock 제외할 수 있습니다. GetItem

resources.ARN- 와 함께 resources.ARN 사용하는 모든 연산자를 사용할 수 있지만 같거나 같지 않은 연산자를 사용하는 경우 값은 템플릿에서 값으로 지정한 유형의 유효한 리소스 값과 정확히 일치해야 합니다. ARN resources.type

다음 표에는 각 resources.type 형식에 대한 유효한 ARN 형식이 나와 있습니다.

참고

resources.ARN필드를 사용하여 없는 리소스 유형을 필터링할 수는 없습니다ARNs.

resources.type	리소스. ARN
`AWS::DynamoDB::Table¹`	`arn:partition:dynamodb:region:account_ID:table/table_name`
`AWS::Lambda::Function`	`arn:partition:lambda:region:account_ID:function:function_name`
`AWS::S3::Object`²	`arn:partition:s3:::amzn-s3-demo-bucket/ arn:partition:s3:::amzn-s3-demo-bucket/object_or_file_name/`
`AWS::AppConfig::Configuration`	`arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID`
`AWS::B2BI::Transformer`	`arn:partition:b2bi:region:account_ID:transformer/transformer_ID`
`AWS::Bedrock::AgentAlias`	`arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID`
`AWS::Bedrock::FlowAlias`	`arn:partition:bedrock:region:account_ID:flow/flow_ID/alias/alias_ID`
`AWS::Bedrock::Guardrail`	`arn:partition:bedrock:region:account_ID:guardrail/guardrail_ID`
`AWS::Bedrock::KnowledgeBase`	`arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID`
`AWS::Cassandra::Table`	`arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name`
`AWS::CloudFront::KeyValueStore`	`arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name`
`AWS::CloudTrail::Channel`	`arn:partition:cloudtrail:region:account_ID:channel/channel_UUID`
`AWS::CodeWhisperer::Customization`	`arn:partition:codewhisperer:region:account_ID:customization/customization_ID`
`AWS::CodeWhisperer::Profile`	`arn:partition:codewhisperer:region:account_ID:profile/profile_ID`
`AWS::Cognito::IdentityPool`	`arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID`
`AWS::DynamoDB::Stream`	`arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time`
`AWS::EC2::Snapshot`	`arn:partition:ec2:region::snapshot/snapshot_ID`
`AWS::EMRWAL::Workspace`	`arn:partition:emrwal:region:account_ID:workspace/workspace_name`
`AWS::FinSpace::Environment`	`arn:partition:finspace:region:account_ID:environment/environment_ID`
`AWS::Glue::Table`	`arn:partition:glue:region:account_ID:table/database_name/table_name`
`AWS::GreengrassV2::ComponentVersion`	`arn:partition:greengrass:region:account_ID:components/component_name`
`AWS::GreengrassV2::Deployment`	`arn:partition:greengrass:region:account_ID:deployments/deployment_ID`
`AWS::GuardDuty::Detector`	`arn:partition:guardduty:region:account_ID:detector/detector_ID`
`AWS::IoT::Certificate`	`arn:partition:iot:region:account_ID:cert/certificate_ID`
`AWS::IoT::Thing`	`arn:partition:iot:region:account_ID:thing/thing_ID`
`AWS::IoTSiteWise::Asset`	`arn:partition:iotsitewise:region:account_ID:asset/asset_ID`
`AWS::IoTSiteWise::TimeSeries`	`arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID`
`AWS::IoTTwinMaker::Entity`	`arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID`
`AWS::IoTTwinMaker::Workspace`	`arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID`
`AWS::KendraRanking::ExecutionPlan`	`arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID`
`AWS::Kinesis::Stream`	`arn:partition:kinesis:region:account_ID:stream/stream_name`
`AWS::Kinesis::StreamConsumer`	`arn:partition:kinesis:region:account_ID:stream_type/stream_name/consumer/consumer_name:consumer_creation_timestamp`
`AWS::KinesisVideo::Stream`	`arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time`
`AWS::MachineLearning::MlModel`	`arn:partition:machinelearning:region:account_ID:mlmodel/model_ID`
`AWS::ManagedBlockchain::Network`	`arn:partition:managedblockchain:::networks/network_name`
`AWS::ManagedBlockchain::Node`	`arn:partition:managedblockchain:region:account_ID:nodes/node_ID`
