CloudTrail Insights 이벤트를 위한 이벤트 데이터 저장소를 생성하세요.

AWS CloudTrail Insights는 AWS 사용자가 CloudTrail 관리 이벤트를 지속적으로 분석하여 API 호출 및 API 오류율과 관련된 비정상적인 활동을 식별하고 이에 대응할 수 있도록 도와줍니다. CloudTrail 인사이트는 API 호출량의 일반적인 패턴과 API 오류율 (기준이라고도 함) 을 분석하고, 통화량 또는 오류율이 정상 패턴을 벗어나면 Insights 이벤트를 생성합니다. API 호출 볼륨에 대한 Insights 이벤트는 write 관리 API에 대해 생성되고 API 오류율에 대한 Insights 이벤트는 read 및 write 관리 API 모두에 대해 생성됩니다.

CloudTrail Lake에서 Insights 이벤트를 기록하려면 Insights 이벤트를 기록하는 대상 이벤트 데이터 저장소와 Insights를 활성화하고 관리 이벤트를 기록하는 원본 이벤트 데이터 저장소가 필요합니다.

참고

API 호출량에 대한 Insights 이벤트를 로깅하려면, 소스 이벤트 데이터 스토어가 write 관리 이벤트를 로깅해야 합니다. API 오류율에 대한 Insights 이벤트를 기록하려면, 소스 이벤트 데이터 스토어에서 read 또는 write 관리 이벤트를 기록해야 합니다.

소스 이벤트 데이터 저장소에서 CloudTrail CloudTrail Insights를 활성화하고 비정상적인 활동을 감지한 경우 Insights 이벤트를 대상 이벤트 데이터 저장소에 전송하십시오. CloudTrail 이벤트 데이터 저장소에서 캡처된 다른 유형의 CloudTrail 이벤트와 달리 Insights 이벤트는 계정의 일반적인 사용 패턴과 크게 다른 계정 API 사용 변화를 CloudTrail 감지한 경우에만 로깅됩니다.

이벤트 데이터 저장소에서 처음으로 CloudTrail Insights를 활성화한 후 비정상적인 활동이 감지되면 첫 번째 Insights 이벤트가 전송되기까지 최대 7일이 걸릴 수 있습니다. CloudTrail

CloudTrail Insights는 전 세계가 아닌 단일 지역에서 발생하는 관리 이벤트를 분석합니다. CloudTrail Insights 이벤트는 지원 관리 이벤트가 생성된 지역과 동일한 지역에서 생성됩니다.

조직 이벤트 데이터 저장소의 경우 CloudTrail 조직의 모든 관리 이벤트 집계를 분석하는 대신 각 구성원 계정의 관리 이벤트를 분석합니다.

Lake에서 CloudTrail Insights 이벤트를 수집하는 경우 추가 요금이 적용됩니다. 트레일과 CloudTrail Lake 이벤트 데이터 저장소 모두에 대해 Insights를 활성화하면 별도의 요금이 부과됩니다. CloudTrail 요금에 대한 자세한 내용은 AWS CloudTrail 요금을 참조하십시오.

Insights 이벤트를 로그하는 대상 이벤트 데이터 스토어 생성

Insights 이벤트 데이터 스토어를 생성할 때, 관리 이벤트를 로그하는 기존 소스 이벤트 데이터 스토어를 선택하고, 수신할 Insights 유형을 지정할 수 있습니다. 또는 Insights 이벤트 데이터 스토어를 생성한 후 새 이벤트 데이터 스토어나 기존 이벤트 데이터 스토어에서 Insights를 활성화한 다음, 이 이벤트 데이터 스토어를 대상 이벤트 데이터 스토어로 선택할 수도 있습니다.

이 절차는 Insights 이벤트를 로그하는 대상 이벤트 데이터 스토어를 생성하는 방법을 보여 줍니다.

1. AWS Management Console 로그인하고 https://console.aws.amazon.com/cloudtrail/ 에서 CloudTrail 콘솔을 엽니다.

2. 탐색 창에서 Lake 하위 메뉴를 연 다음 Event data stores(이벤트 데이터 스토어)를 선택합니다.

3. 이벤트 데이터 스토어 생성을 선택합니다.

4. 이벤트 데이터 스토어 구성(Configure event data store) 페이지의 일반 세부 정보(General details)에서 이벤트 데이터 스토어의 이름을 입력합니다. 이름은 필수 항목입니다.

5. 이벤트 데이터 스토어에 사용할 요금 옵션을 선택합니다. 요금 옵션에 따라 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간이 결정됩니다. 자세한 내용은 AWS CloudTrail 요금 및 CloudTrail 호수 비용 관리 섹션을 참조하세요.

