AWS CloudTrail의 인프라 보안

관리형 서비스인 AWS CloudTrail는 AWS:Amazon Web Services에 설명된 글로벌 네트워크 보안 절차로 보호됩니다. 보안 프로세스 개요 백서입니다.

AWS에서 게시한 API 호출을 사용하여 네트워크를 통해 CloudTrail에 액세스합니다. 클라이언트가 TLS(전송 계층 보안) 1.0 이상을 지원해야 합니다. TLS 1.2 이상을 권장합니다. 클라이언트는 Ephemeral Diffie-Hellman(DHE) 또는 Elliptic Curve Ephemeral Diffie-Hellman(ECDHE)과 같은 PFS(전달 완전 보안, Perfect Forward Secrecy)가 포함된 암호 제품군도 지원해야 합니다. Java 7 이상의 최신 시스템은 대부분 이러한 모드를 지원합니다.

또한 요청은 액세스 키 ID 및 IAM 주체와 관련된 보안 액세스 키를 사용하여 서명해야 합니다. 또는 AWS Security Token Service(AWS STS)를 사용하여 임시 보안 자격 증명을 생성하여 요청에 서명할 수 있습니다.

다음 보안 모범 사례에서도 CloudTrail의 인프라 보안을 다룹니다.

• 추적 액세스를 위한 Amazon VPC 엔드포인트를 고려합니다.

• Amazon S3 버킷 액세스를 위한 Amazon VPC 엔드포인트를 고려합니다. 자세한 내용은 Amazon S3의 VPC 엔드포인트에 대한 예제 버킷 정책을 참조하십시오.

• CloudTrail 로그 파일이 포함된 모든 Amazon S3 버킷을 식별하고 감사합니다. CloudTrail 추적과 CloudTrail 로그 파일이 포함된 Amazon S3 버킷을 식별하는 데 도움이 되는 태그 사용을 고려합니다. 그런 다음 CloudTrail 리소스의 리소스 그룹을 사용할 수 있습니다. 자세한 내용은 AWS 리소스 그룹 항목을 참조하십시오.