기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
조직에 대한 추적을 생성하기 위한 준비
조직에 대한 추적을 생성하기 전에 추적 생성을 위해 조직 관리 계정이나 위임된 관리자 계정이 모두 올바르게 설정되어 있는지 확인합니다.
-
조직에 대한 추적을 생성하려면 조직에서 모든 기능이 활성화되어 있어야 합니다. 자세한 내용은 조직 내 모든 기능 활성화를 참조하십시오.
-
관리 계정에는 AWSServiceRoleForOrganizations역할이 있어야 합니다. 이 역할은 조직을 만들 때 Organizations에서 자동으로 생성되며 조직의 이벤트를 CloudTrail 기록하는 데 필요합니다. 자세한 내용은 Organizations 및 서비스 연결 역할 단원을 참조하세요.
-
관리 계정이나 위임된 관리자 계정의 조직 추적을 생성하는 사용자 또는 역할에 조직 추적을 생성할 수 있는 충분한 권한이 있어야 합니다. 최소한 해당 역할 또는 사용자에게 AWSCloudTrail_FullAccess 정책 또는 이에 상응하는 정책을 적용해야 합니다. 또한 서비스 연결 역할을 생성하고 신뢰할 수 있는 액세스를 활성화할 수 있는 충분한 권한이 IAM 및 Organizations에 있어야 합니다. 콘솔을 사용하여 조직 트레일을 위한 새 S3 버킷을 생성하기로 선택한 경우, CloudTrail 정책에는 다음 사항도 포함되어야 합니다.
s3:PutEncryptionConfiguration기본적으로 버킷에 대해 서버 측 암호화가 활성화되어 있기 때문입니다. 다음 정책 예제에서는 필요한 최소 권한을 보여 줍니다.참고
AWSCloudTrail_FullAccess정책을 전체 사용자 간에 광범위하게 공유해서는 안 됩니다. AWS 계정대신 에서 수집하는 정보의 민감도가 매우 높으므로 AWS 계정 관리자에게만 제한해야 합니다. CloudTrail 이 역할이 있는 사용자는 자신의 AWS 계정에서 가장 민감하고 중요한 감사 기능을 사용 중지하거나 재구성할 수 있습니다. 이러한 이유로 이 정책에 대한 액세스를 면밀히 제어하고 모니터링해야 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:GetRole", "organizations:EnableAWSServiceAccess", "organizations:ListAccounts", "iam:CreateServiceLinkedRole", "organizations:DisableAWSServiceAccess", "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization", "s3:PutEncryptionConfiguration" ], "Resource": "*" } ] } -
AWS CLI 또는 를 사용하여 조직 추적을 CloudTrail APIs 생성하려면 CloudTrail Organizations에서 신뢰할 수 있는 액세스를 활성화하고 조직 추적에 대한 로깅을 허용하는 정책을 사용하여 Amazon S3 버킷을 수동으로 생성해야 합니다. 자세한 내용은 다음을 사용하여 조직을 위한 트레일 생성하기 AWS CLI 단원을 참조하십시오.
-
기존 IAM 역할을 사용하여 Amazon CloudWatch Logs에 조직 추적 모니터링을 추가하려면 다음 예와 같이 구성원 계정의 CloudWatch 로그를 관리 계정의 CloudWatch Logs 그룹으로 전송할 수 있도록 IAM 역할을 수동으로 수정해야 합니다.
참고
자신의 계정에 있는 IAM 역할 및 CloudWatch 로그 로그 그룹을 사용해야 합니다. 다른 계정이 소유한 IAM 역할 또는 CloudWatch 로그 로그 그룹은 사용할 수 없습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream20141101", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*" ] } ] }Amazon CloudWatch 로그인에 대해 CloudTrail 자세히 알아볼 수 Amazon Logs를 사용한 CloudTrail CloudWatch 로그 파일 모니터링 있습니다. 또한 조직 트레일을 위한 환경을 활성화하기로 결정하기 전에 서비스에 대한 CloudWatch 로그 한도와 요금 고려 사항을 고려하십시오. 자세한 내용은 CloudWatch 로그 제한 및 Amazon CloudWatch 요금을
참조하십시오. -
멤버 계정의 특정 리소스에 대해 조직 트레일에 데이터 이벤트를 기록하려면 각 리소스에 대한 Amazon Resource Names (ARNs) 목록을 준비하십시오. 트레일을 생성할 때 멤버 계정 리소스는 CloudTrail 콘솔에 표시되지 않습니다. 관리 계정에서 데이터 이벤트 수집이 지원되는 리소스 (예: S3 버킷) 를 찾아볼 수 있습니다. 마찬가지로 명령줄에서 조직 트레일을 만들거나 업데이트할 때 특정 구성원 리소스를 추가하려는 경우 해당 ARNs 리소스용 리소스가 필요합니다.
참고
데이터 이벤트 로깅에는 추가 요금이 부과됩니다. CloudTrail 요금은 요금을 참조하십시오AWS CloudTrail .
또한 조직 트레일을 만들기 전에 관리 계정과 멤버 계정에 이미 존재하는 트레일의 개수를 검토하는 것도 고려해야 합니다. CloudTrail 각 지역에서 생성할 수 있는 트레일의 수를 제한합니다. 관리 계정에 조직 추적을 생성하는 리전에서 이 제한을 초과할 수 없습니다. 그러나 멤버 계정이 어떤 리전에서 추적 제한에 도달했더라도 멤버 계정에 추적이 생성됩니다. 어느 리전에서든 관리 이벤트의 첫 번째 추적은 무료이지만, 추가 추적에는 요금이 적용됩니다. 조직 추적의 잠재적 비용을 줄이려면 관리 계정과 멤버 계정에서 불필요한 추적을 삭제하는 것이 좋습니다. CloudTrail 요금에 대한 자세한 내용은 AWS CloudTrail 요금을
조직 추적의 보안 모범 사례
보안 모범 사례로서 조직 추적과 함께 사용하는 리소스 정책 (예: S3 버킷, KMS 키 또는 SNS 주제에 대한 정책) 에 aws:SourceArn 조건 키를 추가하는 것이 좋습니다. 의 aws:SourceArn 값은 조직 트레일입니다 ARN (또는 ARNs 둘 이상의 트레일에 동일한 리소스를 사용하는 경우 (예: 둘 이상의 트레일에 대한 로그를 저장하는 데 동일한 S3 버킷을 사용하는 경우). 이렇게 하면 S3 버킷과 같은 리소스가 특정 추적과 연결된 데이터만 수락합니다. 트레일은 관리 계정의 계정 ID를 ARN 사용해야 합니다. 다음 정책 조각은 둘 이상의 추적이 리소스를 사용하는 예제를 보여 줍니다.
"Condition": { "StringEquals": { "aws:SourceArn": ["Trail_ARN_1",..., "Trail_ARN_n"] } }
리소스 정책에 조건 키를 추가하는 방법에 대한 자세한 내용은 다음을 참조하십시오.