`AWS::MedicalImaging::Datastore`	`arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID`
`AWS::NeptuneGraph::Graph`	`arn:partition:neptune-graph:region:account_ID:graph/graph_ID`
`AWS::One::UKey`	`arn:partition:one:region:account_ID:user/user_ID/u-key/u-key_ID`
`AWS::One::User`	`arn:partition:one:region:account_ID:user/user_ID`
`AWS::PaymentCryptography::Alias`	`arn:partition:payment-cryptography:region:account_ID:alias/alias`
`AWS::PaymentCryptography::Key`	`arn:partition:payment-cryptography:region:account_ID:key/key_ID`
`AWS::PCAConnectorAD::Connector`	`arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID`
`AWS::PCAConnectorSCEP::Connector`	`arn:partition:pca-connector-scep:region:account_ID:connector/connector_ID`
`AWS::QApps:QApp`	`arn:partition:qapps:region:account_ID:application/application_UUID/qapp/qapp_UUID`
`AWS::QBusiness::Application`	`arn:partition:qbusiness:region:account_ID:application/application_ID`
`AWS::QBusiness::DataSource`	`arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID`
`AWS::QBusiness::Index`	`arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID`
`AWS::QBusiness::WebExperience`	`arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID`
`AWS::RDS::DBCluster`	`arn:partition:rds:region:account_ID:cluster/cluster_name`
`AWS::RUM::AppMonitor`	`arn:partition:rum:region:account_ID:appmonitor/app_monitor_name`
`AWS::S3::AccessPoint`³	`arn:partition:s3:region:account_ID:accesspoint/access_point_name`
`AWS::S3Express::Object`	`arn:partition:s3express:region:account_ID:bucket/bucket_name`
`AWS::S3ObjectLambda::AccessPoint`	`arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name`
`AWS::S3Outposts::Object`	`arn:partition:s3-outposts:region:account_ID:object_path`
`AWS::SageMaker::Endpoint`	`arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name`
`AWS::SageMaker::ExperimentTrialComponent`	`arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name`
`AWS::SageMaker::FeatureGroup`	`arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name`
`AWS::SCN::Instance`	`arn:partition:scn:region:account_ID:instance/instance_ID`
`AWS::ServiceDiscovery::Namespace`	`arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID`
`AWS::ServiceDiscovery::Service`	`arn:partition:servicediscovery:region:account_ID:service/service_ID`
`AWS::SNS::PlatformEndpoint`	`arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID`
`AWS::SNS::Topic`	`arn:partition:sns:region:account_ID:topic_name`
`AWS::SQS::Queue`	`arn:partition:sqs:region:account_ID:queue_name`
`AWS::SSM::ManagedNode`	는 다음 형식 중 ARN 하나여야 합니다. `arn:partition:ssm:region:account_ID:managed-instance/instance_ID` `arn:partition:ec2:region:account_ID:instance/instance_ID`
`AWS::SSMMessages::ControlChannel`	`arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID`
`AWS::StepFunctions::StateMachine`	는 다음 형식 중 ARN 하나여야 합니다. `arn:partition:states:region:account_ID:stateMachine:stateMachine_name` `arn:partition:states:region:account_ID:stateMachine:stateMachine_name/label_name`
`AWS::SWF::Domain`	`arn:partition:swf:region:account_ID:/domain/domain_name`
`AWS::ThinClient::Device`	`arn:partition:thinclient:region:account_ID:device/device_ID`
`AWS::ThinClient::Environment`	`arn:partition:thinclient:region:account_ID:environment/environment_ID`
`AWS::Timestream::Database`	`arn:partition:timestream:region:account_ID:database/database_name`
`AWS::Timestream::Table`	`arn:partition:timestream:region:account_ID:database/database_name/table/table_name`
`AWS::VerifiedPermissions::PolicyStore`	`arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID`

