여러 트레일 만들기

CloudTrail 로그 파일을 사용하여 계정의 운영 또는 보안 문제를 해결할 수 AWS 있습니다. 고유한 추적을 생성 및 관리할 수 있는 다른 사용자에 대해 추적을 생성할 수 있습니다. 별도의 S3 버킷 또는 공유된 S3 버킷으로 로그 파일을 전송하도록 추적을 구성할 수 있습니다.

참고

각 AWS 리전 계정의 관리 이벤트 첫 번째 사본은 무료입니다. 동일한 관리 이벤트를 다른 목적지로 전달하는 더 많은 트레일을 만들면 후속 전송에 비용이 CloudTrail 발생합니다. CloudTrail 비용에 대한 자세한 내용은 가격 책정 및 을 참조하십시오AWS CloudTrail . CloudTrail 트레일 비용 관리

예를 들어, 다음과 같은 사용자가 있을 수 있습니다.

• 보안 관리자는 유럽(아일랜드) 리전에 추적을 생성하고 KMS 로그 파일 암호화를 구성합니다. 추적은 로그 파일을 유럽(아일랜드) 리전의 S3 버킷으로 전송합니다.

• IT 감사자는 유럽 (아일랜드) 지역에서 트레일을 생성하고 로그 파일이 전송된 이후 변경되지 않았는지 확인하기 위해 로그 파일 무결성 검증을 구성합니다. CloudTrail 추적은 유럽(프랑크푸르트) 리전의 S3 버킷으로 로그 파일을 전송하도록 구성됩니다.

• 개발자는 유럽 (프랑크푸르트) 지역에 트레일을 생성하고 특정 API 활동에 대한 알림을 수신하도록 CloudWatch 경보를 구성합니다. 추적은 로그 파일 무결성에 대해 구성된 추적과 동일한 S3 버킷을 공유합니다.

• 다른 개발자는 유럽(프랑크푸르트) 리전에 추적을 생성하고 SNS를 구성합니다. 로그 파일은 유럽(프랑크푸르트) 리전에 있는 별도의 S3 버킷으로 전송됩니다.

다음 이미지는 이러한 예를 보여 줍니다.

참고

트레일은 한 개당 최대 5개까지 만들 수 있습니다. AWS 리전다중 지역 트레일은 지역당 하나의 트레일로 계산됩니다.

리소스 수준 권한을 사용하여 특정 작업을 수행할 수 있는 사용자의 능력을 관리할 수 있습니다. CloudTrail

예를 들어, 한 사용자에게 추적 활동을 볼 수는 있는 권한은 부여하지만 사용자가 추적에 대한 로깅을 시작하거나 중지하는 것은 제한할 수 있습니다. 추적을 생성하고 삭제할 수 있는 다른 모든 사용자 권한을 부여할 수 있습니다. 이렇게 하면 추적 및 사용자 액세스를 세부적으로 제어할 수 있습니다.

리소스 수준 권한에 대한 자세한 내용은 예: 특정 추적 작업에 대한 정책 생성 및 적용 섹션을 참조하십시오.

여러 트레일에 대한 자세한 내용은 FAQ를 참조하십시오. CloudTrail