   다음과 같은 옵션을 사용할 수 있습니다.

   • 1년 연장 가능 보존 요금 - 매월 25TB 미만의 이벤트 데이터를 모을 것으로 예상되고 최대 10년의 유연한 보존 기간을 원하는 경우 일반적으로 권장됩니다. 처음 366일(기본 보존 기간) 동안은 추가 요금 없이 모으기 요금에 스토리지가 포함됩니다. 366일 이후에는 보존 기간 연장을 유료로 이용할 수 있습니다 pay-as-you-go . 이는 기본 옵션입니다.

     • 기본 보존 기간: 366일

     • 최대 보존 기간: 3,653일

   • 7년 보존 요금 - 매월 25TB 이상의 이벤트 데이터를 모을 것으로 예상되고 최대 7년의 보존 기간이 필요한 경우 권장됩니다. 추가 비용 없이 모으기 요금에 보존이 포함됩니다.

     • 기본 보존 기간: 2,557일

     • 최대 보존 기간: 2,557일

6. 이벤트 데이터 스토어의 보존 기간을 일 단위로 지정합니다. 보존 기간은 1년 연장 가능 보존 요금 옵션의 경우 7일~3,653일(약 10년), 7년 보존 요금 옵션의 경우 7일~2,557일(약 7년)일 수 있습니다. 이벤트 데이터 스토어는 지정된 일수 동안 이벤트 데이터를 유지합니다.

7. (선택 사항) 를 사용하여 암호화를 활성화하려면 [ AWS Key Management Service Use my own AWS KMS key] 을 선택합니다. 새로 만들기를 선택하여 AWS KMS key 자동으로 생성하거나 기존 KMS 키를 사용하려면 기존 키를 선택합니다. KMS 별칭 입력에서 다음과 같은 형식으로 별칭을 지정합니다. alias/ MyAliasName 자체 KMS 키를 사용하려면 KMS 키 정책을 편집하여 CloudTrail 로그를 암호화하고 해독할 수 있도록 해야 합니다. 자세한 내용은 을 참조하십시오. CloudTrail에 대한 AWS KMS 키 정책 구성 CloudTrail AWS KMS 다중 지역 키도 지원합니다. 다중 리전 키에 대한 자세한 내용은 AWS Key Management Service 개발자 가이드의 다중 리전 키 사용 단원을 참조하세요.

   자체 KMS 키를 사용하면 암호화 및 복호화 AWS KMS 비용이 발생합니다. KMS 키와 이벤트 데이터 스토어를 연결한 후에는 KMS 키를 제거하거나 변경할 수 없습니다.

   참고

   조직 이벤트 데이터 저장소의 AWS Key Management Service 암호화를 활성화하려면 관리 계정의 기존 KMS 키를 사용해야 합니다.

8. (선택 사항) Amazon Athena를 사용하여 이벤트 데이터에 대해 쿼리하려면 Lake 쿼리 페더레이션에서 활성화를 선택합니다. 페더레이션을 통해 AWS Glue 데이터 카탈로그의 이벤트 데이터 스토어와 연결된 메타데이터를 확인하고 Athena에서 이벤트 데이터에 대해 SQL 쿼리를 실행할 수 있습니다. AWS Glue 데이터 카탈로그에 저장된 테이블 메타데이터를 통해 Athena 쿼리 엔진은 쿼리하려는 데이터를 찾고, 읽고, 처리하는 방법을 알 수 있습니다. 자세한 정보는 이벤트 데이터 스토어 페더레이션을 참조하세요.

   Lake 쿼리 페더레이션을 활성화하려면 활성화를 선택하고 다음을 수행합니다.

   1. 새 역할을 생성할지 아니면 기존 IAM 역할을 사용할지 선택합니다. AWS Lake Formation은 이 역할을 사용하여 페더레이션 이벤트 데이터 스토어에 대한 권한을 관리합니다. CloudTrail 콘솔을 사용하여 새 역할을 만들면 필요한 권한이 있는 역할이 CloudTrail 자동으로 생성됩니다. 기존 역할을 선택하는 경우 해당 역할에 대한 정책이 필요한 최소 권한을 제공하는지 확인합니다.

   2. 새 역할을 생성하는 경우 역할을 식별할 수 있는 이름을 입력합니다.

   3. 기존 역할을 사용하는 경우 사용하려는 역할을 선택합니다. 계정에 역할이 있어야 합니다.