¹ 스트림이 활성화된 테이블의 경우 데이터 이벤트의 resources 필드에 AWS::DynamoDB::Stream과 AWS::DynamoDB::Table이 모두 포함됩니다. resources.type으로 AWS::DynamoDB::Table을 지정하는 경우 기본적으로 DynamoDB 테이블과 DynamoDB 스트림 이벤트가 모두 로깅됩니다. 스트림 이벤트를 제외하려면 eventName 필드에 필터를 추가하십시오.

² 특정 S3 버킷의 모든 객체에 대한 모든 데이터 이벤트를 기록하려면 StartsWith 연산자를 사용하고 ARN 버킷만 일치하는 값으로 포함하십시오. 후행 슬래시는 의도적인 것입니다. 제외하지 마세요.

³ S3 액세스 포인트의 모든 객체에 이벤트를 기록하려면 액세스 ARN 포인트만 사용하고 객체 경로는 포함하지 않고 StartsWith or NotStartsWith 연산자를 사용하는 것이 좋습니다.

데이터 이벤트 리소스의 ARN 형식에 대한 자세한 내용은 의 작업, 리소스 및 조건 키를 참조하십시오. AWS Identity and Access Management 사용 설명서.

각 필드에 대해 [+ 조건(+ Condition)]을 선택하여 모든 조건에 대해 최대 500개의 지정된 값까지 필요한 만큼 조건을 추가합니다. 예를 들어, 이벤트 데이터 스토어에 기록된 데이터 이벤트에서 두 S3 버킷의 데이터 이벤트를 제외하려면 필드를 리소스로 설정하면 됩니다. ARN에서 연산자가 ~로 시작하지 않도록 설정한 다음 S3 ARN 버킷에 붙여넣거나 이벤트를 기록하지 않으려는 S3 버킷을 찾아보십시오.

두 번째 S3 버킷을 추가하려면 + Condition을 선택한 다음 이전 지침을 반복하여 양식에 붙여넣거나 다른 버킷을 검색하십시오. ARN

여러 조건을 CloudTrail 평가하는 방법에 대한 자세한 내용은 을 참조하십시오. 필드의 여러 CloudTrail 조건을 평가하는 방법

참고
이벤트 데이터 스토어의 모든 선택기에 대해 최대 500개의 값을 가질 수 있습니다. 여기에는 eventName과 같은 선택기에 대한 여러 값의 배열이 포함됩니다. 모든 선택기에 대해 단일 값이 있는 경우 선택기에 최대 500개의 조건을 추가할 수 있습니다.
필요에 따라 필드를 추가하려면 [+ 필드(+ Field)]를 선택합니다. 오류를 방지하려면 필드에 충돌하거나 중복되는 값을 설정하지 마세요. 예를 들어, 한 선택기의 a가 값과 같도록 ARN 지정하지 말고 다른 선택기의 값이 같지 않도록 지정하십시오. ARN

데이터 이벤트를 로그할 다른 데이터 유형을 추가하려면 [데이터 이벤트 유형 추가(Add data event type)]를 선택합니다. 데이터 이벤트 유형에 대한 고급 이벤트 선택기를 구성하려면 3단계부터 이 단계까지 반복합니다.
트레일이 Insights 이벤트를 기록하도록 하려면 CloudTrail Insights 이벤트에서 편집을 선택합니다.

[이벤트 유형(Event type)]에서 [Insights 이벤트(Insights events)]를 선택합니다.

Insights 이벤트에서 API 통화율, API오류율 또는 둘 다를 선택합니다. API통화 속도에 대한 Insights 이벤트를 기록하려면 쓰기 관리 이벤트를 로깅해야 합니다. Insights 이벤트에서 API오류율을 기록하려면 읽기 또는 쓰기 관리 이벤트를 로깅해야 합니다.

CloudTrail Insights는 관리 이벤트에서 비정상적인 활동을 분석하고 이상이 감지되면 이벤트를 기록합니다. 기본적으로 추적은 인사이트 이벤트를 로그하지 않습니다. 인사이트에 이벤트에 대한 자세한 내용은 Insights 이벤트 로깅 단원을 참조하세요. 인사이트 이벤트 로깅에는 추가 요금이 부과됩니다. 가격은 다음을 참조하십시오. CloudTrail AWS CloudTrail 가격 책정.

Insights 이벤트는 트레일 세부 정보 페이지의 스토리지 위치 영역에 지정된 동일한 S3 /CloudTrail-Insight 버킷의 이름이 지정된 다른 폴더로 전송됩니다. CloudTrail새 접두사를 자동으로 생성합니다. 예를 들어, 현재 대상 S3 버킷의 이름이 amzn-s3-demo-bucket/AWSLogs/CloudTrail/인 경우 새 접두사가 있는 S3 버킷 이름은 amzn-s3-demo-bucket/AWSLogs/CloudTrail-Insight/이 됩니다.
추적에서 설정 변경을 마쳤으면 [추적 업데이트(Update trail)]를 선택합니다.

