CloudTrail 작동 방식 - AWS CloudTrail

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

CloudTrail 작동 방식

CloudTrail 이벤트 기록을 생성하면 자동으로 이벤트 기록에 액세스할 수 있습니다 AWS 계정. [이벤트 기록(Event history)]은 지난 90일 간 AWS 리전의 관리 이벤트에 대해 보기, 검색 및 다운로드가 가능하고, 수정이 불가능한 레코드를 제공합니다.

AWS 계정 지난 90일 동안 진행 중인 이벤트 기록을 보려면 트레일 또는 CloudTrail 호수 이벤트 데이터 저장소를 생성하세요.

CloudTrail 이벤트 기록

CloudTrail 콘솔에서 이벤트 기록 페이지로 이동하여 지난 90일간의 관리 이벤트를 쉽게 볼 수 있습니다. aws cloudtrail lookup-events 명령 또는 LookupEvents API 작업을 실행하여 이벤트 기록을 볼 수도 있습니다. 단일 속성에서 이벤트를 필터링하여 Event history(이벤트 기록)에서 이벤트를 검색할 수 있습니다. 자세한 정보는 CloudTrail 이벤트 기록 다루기을 참조하세요.

[이벤트 기록(Event history)]은 계정에 있는 추적 또는 이벤트 데이터 스토어와 연결되지 않으며, 추적 및 이벤트 데이터 스토어의 구성 변경의 영향을 받지 않습니다.

이벤트 기록 페이지를 보거나 lookup-events 명령을 실행하는 데는 CloudTrail 요금이 부과되지 않습니다.

CloudTrail 레이크 및 이벤트 데이터 스토어

이벤트 데이터 저장소를 생성하여 이벤트 (관리 CloudTrail 이벤트, 데이터 이벤트), CloudTrailInsights 이벤트, AWS Audit Manager 증거, AWS Config 구성 항목 또는 외부 이벤트를 기록할 수 AWS있습니다.

이벤트 데이터 스토어는 AWS 계정의 현재 AWS 리전이벤트 또는 모든 AWS 리전 이벤트의 이벤트를 기록할 수 있습니다. 외부에서 통합 이벤트를 기록하는 데 사용하는 이벤트 데이터 저장소는 단일 AWS 지역용이어야 하며 다중 지역 이벤트 데이터 저장소일 수 없습니다.

에서 AWS Organizations조직을 생성한 경우 해당 조직의 모든 AWS 계정에 대한 모든 이벤트를 기록하는 조직 이벤트 데이터 저장소를 생성할 수 있습니다. 조직 이벤트 데이터 스토어는 모든 AWS 리전 또는 현재 리전에 적용할 수 있습니다. 조직 이벤트 데이터 스토어는 관리 계정 또는 위임된 관리자 계정을 사용하여 생성해야 하며, 조직에 적용하도록 지정하면 조직의 모든 멤버 계정에 자동으로 적용됩니다. 구성원 계정은 조직 이벤트 데이터 스토어를 볼 수 없으며, 수정하거나 삭제할 수도 없습니다. 조직 이벤트 데이터 저장소는 외부에서 이벤트를 수집하는 데 사용할 수 없습니다 AWS. 자세한 정보는 조직 이벤트 데이터 스토어의 이해을 참조하세요.

기본적으로 이벤트 데이터 저장소의 모든 이벤트는 로 암호화됩니다 CloudTrail. 이벤트 데이터 저장소를 구성할 때 자체 이벤트 데이터 저장소를 사용하도록 선택할 수 AWS KMS key있습니다. 자체 KMS 키를 사용하면 암호화 및 복호화 AWS KMS 비용이 발생합니다. KMS 키와 이벤트 데이터 스토어를 연결한 후에는 KMS 키를 제거하거나 변경할 수 없습니다. 자세한 정보는 AWS KMS 키를 사용하여 CloudTrail 로그 파일 암호화 (SSE-KMS)을 참조하세요.

다음 표에는 이벤트 데이터 스토어에서 수행할 수 있는 작업에 대한 정보가 나와 있습니다.

작업 설명

Lake 대시보드 보기

CloudTrail Lake 대시보드를 사용하여 관리 이벤트, S3 데이터 이벤트 또는 Insights 이벤트를 수집하는 이벤트 데이터 스토어의 이벤트를 시각화할 수 있습니다.

