이벤트용 CloudTrail 이벤트 데이터 저장소 생성 - AWS CloudTrail

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

이벤트용 CloudTrail 이벤트 데이터 저장소 생성

이벤트용 이벤트 데이터 저장소는 CloudTrail 관리 및 데이터 CloudTrail 이벤트를 기록할 수 있습니다. 1년 연장 가능 보존 요금 옵션을 선택하는 경우 최대 3,653일(약 10년), 7년 보존 요금 옵션을 선택하는 경우 최대 2,557일(약 7년) 동안 이벤트 데이터를 이벤트 데이터 스토어에 보관할 수 있습니다.

CloudTrail Lake 이벤트 데이터 스토어에는 요금이 부과됩니다. 이벤트 데이터 스토어를 생성할 때 이벤트 데이터 스토어에 사용할 요금 옵션을 선택합니다. 요금 옵션에 따라 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간이 결정됩니다. CloudTrail 가격 책정 및 Lake 비용 관리에 대한 자세한 내용은 AWS CloudTrail요금 CloudTrail 호수 비용 관리 을 참조하십시오.

CloudTrail 관리 또는 데이터 이벤트를 위한 이벤트 데이터 저장소를 만들려면

이 절차를 사용하여 관리 이벤트, 데이터 이벤트 또는 CloudTrail 관리 및 데이터 이벤트를 모두 기록하는 이벤트 데이터 저장소를 만들 수 있습니다.

  1. 에 AWS Management Console 로그인하고 https://console.aws.amazon.com/cloudtrail/ 에서 CloudTrail 콘솔을 엽니다.

  2. 탐색 창의 Lake에서 Event data stores(이벤트 데이터 스토어)를 선택합니다.

  3. 이벤트 데이터 스토어 생성을 선택합니다.

  4. 이벤트 데이터 스토어 구성(Configure event data store) 페이지의 일반 세부 정보(General details)에서 이벤트 데이터 스토어의 이름을 입력합니다. 이름은 필수 항목입니다.

  5. 이벤트 데이터 스토어에 사용할 요금 옵션을 선택합니다. 요금 옵션에 따라 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간이 결정됩니다. 자세한 내용은 AWS CloudTrail 요금 CloudTrail 호수 비용 관리 섹션을 참조하세요.

    다음과 같은 옵션을 사용할 수 있습니다.

    • 1년 연장 가능 보존 요금 - 매월 25TB 미만의 이벤트 데이터를 모을 것으로 예상되고 최대 10년의 유연한 보존 기간을 원하는 경우 일반적으로 권장됩니다. 처음 366일(기본 보존 기간) 동안은 추가 요금 없이 모으기 요금에 스토리지가 포함됩니다. 366일 이후에는 보존 기간 연장을 유료로 이용할 수 있습니다 pay-as-you-go . 이는 기본 옵션입니다.

      • 기본 보존 기간: 366일

      • 최대 보존 기간: 3,653일

    • 7년 보존 요금 - 매월 25TB 이상의 이벤트 데이터를 모을 것으로 예상되고 최대 7년의 보존 기간이 필요한 경우 권장됩니다. 추가 비용 없이 모으기 요금에 보존이 포함됩니다.

      • 기본 보존 기간: 2,557일

      • 최대 보존 기간: 2,557일

  6. 이벤트 데이터 스토어의 보존 기간을 지정합니다. 보존 기간은 1년 연장 가능 보존 요금 옵션의 경우 7일~3,653일(약 10년), 7년 보존 요금 옵션의 경우 7일~2,557일(약 7년)일 수 있습니다.

    CloudTrail Lake는 이벤트가 지정된 보존 기간 내에 있는지 확인하여 이벤트 보존 여부를 결정합니다. eventTime 예를 들어 보존 기간을 90일로 CloudTrail 지정하면 90일이 넘으면 이벤트가 삭제됩니다. eventTime

    참고

    트레일 이벤트를 이 이벤트 데이터 저장소에 복사하는 경우 지정된 보존 기간보다 오래된 이벤트는 복사하지 않습니다. CloudTrail eventTime 적절한 보존 기간을 결정하려면 복사하려는 가장 오래된 이벤트 (일) 와 이벤트 데이터 저장소에 이벤트를 보존하려는 일수 (보존 기간 = oldest-event-in-days+ number-days-to-retain) 의 합계를 구하십시오. 예를 들어, 복사 중인 가장 오래된 이벤트가 45일이고 이벤트 데이터 스토어에 이벤트를 추가로 45일 동안 보관하려는 경우 보존 기간을 90일로 설정합니다.

