조직에 대한 추적 생성 - AWS CloudTrail

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

조직에 대한 추적 생성

에서 AWS Organizations조직을 만든 경우 해당 조직의 모든 이벤트에 대한 모든 AWS 계정 이벤트를 기록하는 트레일을 만들 수 있습니다. 이를 조직 추적이라고 부르기도 합니다.

조직의 관리 계정은 위임된 관리자를 지정하여 새로운 조직 추적을 생성하거나 기존의 조직의 추적을 관리할 수 있습니다. 위임된 관리자 추가에 대한 자세한 내용은 위임된 관리자 추가 CloudTrail 섹션을 참조하세요.

조직의 관리 계정은 계정에서 기존 추적을 편집하고, 이를 조직에 적용하여 조직 추적으로 만들 수 있습니다. 조직 추적은 조직의 관리 계정과 모든 멤버 계정의 이벤트를 로그합니다. 에 대한 AWS Organizations자세한 내용은 조직 용어 및 개념을 참조하십시오.

참고

조직 추적을 생성하려면, 조직의 관리 계정이나 조직과 관련이 있는 위임된 관리자 계정으로 로그인해야 합니다. 또한 트레일을 만들려면 관리 또는 위임된 관리자 계정의 사용자 또는 역할에 대한 충분한 권한이 있어야 합니다. 충분한 권한이 있어야만 조직에 추적을 적용하는 옵션을 선택할 수 있습니다.

콘솔을 사용하여 만든 모든 조직 트레일은 조직의 각 구성원 AWS 리전 계정에서 활성화된 사용자의 이벤트를 기록하는 다중 지역 조직 트레일입니다. 조직의 모든 AWS 파티션에 이벤트를 기록하려면 각 파티션에 다중 지역 조직 트레일을 만드세요. 를 사용하여 단일 지역 또는 다중 지역 조직 트레일을 만들 수 있습니다. AWS CLI단일 지역 트레일을 생성하는 경우 트레일 AWS 리전 ( 지역이라고도 함) 의 활동만 기록합니다.

AWS 리전 대부분은 기본적으로 활성화되어 있지만 특정 지역 (옵트인 지역이라고도 함) 을 수동으로 활성화해야 합니다. AWS 계정기본적으로 활성화되는 지역에 대한 자세한 내용은 참조 안내서의 지역 활성화 및 비활성화 전 고려 사항을 참조하십시오.AWS Account Management 지역 CloudTrail 지원 목록은 을 참조하십시오CloudTrail 지원되는 지역.

조직 트레일을 생성하면 지정한 이름을 가진 트레일의 사본이 조직에 속한 멤버 계정에 생성됩니다.

  • 조직 트레일이 단일 지역용이고 트레일의 홈 지역이 Opt 지역이 아닌 경우, 각 멤버 계정의 조직 트레일 홈 지역에 트레일 사본이 생성됩니다.

  • 조직 트레일이 단일 지역용이고 트레일의 홈 지역이 Opt 지역인 경우, 해당 지역을 활성화한 구성원 계정의 조직 트레일 홈 지역에 트레일 사본이 생성됩니다.

  • 조직 트레일이 다중 지역이고 트레일의 홈 지역이 옵트인 지역이 아닌 경우, 각 멤버 계정에서 활성화된 AWS 리전 각 영역에 트레일 사본이 생성됩니다. 멤버 계정에서 옵트인 지역을 활성화하면 해당 지역의 활성화가 완료된 후 멤버 계정에 대해 새로 선택한 지역에 멀티 리전 트레일의 사본이 생성됩니다.

  • 조직 트레일이 다중 지역이고 홈 지역이 옵트인 지역인 경우, 구성원 계정은 다중 지역 트레일이 생성된 AWS 리전 곳에서 옵트인하지 않는 한 조직 트레일로 활동을 전송하지 않습니다. 예를 들어 다중 지역 트레일을 생성하고 유럽 (스페인) 지역을 트레일의 홈 지역으로 선택하면 해당 계정에 유럽 (스페인) 지역을 활성화한 멤버 계정만 해당 계정 활동을 조직 트레일로 전송합니다.

참고

CloudTrail 리소스 검증에 실패한 경우에도 구성원 계정에 조직 트레일을 생성합니다. 검증 실패의 예는 다음과 같습니다.

  • 잘못된 Amazon S3 버킷 정책

  • 잘못된 Amazon SNS 주제 정책

  • CloudWatch 로그 로그 그룹에 전송할 수 없음

  • KMS 키를 사용하여 암호화할 수 있는 권한이 부족합니다.

CloudTrail 권한이 있는 구성원 계정은 CloudTrail 콘솔에서 트레일의 세부 정보 페이지를 보거나 명령을 실행하여 조직 트레일의 유효성 검사 실패를 확인할 수 있습니다. AWS CLI get-trail-status

구성원 계정에 CloudTrail 권한이 있는 사용자는 자신의 AWS 계정계정으로 AWS CloudTrail 콘솔에 로그인하거나 다음과 같은 AWS CLI describe-trails 명령을 실행할 때 조직 트레일을 볼 수 있습니다. 하지만 구성원 계정의 사용자는 어떤 식으로든 조직 내역을 삭제하거나, 로그인을 켜거나 끄거나, 기록되는 이벤트 유형을 변경하거나, 조직 내역을 변경할 수 있는 충분한 권한을 가지고 있지 않습니다.