로그 관리 이벤트

읽기 전용, 쓰기 전용 또는 모든 관리 이벤트를 기록하도록 이벤트 데이터 저장소를 구성하십시오. 기본적으로 이벤트 데이터는 로그 관리 이벤트를 저장합니다.

로그 데이터 이벤트

데이터 이벤트를 기록하도록 이벤트 데이터 저장소를 구성하십시오. 고급 이벤트 선택기를 사용하여 eventNamereadOnly, 및 resources.ARN 필드를 필터링하여 관심 있는 이벤트만 기록할 수 있습니다.

로그 인사이트 이벤트

관리 API 호출과 관련된 비정상적인 활동을 식별하고 이에 대응할 수 있도록 Insights 이벤트를 로그하도록 이벤트 데이터 스토어를 구성합니다. 자세한 정보는 Insights 이벤트 로깅을 참조하세요.

Insights 이벤트 적용에는 추가 요금이 부과됩니다. 추적과 이벤트 데이터 스토어 모두에 대해 Insights를 활성화하면 요금이 별도로 부과됩니다. 자세한 내용은 AWS CloudTrail 요금을 참조하십시오.

트레일 이벤트 복사

트레일 이벤트를 이벤트 데이터 스토어나 기존 이벤트 데이터 스토어에 복사하여 트레일에 기록된 이벤트의 point-in-time 스냅샷을 만들 수 있습니다.

이벤트 데이터 저장소에서 페더레이션을 활성화합니다.

이벤트 데이터 스토어를 페더레이션하여 데이터 카탈로그의 이벤트 데이터 스토어와 관련된 메타데이터를 확인하고 Amazon Athena를 사용하여 이벤트 데이터에 대한 SQL 쿼리를 실행할 수 있습니다. AWS Glue AWS Glue 데이터 카탈로그에 저장된 테이블 메타데이터를 통해 Athena 쿼리 엔진은 쿼리하려는 데이터를 찾고, 읽고, 처리하는 방법을 알 수 있습니다.

이벤트 데이터 저장소에서 이벤트 수집을 중지하거나 시작합니다.

CloudTrail 관리 및 데이터 이벤트 또는 구성 항목을 수집하는 이벤트 데이터 저장소에서 이벤트 통합을 중지하고 시작할 수 있습니다. AWS Config

외부 이벤트 소스와의 통합을 생성하십시오. AWS

CloudTrail Lake 통합을 사용하여 사내 또는 클라우드에서 호스팅되는 사내 또는 SaaS 애플리케이션, 가상 머신 또는 컨테이너와 같은 하이브리드 환경의 모든 소스에서 외부, 모든 소스의 사용자 활동 데이터를 기록하고 저장할 수 있습니다. AWS사용 가능한 통합 파트너에 대한 자세한 내용은 Lake Integrations를 참조하십시오AWS CloudTrail .

콘솔에서 Lake 샘플 쿼리를 확인하세요. CloudTrail

CloudTrail 콘솔은 직접 쿼리 작성을 시작하는 데 도움이 되는 다양한 샘플 쿼리를 제공합니다.

쿼리 생성 또는 편집

의 쿼리는 SQL로 CloudTrail 작성됩니다. CloudTrail Lake Editor 탭에서 쿼리를 처음부터 SQL로 작성하거나 저장된 쿼리 또는 샘플 쿼리를 열고 편집하여 쿼리를 작성할 수 있습니다.

쿼리 결과를 S3 버킷에 저장합니다.

쿼리 실행 시 S3 버킷으로 쿼리 결과를 저장할 수 있습니다.

저장된 쿼리 결과 다운로드

저장된 CloudTrail Lake 쿼리 결과가 포함된 CSV 파일을 다운로드할 수 있습니다.

저장된 쿼리 결과의 유효성을 검사합니다.

CloudTrail 쿼리 결과 무결성 검증을 사용하여 쿼리 결과를 S3 버킷으로 CloudTrail 전송한 후 쿼리 결과가 수정, 삭제 또는 변경되지 않았는지 확인할 수 있습니다.

CloudTrail Lake에 대한 자세한 내용은 을 참조하십시오AWS CloudTrail 호수와 함께 일하기.