  7. (선택 사항) AWS Key Management Service를 사용하는 암호화를 활성화하려면 Use my own AWS KMS key(자체 KMS 키 사용)를 선택합니다. 신규를 선택하여 AWS KMS key 를 생성하거나 기존을 선택하여 기존 KMS 키를 사용합니다. KMS 별칭 입력에서 다음과 같은 형식으로 별칭을 지정합니다. alias/ MyAliasName 자체 KMS 키를 사용하려면 KMS 키 정책을 편집하여 CloudTrail 로그를 암호화하고 해독할 수 있도록 해야 합니다. 자세한 내용은 을 참조하십시오. CloudTrail에 대한 AWS KMS 키 정책 구성 CloudTrail AWS KMS다중 지역 키도 지원합니다. 다중 리전 키에 대한 자세한 내용은 AWS Key Management Service 개발자 가이드다중 리전 키 사용 단원을 참조하세요.

    자체 KMS 키를 사용하면 암호화 및 복호화에 대한 AWS KMS 비용이 발생합니다. KMS 키와 이벤트 데이터 스토어를 연결한 후에는 KMS 키를 제거하거나 변경할 수 없습니다.

    참고

    조직 이벤트 데이터 스토어에 대해 AWS Key Management Service 암호화를 활성화하려면 관리 계정에 기존 KMS 키를 사용해야 합니다.

  8. (선택 사항) Amazon Athena를 사용하여 이벤트 데이터에 대해 쿼리하려면 Lake 쿼리 페더레이션에서 활성화를 선택합니다. 페더레이션을 통해 AWS Glue 데이터 카탈로그의 이벤트 데이터 스토어와 연결된 메타데이터를 확인하고 Athena에서 이벤트 데이터에 대해 SQL 쿼리를 실행할 수 있습니다. Athena 쿼리 엔진은 AWS Glue 데이터 카탈로그에 저장된 테이블 메타데이터를 통해 쿼리하려는 데이터를 찾고, 읽고, 처리할 방법을 파악합니다. 자세한 설명은 이벤트 데이터 스토어 페더레이션 섹션을 참조하세요.

    Lake 쿼리 페더레이션을 활성화하려면 활성화를 선택하고 다음을 수행합니다.

    1. 새 역할을 생성할지 아니면 기존 IAM 역할을 사용할지 선택합니다. AWS Lake Formation은 이 역할을 사용하여 페더레이션 이벤트 데이터 스토어에 대한 권한을 관리합니다. CloudTrail 콘솔을 사용하여 새 역할을 생성하면 필요한 권한이 있는 역할이 CloudTrail 자동으로 생성됩니다. 기존 역할을 선택하는 경우 해당 역할에 대한 정책이 필요한 최소 권한을 제공하는지 확인합니다.

    2. 새 역할을 생성하는 경우 역할을 식별할 수 있는 이름을 입력합니다.

    3. 기존 역할을 사용하는 경우 사용하려는 역할을 선택합니다. 계정에 역할이 있어야 합니다.

  9. (선택 사항) Tags(태그) 섹션에 최대 50개의 태그 키 쌍을 추가하여 이벤트 데이터 스토어에 대한 액세스를 식별, 정렬 및 제어할 수 있습니다. IAM 정책을 사용하여 태그를 기반으로 이벤트 데이터 스토어에 대한 액세스 권한을 부여하는 방법에 대한 자세한 내용은 예제: 태그를 기반으로 이벤트 데이터 스토어를 생성 또는 삭제하기 위한 액세스 거부 단원을 참조하세요. AWS에서의 의 태그 사용 방법에 대한 자세한 내용은 AWS 일반 참조AWS 리소스 태그 지정을 참조하세요.

  10. Next(다음)를 선택하여 이벤트 데이터 스토어를 구성합니다.

  11. 이벤트 선택 페이지에서 AWS이벤트를 선택한 다음 CloudTrail이벤트를 선택합니다.