기본 이벤트 선택기를 사용하여 데이터 이벤트 설정 업데이트

고급 이벤트 선택기를 사용하여 모든 데이터 이벤트 유형을 구성할 수 있습니다. 고급 이벤트 선택기를 사용하면 세밀한 선택기를 만들어 관심 있는 이벤트만 기록할 수 있습니다.

기본 이벤트 선택기를 사용하여 데이터 이벤트를 기록하는 경우 Amazon S3 버킷의 데이터 이벤트 로깅으로 제한됩니다. AWS Lambda 함수 및 Amazon DynamoDB 테이블. 기본 이벤트 선택기를 사용하여 eventName 필드를 필터링할 수는 없습니다.

다음 절차에 따라 기본 이벤트 선택기를 사용하여 데이터 이벤트 설정을 구성합니다.

[데이터 이벤트(Data events)]에서 [편집(Edit)]을 선택하여 데이터 이벤트 로깅 설정을 변경합니다. 기본 이벤트 선택기를 사용하여 Amazon S3 버킷에 대한 로깅 데이터 이벤트를 지정할 수 있습니다. AWS Lambda 함수ynamoDBtables, D 또는 이러한 리소스의 조합 추가 데이터 이벤트 유형은 고급 이벤트 선택기로 지원됩니다. 기본적으로 추적은 데이터 이벤트를 로그하지 않습니다. 데이터 이벤트 로깅에는 추가 요금이 부과됩니다. 자세한 내용은 데이터 이벤트 단원을 참조하십시오. CloudTrail요금에 대한 자세한 내용은 을 참조하십시오. AWS CloudTrail 가격 책정.

Amazon S3 버킷의 경우:
1. [데이터 이벤트 소스(Data event source)]에서 S3를 선택합니다.
2. [현재 및 미래의 모든 S3 버킷(All current and future S3 buckets)]을 로그하도록 선택하거나 개별 버킷 또는 함수를 지정할 수 있습니다. 기본적으로 데이터 이벤트는 현재 및 미래의 모든 S3 버킷에 대해 로그됩니다.
  
  참고
  기본값인 모든 현재 및 미래 S3 버킷 옵션을 유지하면 현재 내 모든 버킷에 대한 데이터 이벤트 로깅이 활성화됩니다. AWS 트레일 생성을 완료한 후 생성한 계정 및 모든 버킷 또한 내 사용자 또는 역할이 수행한 데이터 이벤트 활동을 기록할 수 있습니다. AWS 계정 (해당 활동이 다른 버킷에 속한 버킷에서 수행되더라도) AWS 계정.
  한 리전에만 추적을 적용하는 경우 [현재 및 미래의 모든 S3 버킷(All current and future S3 buckets)]을 선택하면 추적과 동일한 리전의 모든 버킷과 해당 리전에서 나중에 생성하는 버킷에 대해 데이터 이벤트 로깅이 활성화됩니다. 해당 지역의 다른 지역에 있는 Amazon S3 버킷에 대한 데이터 이벤트는 기록하지 않습니다. AWS 계정.
3. 기본값인 [현재 및 미래의 모든 S3 버킷(All current and future S3 buckets)]을 그대로 둘 경우 [읽기(Read)] 이벤트, [쓰기(Write)] 이벤트 또는 둘 다를 로그하도록 선택합니다.
4. 개별 버킷을 선택하려면 [현재 및 미래의 모든 S3 버킷(All current and future S3 buckets)]에서 [읽기(Read)] 및 [쓰기(Write)] 확인란의 선택을 해제합니다. [개별 버킷 선택(Individual bucket selection)]에서 데이터 이벤트를 로그할 버킷을 찾습니다. 특정 버킷을 찾으려면 원하는 버킷의 버킷 접두사를 입력합니다. 이 창에서 여러 버킷을 선택할 수 있습니다. 더 많은 버킷의 데이터 이벤트를 로그하려면 [버킷 추가(Add bucket)]를 선택합니다. [읽기(Read)] 이벤트(예:GetObject), [쓰기(Write)] 이벤트(예:PutObject) 또는 둘 다를 로그하도록 선택합니다.
  
  이 설정은 개별 버킷에 대해 구성한 개별 설정보다 우선 적용됩니다. 예를 들어 모든 S3 버킷에 대해 [읽기(Read)] 이벤트 로깅을 지정한 다음, 데이터 이벤트 로깅 대상으로 특정 버킷을 추가하기로 선택하면 추가한 버킷에 대해 [읽기(Read)]가 사전 선택됩니다. 선택을 취소할 수 없습니다. [Write]에 대한 옵션만 구성할 수 있습니다.
  