CloudTrail Lake 이벤트 데이터 저장소 및 쿼리에는 요금이 부과됩니다. 이벤트 데이터 스토어를 생성할 때 이벤트 데이터 스토어에 사용할 요금 옵션을 선택합니다. 요금 옵션에 따라 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간이 결정됩니다. Lake에서 쿼리를 실행하면, 비용은 검사한 데이터의 양을 기준으로 지불합니다. CloudTrail 가격 책정 및 Lake 비용 관리에 대한 자세한 내용은 AWS CloudTrail 요금 CloudTrail 호수 비용 관리 을 참조하십시오.

CloudTrail 트레일

트레일은 지정한 Amazon S3 버킷에 이벤트를 전달할 수 있게 하는 구성입니다. Amazon CloudWatch Logs 및 Amazon을 사용하여 트레일에서 이벤트를 전달하고 분석할 수도 EventBridge 있습니다.

트레일은 CloudTrail 관리 이벤트, 데이터 이벤트 및 인사이트 이벤트를 기록할 수 있습니다.

여러 지역 트레일과 단일 지역 트레일이라는 두 가지 유형의 트레일을 만들 수 있습니다 AWS 계정.

다지역 트레일

멀티 리전 트레일을 생성하면 작업 중인 AWS 파티션의 모든 AWS 리전 이벤트를 CloudTrail 기록하고 지정한 S3 버킷으로 CloudTrail 이벤트 로그 파일을 전송합니다. 멀티 리전 트레일을 생성한 후 AWS 리전 가 추가되면 새 리전이 자동으로 포함되고 해당 리전의 이벤트가 로깅됩니다. 계정의 모든 리전에서 활동을 캡처하므로, 다중 리전 추적 생성이 권장하는 모범 사례입니다. CloudTrail 콘솔을 사용하여 생성하는 모든 트레일은 다중 지역입니다. 를 사용하여 단일 지역 트레일을 다중 지역 트레일로 변환할 수 있습니다. AWS CLI자세한 내용은 콘솔에서 추적 생성한 리전에 적용되는 추적을 모든 리전에 적용되는 추적으로 변환 섹션을 참조하세요.

단일 지역 트레일

단일 지역 트레일을 만들 때는 해당 지역의 이벤트만 CloudTrail 기록합니다. 그런 다음 지정한 Amazon S3 버킷으로 CloudTrail 이벤트 로그 파일을 전송합니다. AWS CLI를 사용하면 단일 리전 추적만 생성할 수 있습니다. 단일 트레일을 추가로 생성하는 경우 해당 트레일이 CloudTrail 이벤트 로그 파일을 동일한 S3 버킷 또는 별도의 버킷으로 전송하도록 할 수 있습니다. AWS CLI 또는 API를 사용하여 트레일을 생성할 때의 기본 옵션입니다. CloudTrail 자세한 정보는 를 사용하여 트레일 생성, 업데이트 및 관리 AWS CLI을 참조하세요.

참고

두 유형의 추적 모두에 대해 모든 리전에서 Amazon S3 버킷을 지정할 수 있습니다.

에서 AWS Organizations조직을 만든 경우 해당 조직의 모든 AWS 계정에 대한 모든 이벤트를 기록하는 조직 트레일을 만들 수 있습니다. 조직 트레일은 모든 AWS 지역 또는 현재 지역에 적용할 수 있습니다. 조직 추적은 관리 계정 또는 위임된 관리자 계정을 사용하여 생성해야 하며, 조직에 적용하도록 지정하면 조직의 모든 멤버 계정에 자동으로 적용됩니다. 구성원 계정은 조직 트레일을 볼 수 있지만 수정하거나 삭제할 수는 없습니다. 기본적으로 구성원 계정은 Amazon S3 버킷의 조직 트레일에 대한 로그 파일에 액세스할 수 없습니다.