  12. CloudTrail 이벤트의 경우 이벤트 유형을 하나 이상 선택하십시오. 기본적으로 관리 이벤트(Management events)가 선택됩니다. 이벤트 데이터 스토어에 관리 이벤트와 데이터 이벤트를 모두 추가할 수 있습니다. 관리 이벤트에 대한 자세한 내용은 관리 이벤트 로깅 섹션을 참조하세요. 데이터 이벤트에 대한 자세한 내용은 데이터 이벤트 로깅 섹션을 참조하세요.

  13. (선택 사항) 기존 트레일에서 이벤트를 복사해 이전 이벤트에 대한 쿼리를 실행하려면 Copy trail events(트레일 이벤트 복사)를 선택합니다. 추적 이벤트를 조직 이벤트 데이터 스토어에 복사하려면 조직의 관리 계정을 사용해야 합니다. 위임된 관리자 계정은 추적 이벤트를 조직 이벤트 데이터 스토어에 복사할 수 없습니다. 트레일 이벤트 복사 시 고려 사항에 대한 자세한 내용은 추적 이벤트 복사 시의 고려 사항 단원을 참조하세요.

  14. 이벤트 데이터 스토어에서 AWS Organizations 조직 내 모든 계정의 이벤트를 수집하도록 하려면 내 조직의 모든 계정에 대해 활성화(Enable for all accounts in my organization)를 선택합니다. 조직의 이벤트를 수집하는 이벤트 데이터 스토어를 생성하려면 조직의 관리 계정이나 위임된 관리자 계정에 로그인해야 합니다.

    참고

    추적 이벤트를 복사하거나 Insights 이벤트를 사용 설정하려면, 조직의 관리 계정에 로그인해야 합니다.

  15. 추가 설정을 확장하여 이벤트 데이터 스토어에서 모든 AWS 리전 이벤트를 수집할지, 아니면 현재 AWS 리전 이벤트만을 수집할지 선택하고, 이벤트 데이터 스토어에서 이벤트를 수집할지 선택합니다. 기본적으로 이벤트 데이터 스토어는 계정 내 모든 리전에서 이벤트를 수집하고, 이벤트 데이터 스토어가 생성되면 수집을 시작합니다.

    1. Include only the current region in my event data store(내 이벤트 데이터 스토어에 현재 리전만 포함)를 선택하여 현재 리전에서 로그된 이벤트만 포함할 수 있습니다. 이 옵션을 선택하지 않으면 이벤트 데이터 스토어에 모든 리전의 이벤트가 포함됩니다.

    2. 이벤트 데이터 스토어에서 Ingest events(이벤트 수집)을 시작하지 않도록 하려면 이벤트 수집을 선택 해제합니다. 예를 들어, 추적 이벤트를 복사하고, 이벤트 데이터 스토어에 향후 이벤트가 포함되지 않도록 하려면 Ingest events(이벤트 수집)을 선택 해제해야 할 수 있습니다. 이벤트 데이터 스토어는 생성되어 기본적으로 이벤트 수집을 시작합니다.

  16. 이벤트 데이터 스토어에 관리 이벤트가 포함된 경우 다음 옵션 중에서 선택할 수 있습니다. 관리 이벤트에 대한 자세한 내용은 관리 이벤트 로깅 섹션을 참조하세요.

    1. 읽기이벤트를 포함할지, Write(쓰기) 이벤트를 포함할지, 두 가지 모두를 포함할지 선택합니다. 최소 1개 이상 필요합니다.

    2. 이벤트 데이터 스토어에서 AWS Key Management Service 또는 Amazon RDS Data API 이벤트를 제외하도록 선택합니다.

    3. Insights의 활성화 여부를 선택합니다. Insights를 활성화하려면, 이 이벤트 데이터 스토어에서의 관리 이벤트 활동을 기반으로 Insights 이벤트를 수집하는 대상 이벤트 데이터 스토어를 설정해야 합니다.

      Insights를 사용하기로 선택했다면, 다음을 따라합니다.

      1. Insights 활성화(Enable Insights)에서 Insights 이벤트를 로그할 대상 이벤트 스토어를 선택합니다. 대상 이벤트 데이터 스토어는 이 이벤트 데이터 스토어의 관리 이벤트 활동을 기반으로 Insights 이벤트를 수집합니다. 대상 이벤트 데이터 스토어를 생성하는 방법에 대한 자세한 내용은 Insights 이벤트를 로그하는 대상 이벤트 데이터 스토어 생성 섹션을 참조하세요.