  로깅에서 버킷을 제거하려면 X를 선택합니다.
데이터 이벤트를 로그할 다른 데이터 유형을 추가하려면 [데이터 이벤트 유형 추가(Add data event type)]를 선택합니다.
Lambda 함수의 경우:
1. [데이터 이벤트 소스(Data event source)]에서 Lambda를 선택합니다.
2. Lambda 함수에서 모든 Lambda 함수를 로깅하려면 All region (All region) 을 선택하고, 특정 함수의 데이터 이벤트를 로깅하려면 Input function ARN as를 선택합니다.
  
  내 모든 Lambda 함수에 대한 데이터 이벤트를 기록하려면 AWS 계정에서 현재 및 미래의 모든 기능 로깅을 선택합니다. 이 설정은 개별 함수에 대해 구성한 개별 설정보다 우선합니다. 일부 함수가 표시되지 않더라도 모든 함수가 로그됩니다.
  
  참고
  모든 지역에 대한 트레일을 생성하는 경우 이 옵션을 선택하면 현재 사용 중인 모든 기능에 대한 데이터 이벤트 로깅이 활성화됩니다. AWS 계정 및 트레일 생성을 완료한 후 모든 지역에서 생성할 수 있는 모든 Lambda 함수 단일 리전에 대한 트레일을 생성하는 경우 (다음을 사용하여 완료) AWS CLI) 이 옵션을 선택하면 현재 해당 지역의 모든 함수에 대한 데이터 이벤트 로깅이 활성화됩니다. AWS 계정 및 트레일 생성을 완료한 후 해당 리전에서 생성할 수 있는 모든 Lambda 함수 다른 리전에서 생성되는 Lambda 함수에 대한 데이터 이벤트 로깅은 활성화되지 않습니다.
  모든 함수에 대한 데이터 이벤트를 로깅하면 해당 함수의 모든 사용자 또는 역할이 수행한 데이터 이벤트 활동을 로깅할 수도 있습니다. AWS 계정 (해당 활동이 다른 함수에 속해 있는 함수에서 수행된 경우에도 마찬가지) AWS 계정.
3. 입력 함수를 다음과 같이 ARN 선택하는 경우 Lambda ARN 함수의 를 입력합니다.
  
  참고
  계정에 15,000개가 넘는 Lambda 함수가 있는 경우 트레일을 생성할 때 콘솔에서 CloudTrail 모든 함수를 보거나 선택할 수 없습니다. 함수가 모두 표시되지는 않더라도 모든 함수를 로그하는 옵션을 선택할 수 있습니다. 특정 함수에 대한 데이터 이벤트를 기록하려는 경우, 알고 있으면 함수를 수동으로 추가할 수 있습니다. ARN 콘솔에서 트레일 생성을 완료한 다음 다음을 사용할 수도 있습니다. AWS CLI 및 특정 Lambda 함수에 대한 데이터 이벤트 로깅을 구성하는 put-event-selectors 명령 자세한 내용은 를 사용하여 트레일을 관리합니다. AWS CLI 단원을 참조하십시오.
데이터 이벤트를 로그할 다른 데이터 유형을 추가하려면 [데이터 이벤트 유형 추가(Add data event type)]를 선택합니다.
DynamoDB 테이블의 경우:
1. [데이터 이벤트 소스(Data event source)]에서 DynamoDB를 선택합니다.
2. DynamoDB 테이블 선택에서 찾아보기를 선택하여 테이블을 선택하거나 액세스 권한이 있는 DynamoDB 테이블을 붙여넣습니다. ARN DynamoDB ARN 테이블의 형식은 다음과 같습니다.
```
arn:partition:dynamodb:region:account_ID:table/table_name
```
  다른 테이블을 추가하려면 Add row (행 추가) 를 선택하고 액세스 권한이 있는 테이블을 찾아보거나 테이블을 붙여넣습니다. ARN
추적에 대한 Insights 이벤트 및 기타 설정을 구성하려면 이 주제인 CloudTrail 콘솔로 트레일 업데이트의 이전 절차로 돌아갑니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

추적 생성

추적 삭제

CloudTrail 콘솔로 트레일 업데이트

참고

를 사용하여 트레일을 업데이트하려면 AWS Management Console

참고

참고

참고

참고

중요

참고

참고

참고

참고

기본 이벤트 선택기를 사용하여 데이터 이벤트 설정 업데이트

참고

참고

참고