CloudTrail 작동 방식 - AWS CloudTrail

CloudTrail 작동 방식

CloudTrail은 생성 시 AWS 계정에서 활성화됩니다. 활동이 AWS 계정에서 이루어지면 해당 활동이 CloudTrail 이벤트에 기록됩니다. Event history(이벤트 기록)로 이동해서 CloudTrail 콘솔에서 손쉽게 이벤트를 확인할 수 있습니다.

이벤트 기록을 통해 AWS 계정에서 이루어진 지난 90일간의 활동을 확인, 검색 및 다운로드할 수 있습니다. 또한 CloudTrail 추적을 생성하여 AWS 리소스의 변경 사항을 보관, 분석 및 응답할 수 있습니다. 추적은 지정한 Amazon S3 버킷에 이벤트를 제공할 수 있도록 해주는 구성입니다. Amazon CloudWatch Logs 및 Amazon CloudWatch Events을 통해 추적의 이벤트를 전송 및 분석할 수도 있습니다. CloudTrail 콘솔, AWS CLI 또는 CloudTrail API를 사용하여 추적을 생성할 수 있습니다.

AWS 계정에 대해 두 가지 유형의 추적을 생성할 수 있습니다.

모든 리전에 적용되는 추적

모든 리전에 적용되는 추적을 생성하면 CloudTrail은 각 리전에만 이벤트를 기록하고 CloudTrail 이벤트 로그 파일을 지정한 S3 버킷으로 전송합니다. 모든 리전에 적용되는 추적을 생성한 후 리전을 추가하면 해당 새 리전이 자동으로 포함되며 해당 리전의 이벤트가 로깅됩니다. 이렇게 하는 것이 CloudTrail 콘솔에서 추적을 생성할 때의 기본 옵션입니다. 자세한 내용은 콘솔에서 추적 생성를 참조하십시오.

리전 하나에 적용되는 추적

한 리전에 적용되는 추적을 생성하면 CloudTrail은 해당 리전에만 이벤트를 기록합니다. 그런 다음 지정한 Amazon S3 버킷으로 CloudTrail 이벤트 로그 파일을 전송합니다. 추가로 단일 추적을 생성한 경우에는 해당 추적이 CloudTrail 이벤트 로그 파일을 동일한 Amazon S3 버킷이나 별도의 버킷으로 전송하도록 할 수 있습니다. 이렇게 하는 것이 AWS CLI 또는 CloudTrail API를 사용하여 추적을 생성할 때 기본 옵션입니다. 자세한 내용은 AWS Command Line Interface를 사용하여 추적 생성, 업데이트 및 관리 단원을 참조하십시오.

참고

두 유형의 추적 모두에 대해 모든 리전에서 Amazon S3 버킷을 지정할 수 있습니다.

2019년 4월 12일부터 추적이 이벤트를 로깅하는 AWS 리전에서만 해당 추적을 볼 수 있습니다. 모든 AWS 리전에서 이벤트를 로깅하는 추적을 생성할 경우 해당 추적이 모든 AWS 리전의 콘솔에서 표시됩니다. 단일 AWS 리전에서만 이벤트를 로깅하는 추적을 생성할 경우 해당 AWS 리전에서만 추적을 보고 관리할 수 있습니다.

AWS Organizations에서 조직을 생성한 경우, 해당 조직의 모든 AWS 계정에 대한 모든 이벤트를 로깅하는 추적을 생성할 수도 있습니다. 이를 조직 추적이라고 합니다. 조직 추적은 모든 AWS 리전 또는 리전 하나에 적용할 수 있습니다. 조직 추적은 마스터 계정에 생성해야 하며, 조직에 적용하도록 지정하면 조직의 모든 멤버 계정에 자동으로 적용됩니다. 멤버 계정은 조직 추적을 볼 수 있지만, 수정하거나 삭제할 수는 없습니다. 기본적으로 멤버 계정은 Amazon S3 버킷에 있는 조직 추적에 대한 로그 파일에 액세스할 수 없습니다.

추적을 생성한 후 추적 구성을 변경할 수 있습니다. 예를 들어, 한 리전에서 이벤트를 로깅하는지 또는 모든 리전에서 로깅하는지를 변경할 수 있습니다. 또한 데이터 또는 CloudTrail 인사이트 이벤트를 로깅할 것인지 여부를 변경할 수 있습니다. 추적이 한 리전에서 이벤트를 로깅하는지 또는 모든 리전에서 로깅하는지를 변경하면 어떤 이벤트가 로깅되는지에 영향을 미칩니다. 자세한 내용은 추적 업데이트(콘솔), AWS CLI를 사용하여 추적 관리(AWS CLI) 및 CloudTrail 로그 파일 작업 단원을 참조하십시오.

기본적으로 CloudTrail 이벤트 로그 파일은 Amazon S3 SSE(서버 측 암호화)를 사용하여 암호화합니다. 선택에 따라 AWS Key Management Service(AWS KMS) 키를 통해 로그 파일을 암호화할 수도 있습니다. 원하는 기간만큼 버킷에 로그 파일을 저장할 수 있습니다. 또한 Amazon S3 수명 주기 규칙을 정의하여 로그 파일을 자동으로 보관하거나 삭제할 수도 있습니다. 로그 파일 전송 및 검증에 대한 알림을 원할 경우에는 Amazon SNS 알림을 설정할 수 있습니다.

CloudTrail은 일반적으로 계정 활동 15분 이내에 로그 파일을 전송합니다. 또한 CloudTrail은 약 5분 간격으로 한 시간에 여러 번 로그 파일을 게시합니다. 이러한 로그 파일에는 CloudTrail을 지원하는 계정의 서비스에서 발생한 API 호출이 포함됩니다. 자세한 내용은 CloudTrail 지원되는 서비스 및 통합를 참조하십시오.

참고

CloudTrail은 사용자가 직접 수행하거나 AWS 서비스에서 사용자 대신 수행한 작업을 캡처합니다. 예를 들어, AWS CloudFormation CreateStack 호출은 AWS CloudFormation 템플릿에서 요구하는 대로 Amazon EC2, Amazon RDS, Amazon EBS 또는 기타 서비스에 추가 API 호출을 발생시킬 수 있습니다. 이는 예상된 정상 동작입니다. CloudTrail 이벤트의 invokedby 필드를 사용하여 작업이 AWS 서비스에 의해 수행된 것인지를 식별할 수 있습니다.

CloudTrail을 시작하려면 AWS CloudTrail 자습서 시작하기 단원을 참조하십시오.

CloudTrail 요금은 AWS CloudTrail 요금 단원을 참조하십시오. Amazon S3 및 Amazon SNS 요금은 Amazon S3 요금Amazon SNS 요금 단원을 참조하십시오.