기본적으로 CloudTrail 콘솔에서 트레일을 생성하면 이벤트 로그 파일이 KMS 키로 암호화됩니다. SSE-KMS 암호화를 활성화하지 않도록 선택하면 Amazon S3 서버 측 암호화 (SSE) 를 사용하여 이벤트 로그가 암호화됩니다. 원하는 만큼 오래 버킷에 로그 파일을 저장할 수 있습니다. 또한 Amazon S3 수명 주기 규칙을 정의하여 로그 파일을 자동으로 보관하거나 삭제할 수도 있습니다. 로그 파일 전송 및 검증에 대한 알림을 원할 경우에는 Amazon SNS 알림을 설정할 수 있습니다.

CloudTrail 한 시간에 여러 번, 약 5분마다 로그 파일을 게시합니다. 이러한 로그 파일에는 지원하는 CloudTrail 계정의 서비스에서 발생한 API 호출이 포함되어 있습니다. 자세한 정보는 CloudTrail 지원되는 서비스 및 통합을 참조하세요.

참고

CloudTrail 일반적으로 API 호출 후 평균 약 5분 이내에 로그를 전달합니다. 이 시간은 보장되지 않습니다. 자세한 내용은 AWS CloudTrail 서비스 수준 계약에서 검토하세요.

트레일을 잘못 구성한 경우 (예: S3 버킷에 연결할 수 없는 경우) 는 30일 동안 S3 버킷으로 로그 파일 재배송을 시도하며, 이러한 attempted-to-deliver 이벤트에는 표준 CloudTrail 요금이 적용됩니다. CloudTrail 잘못 구성된 추적에 대한 요금이 부과되지 않도록 하려면 추적을 삭제해야 합니다.

CloudTrail 사용자가 직접 또는 사용자를 대신하여 서비스가 수행한 작업을 캡처합니다. AWS 예를 들어, AWS CloudFormation CreateStack 호출하면 템플릿에서 요구하는 대로 Amazon EC2, Amazon RDS, Amazon EBS 또는 기타 서비스에 대한 추가 API 호출이 발생할 수 있습니다. AWS CloudFormation 이는 예상된 정상 동작입니다. 이벤트의 invokedby 필드를 사용하여 AWS 서비스가 작업을 수행했는지 식별할 수 있습니다. CloudTrail

다음 표에는 트레일에서 수행할 수 있는 작업에 대한 정보가 나와 있습니다.

작업 설명

관리 이벤트 로깅

읽기 전용, 쓰기 전용 또는 모든 관리 이벤트를 기록하도록 트레일을 구성하십시오.

로그 데이터 이벤트

고급 이벤트 선택기를 사용하여 세밀한 선택기를 만들어 관심 있는 데이터 이벤트만 기록할 수 있습니다. 고급 이벤트 선택기를 사용하면 eventName 필드를 필터링하여 특정 API 호출의 로깅을 포함하거나 제외할 수 있으므로 비용을 제어하는 데 도움이 될 수 있습니다.

로그 인사이트 이벤트

관리 API 호출과 관련된 비정상적인 활동을 식별하고 이에 대응할 수 있도록 Insights 이벤트를 로그하도록 추적을 구성합니다.

Insights 이벤트 적용에는 추가 요금이 부과됩니다. 추적과 이벤트 데이터 스토어 모두에 대해 Insights를 활성화하면 요금이 별도로 부과됩니다. 자세한 내용은 AWS CloudTrail 요금을 참조하십시오.

인사이트 이벤트 보기

트레일에서 CloudTrail Insights를 활성화한 후 CloudTrail 콘솔 또는 를 사용하여 최대 90일간의 Insights 이벤트를 볼 수 AWS CLI있습니다.

인사이트 이벤트 다운로드

트레일에서 CloudTrail Insights를 활성화한 후에는 트레일에 대한 지난 90일간의 Insights 이벤트가 포함된 CSV 또는 JSON 파일을 다운로드할 수 있습니다.

트레일 이벤트를 Lake에 복사합니다. CloudTrail

기존 트레일 이벤트를 CloudTrail Lake 이벤트 데이터 저장소에 복사하여 트레일에 기록된 이벤트의 point-in-time 스냅샷을 생성할 수 있습니다.

Amazon SNS 주제 생성 및 구독

주제를 구독하면 로그 파일이 버킷으로 전송될 때 해당 로그 파일에 대한 알림을 수신할 수 있습니다. Amazon SNS는 Amazon Simple Queue Service를 통한 프로그래밍 방식을 포함하여 여러 가지 방법으로 사용자에게 알릴 수 있습니다.