      2. Insights 유형을 선택합니다. API 호출률(API call rate), API 오류율(API error rate) 또는 두 가지 모두를 선택할 수 있습니다. API 호출률(API call rate)에 대한 Insights 이벤트를 로그하려면 쓰기(Write) 관리 이벤트를 로그하고 있어야 합니다. API 오류율에 대한 Insights 이벤트를 로그하려면 읽기(Read) 또는 쓰기(Write) 관리 이벤트를 로그하고 있어야 합니다.

  17. 이벤트 데이터 스토어에 데이터 이벤트를 포함하려면 다음을 수행합니다.

    1. 데이터 이벤트 유형을 선택합니다. 이는 데이터 이벤트가 로그되는 AWS 서비스 및 리소스입니다. Lake Formation에서 생성한 AWS Glue 테이블의 데이터 이벤트를 로그하려면 데이터 형식으로 Lake Formation을 선택합니다.

    2. 로그 선택기 템플릿(Log selector template)에서 템플릿을 선택합니다. 모든 데이터 이벤트, readOnly 이벤트, writeOnly 이벤트를 기록하도록 선택하거나 사용자 지정(Custom)을 사용하여 사용자 지정 로그 선택기를 빌드할 수 있습니다.

    3. (선택 사항) 선택자 이름(Selector name)에 선택자를 식별할 이름을 입력합니다. 선택기 이름은 "2개의 S3 버킷에 대한 데이터 이벤트 로그그"애와 같이 고급 이벤트 선택기를 설명하는 이름입니다. 선택기 이름은 고급 이벤트 선택기에서의 Name으로 나열되며, JSON 뷰(JSON view)를 확장하여 볼 수 있습니다.

    4. 고급 이벤트 선택기(Advanced event selectors)에서 필드(Field), 연산자(Operator) 및 (Value)을 선택하여 표현식을 빌드합니다. 이벤트 데이터 스토어의 고급 이벤트 선택기는 추적에 적용하는 고급 이벤트 선택기와 동일하게 작동합니다. 고급 이벤트 선택기를 빌드하는 방법에 대한 자세한 내용은 고급 이벤트 선택기를 사용하여 데이터 이벤트 로깅 단원을 참조하십시오.

      다음 예제에서는 사용자 지정(Custom) 로그 선택기 템플릿을 사용하여 PutObject과 같이 Put를 통해 시작하는 S3 객체에서 이벤트 이름만을 선택합니다. 고급 이벤트 선택기는 다른 이벤트 유형이나 리소스 ARN을 포함하거나 제외하지 않으므로 이벤트 이름이 Put로 시작하는 모든 S3 데이터 이벤트(읽기 및 쓰기 모두)는 이벤트 데이터 스토어에 저장됩니다.

      
                                    레이크 데이터 이벤트, 고급 이벤트 선택기
      중요

      S3 버킷 ARN을 사용하여 고급 이벤트 선택기가 있는 데이터 이벤트를 제외하거나 포함하려면 항상 다음으로 시작(Starts with) 연산자를 사용합니다.

    5. 선택적으로 JSON 뷰(JSON view)를 확장하여 고급 이벤트 선택기를 JSON 블록으로 볼 수 있습니다.

  18. 이벤트 데이터 스토어에 기존 추적 이벤트를 복사하려면 다음을 수행합니다.

    1. 복사하려는 트레일을 선택합니다. 기본적으로 는 S3 버킷의 접두사와 접두사 내의 CloudTrail 접두사에 포함된 CloudTrail CloudTrail 이벤트만 복사하고 다른 서비스의 CloudTrail 접두사는 확인하지 않습니다. AWS 다른 접두사에 포함된 CloudTrail 이벤트를 복사하려면 Enter S3 URI를 선택한 다음 Browse S3를 선택하여 접두사를 찾아보십시오. 트레일의 원본 S3 버킷이 데이터 암호화에 KMS 키를 사용하는 경우 KMS 키 정책에서 데이터 암호 해독을 CloudTrail 허용하는지 확인하십시오. 원본 S3 버킷이 여러 KMS 키를 사용하는 경우 버킷의 데이터를 해독할 수 있도록 CloudTrail 각 키의 정책을 업데이트해야 합니다. KMS 키 정책 업데이트에 대한 자세한 내용은 소스 S3 버킷의 데이터 해독을 위한 KMS 키 정책를 참조하세요.

