조직에 대한 추적 생성 - AWS CloudTrail

조직에 대한 추적 생성

AWS Organizations에서 조직을 생성한 경우, 해당 조직의 모든 AWS 계정에 대한 모든 이벤트를 로깅하는 추적을 생성할 수 있습니다. 이를 때로 조직 추적이라고 합니다. 또한 마스터 계정에서 기존 추적을 편집하고 이를 조직에 적용하여 조직 추적을 만들 수도 있습니다. 조직 추적은 조직의 마스터 계정과 모든 멤버 계정의 이벤트를 로깅합니다. AWS Organizations에 대한 자세한 내용은 조직 용어 및 개념을 참조하십시오.

참고

조직 추적을 생성하려면 조직의 마스터 계정으로 로그인해야 합니다. 또한 조직 추적을 생성하려면 마스터 계정의 IAM 사용자 또는 역할에 대한 충분한 권한이 있어야 합니다. 충분한 권한이 없는 경우 조직에 추적을 적용하는 옵션이 표시되지 않습니다.

조직 추적을 생성하면 사용자가 부여한 이름의 추적이 조직에 속한 모든 AWS 계정에 생성됩니다. 멤버 계정에서 CloudTrail 권한이 있는 사용자는 AWS 계정에서 AWS CloudTrail 콘솔에 로그인하거나 describe-trail 등의 AWS CLI 명령을 실행할 때 이 추적을 볼 수 있습니다. 그러나 멤버 계정의 사용자는 조직 추적을 삭제하거나, 로깅을 켜고 끄거나, 로깅되는 이벤트 유형을 변경하거나, 어떤 식으로든 조직 추적을 변경할 수 있는 충분한 권한이 없습니다.

콘솔에서 조직 추적을 생성하거나 CloudTrail을 조직에서 신뢰할 수 있는 서비스로 활성화하면, 조직의 멤버 계정에서 로깅 작업을 수행할 수 있는 서비스 연결 역할이 생성됩니다. 이 역할을 AWSServiceRoleForCloudTrail이라고 하며, CloudTrail이 조직의 이벤트를 로깅하는 데 필요합니다. 조직에 AWS 계정을 추가하면 조직 추적과 서비스 연결 역할이 해당 AWS 계정에 추가되고 조직 추적에서 해당 계정에 대한 로깅이 자동으로 시작됩니다. 조직에서 AWS 계정을 제거하면 더 이상 조직에 속하지 않는 이 AWS 계정에서 조직 추적과 서비스 연결 역할이 삭제됩니다. 그러나 계정을 제거하기 전에 생성된 제거된 해당 계정의 로그 파일은 추적에 대한 로그 파일이 저장된 Amazon S3 버킷에 유지됩니다.

다음 예에서는 마스터 계정 111111111111의 사용자가 조직 o-exampleorgid에 대해 MyOrganizationTrail이라는 추적을 생성합니다. 이 추적은 동일한 Amazon S3 버킷에 조직에 있는 모든 계정의 활동을 로깅합니다. 조직의 모든 계정은 추적 목록에서 MyOrganizationTrail을 볼 수 있지만, 멤버 계정은 조직 추적을 제거하거나 수정할 수 없습니다. 마스터 계정만 조직에서 멤버 계정을 제거할 수 있는 것과 마찬가지로, 마스터 계정만 조직의 추적을 변경하거나 삭제할 수 있습니다. 마찬가지로 기본적으로 마스터 계정만 추적 및 추적에 포함된 로그가 저장된 Amazon S3 버킷인 my-organization-bucket에 액세스할 수 있습니다. 로그 파일이 저장되는 버킷의 개략적인 구조는 조직 ID로 이름이 지정된 폴더와 조직의 각 계정의 계정 ID로 이름이 지정된 하위 폴더로 구성됩니다. 각 멤버 계정의 이벤트는 멤버 계정 ID에 해당하는 폴더에 로깅됩니다. 향후 어떤 시점에서 444444444444 멤버 계정이 조직에서 제거되면, MyOrganizationTrail과 서비스 연결 역할이 더 이상 444444444444 AWS 계정에 표시되지 않으며, 조직 추적에서 해당 계정에 대한 이벤트가 로깅되지 않습니다. 그러나 444444444444 폴더는 조직에서 해당 계정이 제거되기 전에 생성된 모든 로그와 함께 Amazon S3 버킷에 유지됩니다.


            조직의 샘플 조직, 해당 조직이 조직 추적 CloudTrail에서 로깅되는 방법, Amazon S3 버킷에서 폴더의 개략적인 구조에 대한 개념적 개요

이 예에서 마스터 계정에서 생성된 추적의 ARN은 aws:cloudtrail:us-east-2:111111111111:trail/MyOrganizationTrail입니다. 이 ARN은 또한 모든 멤버 계정의 추적의 ARN입니다.

조직 추적은 여러 가지 면에서 정기적 추적과 비슷합니다. 다른 추적에서와 마찬가지로 조직에 대해 추적을 여러 개 생성할 수 있으며, 조직 추적을 모든 리전에 생성할지 한 리전에 생성할지, 그리고 조직 추적에서 로깅할 이벤트 종류를 선택할 수 있습니다. 그러나 일부 차이점이 있습니다. 예를 들어 콘솔에서 추적을 생성하고 Amazon S3 버킷 또는 AWS Lambda 함수에 대한 데이터 이벤트를 로깅할지 여부를 선택할 때, CloudTrail 콘솔에 나열되는 유일한 리소스는 마스터 계정의 리소스이지만 멤버 계정의 리소스 ARN을 추가할 수 있습니다. 지정된 멤버 계정 리소스의 데이터 이벤트는 그러한 리소스에 대한 교차 계정 액세스를 수동으로 구성하지 않고도 로깅됩니다. 관리 이벤트, 인사이트 이벤트 및 데이터 이벤트 로깅에 대한 자세한 내용은 CloudTrail 로그 파일 작업 단원을 참조하십시오.

또한 다른 추적에서와 동일한 방식으로 조직 추적에 대한 CloudTrail 로그에 수집된 이벤트 데이터를 추가 분석 및 처리하도록 다른 AWS 서비스를 구성할 수도 있습니다. 예를 들어 Amazon Athena를 사용하여 조직 추적의 데이터를 분석할 수 있습니다. 자세한 내용은 CloudTrail 로그와의 AWS 서비스 통합 단원을 참조하십시오.

멤버 계정 추적에서 조직 추적으로 이동하는 모범 사례

개별 멤버 계정에 대한 CloudTrail 추적이 이미 구성되어 있지만 모든 계정의 이벤트를 로깅하기 위해 조직 추적으로 이동하려는 경우, 조직 추적을 생성하기 전에 개별 멤버 계정 추적을 삭제하여 이벤트를 손실하지 않으려고 합니다. 그러나 2개의 추적이 있을 경우 조직 추적에 전달되는 추가 이벤트 사본으로 인해 더 많은 비용이 발생합니다.

비용을 관리하는 데 도움이 되지만 조직 추적에서 로그 전송이 시작되기 전에 이벤트 손실을 방지하려면 개별 멤버 계정 추적과 조직 추적을 최대 1일 동안 유지하는 것이 좋습니다. 이렇게 하면 조직 추적이 모든 이벤트를 로깅하지만 중복 이벤트 비용은 1일 동안만 발생합니다. 첫날이 지나면 개별 멤버 계정 추적의 로깅을 중지하거나 삭제할 수 있습니다.