참고

모든 리전의 로그 파일을 전송할 때 SNS 알림을 수신하려면, 추적에 대해 SNS 주제를 하나만 지정하세요. 프로그래밍 방식으로 모든 이벤트를 처리하고 싶은 경우에는 CloudTrail 프로세싱 라이브러리 사용를 참조하십시오.

로그 파일 보기

S3 버킷에서 로그 파일을 찾아 다운로드합니다.

CloudWatch Logs로 이벤트를 모니터링합니다.

CloudWatch Logs에 이벤트를 전송하도록 트레일을 구성할 수 있습니다. 그런 다음 CloudWatch 로그를 사용하여 계정에서 특정 API 호출 및 이벤트를 모니터링할 수 있습니다.

참고

모든 지역에 적용되는 트레일을 구성하여 로그 CloudWatch 로그 그룹에 이벤트를 보내는 경우 모든 지역의 이벤트를 단일 로그 그룹으로 CloudTrail 보냅니다.

로그 암호화를 활성화합니다.

로그 파일 암호화는 로그 파일에 대한 추가 보안 계층을 제공합니다.

로그 파일 무결성 활성화

로그 파일 무결성 검증을 통해 로그 파일이 CloudTrail 전송된 이후 변경되지 않았는지 확인할 수 있습니다.

다른 사람과 로그 파일 공유 AWS 계정

계정 간에 로그 파일을 공유할 수 있습니다.

여러 계정의 로그 집계

여러 계정의 로그 파일을 단일 버킷에 취합할 수 있습니다.

파트너 솔루션과 함께 작업하세요.

와 통합되는 파트너 솔루션으로 CloudTrail 결과를 분석하세요. CloudTrail 파트너 솔루션은 변경 추적, 문제 해결, 보안 분석 등 광범위한 기능을 제공합니다.

트레일을 CloudTrail 생성하여 진행 중인 관리 이벤트의 사본 하나를 S3 버킷에 무료로 전송할 수 있지만 Amazon S3 스토리지 요금이 부과됩니다. CloudTrail 요금에 대한 자세한 내용은 AWS CloudTrail 요금을 참조하십시오. Amazon S3 요금에 대한 자세한 내용은 Amazon S3 요금을 참조하세요.

CloudTrail 인사이트 이벤트

AWS CloudTrail 인사이트는 AWS 사용자가 CloudTrail 관리 이벤트를 지속적으로 분석하여 API 호출 및 API 오류율과 관련된 비정상적인 활동을 식별하고 이에 대응할 수 있도록 도와줍니다. CloudTrail Insights는 API 호출량의 일반적인 패턴과 API 오류율 (기준이라고도 함) 을 분석하고, 통화량 또는 오류율이 정상 패턴을 벗어나면 Insights 이벤트를 생성합니다. API 호출 볼륨에 대한 Insights 이벤트는 write 관리 API에 대해 생성되고 API 오류율에 대한 Insights 이벤트는 readwrite 관리 API 모두에 대해 생성됩니다.

기본적으로 CloudTrail 트레일 및 이벤트 데이터 저장소는 Insights 이벤트를 기록하지 않습니다. Insights 이벤트를 기록하도록 트레일 또는 이벤트 데이터 스토어를 구성해야 합니다. 자세한 내용은 를 통한 인사이트 이벤트 로깅 AWS Management Console다음을 사용하여 인사이트 이벤트를 기록합니다. AWS Command Line Interface 섹션을 참조하세요.

Insights 이벤트 적용에는 추가 요금이 부과됩니다. 추적과 이벤트 데이터 스토어 모두에 대해 Insights를 활성화하면 요금이 별도로 부과됩니다. 자세한 내용은 AWS CloudTrail 요금을 참조하십시오.

트레일 및 이벤트 데이터 스토어에 대한 Insights 이벤트 보기

CloudTrail 트레일과 이벤트 데이터 저장소 모두에 대해 Insights 이벤트를 지원하지만 Insights 이벤트를 보고 액세스하는 방법에는 약간의 차이가 있습니다.