콘솔에서 조직 트레일을 생성하거나 Organizations에서 신뢰할 수 있는 CloudTrail 서비스로 활성화하면 조직의 구성원 계정에서 로깅 작업을 수행할 수 있는 서비스 연결 역할이 생성됩니다. 이 역할은 이름이 AWSServiceRoleForCloudTrail지정되며 조직의 이벤트를 CloudTrail 기록하는 데 필요합니다. 조직에 AWS 계정 추가되면 조직 트레일 및 서비스 연결 역할이 해당 조직에 추가되고 조직 트레일에서 해당 AWS 계정계정에 대한 로깅이 자동으로 시작됩니다. 조직에서 AWS 계정 이 제거되면 더 이상 조직에 속하지 AWS 계정 않는 조직에서도 조직 트레일과 서비스 연결 역할이 삭제됩니다. 그러나 제거된 계정에 대해 계정이 제거되기 전에 생성된 로그 파일은 추적에 대한 로그 파일이 저장되는 Amazon S3 버킷에 남아 있습니다.

조직의 관리 계정이 AWS Organizations 조직 트레일을 만들었다가 나중에 조직의 관리 계정으로 제거되는 경우 해당 계정을 사용하여 만든 조직 트레일은 비조직 트레일이 됩니다.

다음 예에서는 조직의 관리 계정 1111111111이 조직 o-exampleorgid의 이름을 딴 트레일을 생성합니다. MyOrganizationTrail 이 추적은 조직에 있는 모든 계정의 활동을 동일한 Amazon S3 버킷에 로그합니다. 조직의 모든 계정은 트레일 목록에서 볼 수 있지만 멤버 MyOrganizationTrail계정은 조직 트레일을 제거하거나 수정할 수 없습니다. 관리 계정이나 위임된 관리자 계정만 조직에 대한 추적을 변경하거나 삭제할 수 있습니다. 오직 관리 계정만 조직에서 멤버 계정을 제거할 수 있습니다. 마찬가지로 기본적으로 관리 계정만 트레일의 Amazon S3 버킷과 이 버킷에 포함된 로그에 액세스할 수 있습니다. 로그 파일의 상위 수준 버킷 구조에는 조직 ID로 이름이 지정된 폴더와 조직 내 각 계정의 계정 ID로 이름이 지정된 하위 폴더가 포함됩니다. 각 멤버 계정의 이벤트는 멤버 계정 ID에 해당하는 폴더에 로깅됩니다. 멤버 계정 4444444444가 조직에서 제거되고 서비스 연결 역할이 계정 4444444444에 더 이상 표시되지 않고 조직 추적에 AWS 해당 계정에 대한 추가 이벤트가 기록되지 않는 경우 MyOrganizationTrail 그러나 444444444444 폴더는 조직에서 계정이 제거되기 전에 생성된 모든 로그와 함께 Amazon S3 버킷에 남아 있습니다.

Organizations의 샘플 조직에 대한 개념적 개요입니다.

이 예에서 관리 계정에 생성된 추적의 ARN은 aws:cloudtrail:us-east-2:111111111111:trail/MyOrganizationTrail입니다. 이 ARN은 또한 모든 멤버 계정의 추적의 ARN입니다.

조직 추적은 여러 가지 면에서 정기적 추적과 비슷합니다. 다른 추적에서와 마찬가지로 조직에 대해 추적을 여러 개 생성할 수 있으며, 조직 추적을 모든 리전에 생성할지 한 리전에 생성할지, 그리고 조직 추적에서 로깅할 이벤트 종류를 선택할 수 있습니다. 그러나 일부 차이점이 있습니다. 예를 들어 콘솔에서 트레일을 생성하고 Amazon S3 버킷에 대한 데이터 이벤트를 기록할지 또는 AWS Lambda 함수에 대한 데이터 이벤트를 기록할지 선택할 때 CloudTrail 콘솔에는 관리 계정의 리소스만 나열되지만 멤버 계정의 리소스에 대한 ARN을 추가할 수 있습니다. 지정된 멤버 계정 리소스에 대한 데이터 이벤트는 해당 리소스에 대한 교차 계정 액세스를 수동으로 구성하지 않아도 로그됩니다. 관리 이벤트, Insights 이벤트 및 데이터 이벤트 로깅에 대한 자세한 내용은 관리 이벤트 로깅데이터 이벤트 로깅, 및 을 참조하십시오. Insights 이벤트 로깅

참고

콘솔에서 다중 지역 트레일을 생성합니다. 이는 권장되는 모범 사례입니다. 내 모든 지역의 활동을 기록하면 AWS 환경을 더 안전하게 유지하는 AWS 계정 데 도움이 됩니다. 단일 리전 추적을 생성하려면 AWS CLI를 사용해야 합니다.

에 AWS 계정 있는 조직의 이벤트 기록에서 이벤트를 보는 AWS Organizations경우 로그인한 해당 조직의 이벤트만 볼 수 있습니다. 예를 들어 조직 관리 계정으로 로그인한 경우 [이벤트 기록(Event history)]에는 관리 계정에 대한 최근 90일간의 관리 이벤트가 표시됩니다. 조직 멤버 계정 이벤트는 관리 계정의 [이벤트 기록(Event history)]에 표시되지 않습니다. [이벤트 기록(Event history)]에서 멤버 계정 이벤트를 보려면 멤버 계정으로 로그인해야 합니다.

다른 트레일과 마찬가지로 조직 트레일에 대해 CloudTrail 로그에 수집된 이벤트 데이터를 추가로 분석하고 이에 따라 조치를 취하도록 다른 AWS 서비스를 구성할 수 있습니다. 예를 들어 Amazon Athena를 사용하여 조직 추적의 데이터를 분석할 수 있습니다. 자세한 정보는 AWS 로그와의 서비스 통합 CloudTrail 을 참조하세요.

주제