    2. 이벤트를 복사할 시간 범위를 선택합니다. CloudTrail 트레일 이벤트를 복사하기 전에 접두사와 로그 파일 이름을 검사하여 선택한 시작일과 종료일 사이의 날짜가 이름에 포함되어 있는지 확인합니다. 상대 범위 또는 절대 범위를 선택할 수 있습니다. 소스 추적과 대상 이벤트 데이터 스토어 간에 이벤트가 중복되지 않도록 하려면 이벤트 데이터 스토어 생성 이전의 시간 범위를 선택합니다.

      참고

      CloudTrail 이벤트 데이터 저장소의 보존 기간 eventTime 내에 있는 트레일 이벤트만 복사합니다. 예를 들어 이벤트 데이터 저장소의 보존 기간이 90일인 경우 CloudTrail 90일이 지난 트레일 이벤트는 복사하지 않습니다. eventTime

      • 상대 범위를 선택하면 최근 6개월, 1년, 2년, 7년 또는 사용자 지정 범위에서 기록된 이벤트를 복사하도록 선택할 수 있습니다. CloudTrail 선택한 기간 내에 기록된 이벤트를 복사합니다.

      • 절대 범위를 선택하면 특정 시작일과 종료일을 선택할 수 있습니다. CloudTrail 선택한 시작일과 종료일 사이에 발생한 이벤트를 복사합니다.

    3. 권한에서 다음 IAM 역할 옵션 중 하나를 선택합니다. 기존 IAM 역할을 선택하는 경우 IAM 역할 정책이 필요한 권한을 제공하는지 확인합니다. IAM 역할 권한 업데이트에 대한 자세한 내용은 추적 이벤트 복사를 위한 IAM 권한 섹션을 참조하세요.

      • 새 IAM 역할을 생성하려면 새 역할 생성(권장)을 선택합니다. IAM 역할 이름 입력에 역할 이름을 입력합니다. CloudTrail 이 새 역할에 필요한 권한을 자동으로 생성합니다.

      • 목록에 없는 사용자 지정 IAM 역할을 사용하려면 사용자 지정 IAM 역할 사용(Use a custom IAM role)을 선택합니다. IAM 역할 ARN 입력(Enter IAM role ARN)에서 IAM ARN을 입력합니다.

      • 드롭다운 목록에서 기존 IAM 역할을 선택하려면 기존 역할 사용을 선택합니다.

  19. Next(다음)를 선택하여 선택 사항을 검토합니다.

  20. 검토 및 생성(Review and create) 페이지에서 선택 사항을 검토합니다. 편집(Edit)을 선택하여 단원을 변경합니다. 이벤트 데이터 스토어를 생성할 준비가 되었으면 이벤트 데이터 스토어 생성(Create event data store)을 선택합니다.

  21. 새 이벤트 데이터 스토어는 Event data stores(이벤트 데이터 스토어) 페이지의 이벤트 데이터 스토어(Event data stores) 테이블에서 볼 수 있습니다.

    이 시점부터 이벤트 데이터 스토어는 고급 이벤트 선택기와 일치하는 이벤트를 캡처합니다(Ingest events(이벤트 수집) 옵션을 선택한 경우). 기존 트레일 이벤트를 복사하기로 선택하지 않은 한 이벤트 데이터 스토어를 만들기 전에 발생한 이벤트는 이벤트 데이터 스토어에 존재하지 않습니다.

이제 새 이벤트 데이터 스토어에 대한 쿼리를 실행할 수 있습니다. Sample queries(샘플 쿼리) 탭에서는 시작하기 위한 예제 쿼리를 제공합니다. 쿼리 생성 및 편집에 대한 자세한 내용은 쿼리 생성 또는 편집을 참조하세요.

CloudTrail Lake 대시보드를 통해 이벤트 데이터 스토어의 이벤트를 시각화할 수도 있습니다. Lake 대시보드에 대한 자세한 내용은 Lake 대시보드 보기 섹션을 참조하세요.