추적에 대한 Insights 이벤트 보기

트레일에 Insights 이벤트가 활성화되어 있고 비정상적인 활동이 CloudTrail 감지되면 Insights 이벤트는 트레일의 대상 S3 버킷에 있는 다른 폴더 또는 접두사에 기록됩니다. 또한 콘솔에서 Insights 이벤트를 볼 때 인사이트 유형과 인시던트 기간을 확인할 수 있습니다. CloudTrail 자세한 정보는 콘솔을 사용하여 트레일에 대한 CloudTrail Insights 이벤트 보기을 참조하세요.

트레일에서 처음으로 CloudTrail Insights를 활성화한 후 비정상적인 활동이 감지되면 첫 번째 Insights 이벤트가 전달되는 데 최대 36시간이 걸릴 수 있습니다. CloudTrail

이벤트 데이터 스토어에 대한 Insights 이벤트 보기

CloudTrail Lake에서 Insights 이벤트를 기록하려면 Insights 이벤트를 기록하는 대상 이벤트 데이터 저장소와 Insights를 활성화하고 관리 이벤트를 기록하는 원본 이벤트 데이터 저장소가 필요합니다. 자세한 정보는 콘솔을 사용하여 Insights 이벤트용 이벤트 데이터 저장소를 생성하십시오.을 참조하세요.

원본 이벤트 데이터 저장소에서 처음으로 CloudTrail Insights를 활성화한 후 비정상적인 활동이 감지되면 첫 번째 Insights 이벤트가 대상 이벤트 데이터 저장소에 전송되기까지 최대 7일이 걸릴 수 있습니다. CloudTrail

소스 이벤트 데이터 저장소에서 CloudTrail CloudTrail Insights를 사용하도록 설정한 상태에서 비정상적인 활동이 감지되면 Insights 이벤트를 대상 이벤트 데이터 저장소에 전송하십시오. CloudTrail 그런 다음 대상 이벤트 데이터 스토어를 쿼리하여 Insights 이벤트에 대한 정보를 얻고 선택적으로 쿼리 결과를 S3 버킷에 저장할 수 있습니다. 자세한 내용은 콘솔을 사용하여 쿼리를 생성하거나 편집하십시오. CloudTrail CloudTrail 콘솔에서 샘플 쿼리 보기 섹션을 참조하세요.

Insights Events 대시보드를 통해 대상 이벤트 데이터 스토어의 Insights 이벤트를 시각화할 수 있습니다. Lake 대시보드에 대한 자세한 내용은 콘솔로 CloudTrail Lake 대시보드 보기 CloudTrail 섹션을 참조하세요.

CloudTrail 채널

CloudTrail 두 가지 유형의 채널을 지원합니다.

외부 이벤트 소스와 CloudTrail Lake를 통합하기 위한 채널 AWS

CloudTrail Lake는 채널을 사용하여 외부 파트너와 협력하는 외부 파트너 또는 자체 소스의 이벤트를 CloudTrail Lake로 CloudTrail 가져옵니다. AWS 채널을 생성할 때 채널 소스에서 도착하는 이벤트를 저장할 이벤트 데이터 스토어를 하나 이상 선택합니다. 대상 이벤트 데이터 스토어가 활동 이벤트를 로깅하도록 설정된 경우 필요에 따라 채널의 대상 이벤트 데이터 스토어를 변경할 수 있습니다. 외부 파트너의 이벤트에 대한 채널을 생성할 때는 파트너 또는 소스 애플리케이션에 채널 ARN을 제공합니다. 채널에 연결된 리소스 정책을 사용하면 소스가 채널을 통해 이벤트를 전송할 수 있습니다. 자세한 내용을 알아보려면 AWS CloudTrail API 참조외부 이벤트 소스와의 통합 생성 AWSCreateChannel 섹션을 참조하세요.

서비스 연결 채널

AWS 서비스는 사용자를 대신하여 CloudTrail 이벤트를 수신하는 서비스 연결 채널을 만들 수 있습니다. AWS 서비스 연결 채널을 만드는 서비스는 채널의 고급 이벤트 셀렉터를 구성하고 채널을 모든 지역에 적용할지 아니면 현재 지역에 적용할지를 지정합니다.

CloudTrail 콘솔을 사용하거나 에서 만든 모든 CloudTrail 서비스 연결 AWS CLI채널에 대한 정보를 볼 수 있습니다. AWS 서비스