9. (선택 사항) Tags(태그) 섹션에 최대 50개의 태그 키 쌍을 추가하여 이벤트 데이터 스토어에 대한 액세스를 식별, 정렬 및 제어할 수 있습니다. IAM 정책을 사용하여 태그를 기반으로 이벤트 데이터 스토어에 대한 액세스 권한을 부여하는 방법에 대한 자세한 내용은 예제: 태그를 기반으로 이벤트 데이터 스토어를 생성 또는 삭제하기 위한 액세스 거부 단원을 참조하세요. 에서 AWS태그를 사용하는 방법에 대한 자세한 내용은 의 AWS 리소스 태깅을 AWS 일반 참조참조하십시오.

10. Next(다음)를 선택하여 이벤트 데이터 스토어를 구성합니다.

11. 이벤트 선택 페이지에서 이벤트를 선택한AWS 다음 CloudTrailInsights 이벤트를 선택합니다.

12. CloudTrail Insights 이벤트에서 다음을 수행하세요.

    1. 조직의 위임된 관리자에게 이 이벤트 데이터 스토어에 대한 액세스 권한을 부여하려면, Allow delegated administrator access(위임된 관리자 액세스 허용)을 선택합니다. 이 옵션은 AWS Organizations 조직의 관리 계정으로 로그인한 경우에만 사용할 수 있습니다.

    2. (선택 사항) 관리 이벤트를 로그하는 기존 소스 이벤트 데이터 스토어를 선택하고, 수신할 Insights 유형을 지정합니다.

       소스 이벤트 데이터 스토어를 추가하려면 다음을 따라합니다.

       1. Add source event data store(소스 이벤트 데이터 스토어 추가)를 선택합니다.

       2. 소스 이벤트 데이터 스토어를 선택합니다.

       3. 수신할 Insights type(Insights 유형)을 선택합니다.

          • ApiCallRateInsight – ApiCallRateInsight Insights 유형은 기본 API 호출 볼륨을 기준으로 분당 집계되는 쓰기 전용 관리 API 호출을 분석합니다. ApiCallRateInsight의 Insights를 수신하려면 소스 이벤트 데이터 스토어가 Write(쓰기) 관리 이벤트를 기록해야 합니다.

          • ApiErrorRateInsight – ApiErrorRateInsight Insights 유형은 오류 코드가 되는 관리 API 호출을 분석합니다. API 호출이 실패하면 오류가 표시됩니다. ApiErrorRateInsight의 Insights를 수신하려면, 소스 이벤트 데이터 스토어가 Write(쓰기) 또는 Read(읽기) 관리 이벤트를 기록해야 합니다.

       4. 이전 두 단계(ii 및 iii) 를 반복하여 수신할 추가 Insights 유형을 추가합니다.

13. Next(다음)를 선택하여 선택 사항을 검토합니다.

14. 검토 및 생성(Review and create) 페이지에서 선택 사항을 검토합니다. 편집(Edit)을 선택하여 단원을 변경합니다. 이벤트 데이터 스토어를 생성할 준비가 되었으면 이벤트 데이터 스토어 생성(Create event data store)을 선택합니다.

15. 새 이벤트 데이터 스토어는 이벤트 데이터 스토어(Event data stores) 페이지의 이벤트 데이터 스토어(Event data stores) 테이블에서 볼 수 있습니다.

16. 10단계에서 원본 이벤트 데이터 스토어를 선택하지 않은 경우, Insights 이벤트를 활성화하는 소스 이벤트 데이터 스토어 생성에서 단계에 따라 원본 이벤트 데이터 스토어를 생성합니다.

Insights 이벤트를 활성화하는 소스 이벤트 데이터 스토어 생성

이 절차는 Insights 이벤트 및 로그 관리 이벤트를 활성화하는 원본 이벤트 데이터 스토어를 생성하는 방법을 보여줍니다.

1. 에 AWS Management Console 로그인하고 https://console.aws.amazon.com/cloudtrail/ 에서 CloudTrail 콘솔을 엽니다.

2. 탐색 창에서 Lake 하위 메뉴를 연 다음 Event data stores(이벤트 데이터 스토어)를 선택합니다.

3. 이벤트 데이터 스토어 생성을 선택합니다.

4. 이벤트 데이터 스토어 구성(Configure event data store) 페이지의 일반 세부 정보(General details)에서 이벤트 데이터 스토어의 이름을 입력합니다. 이름은 필수 항목입니다.

5. 이벤트 데이터 스토어에 사용할 요금 옵션을 선택합니다. 요금 옵션에 따라 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간이 결정됩니다. 자세한 내용은 AWS CloudTrail 요금 및 CloudTrail 호수 비용 관리 섹션을 참조하세요.

   다음과 같은 옵션을 사용할 수 있습니다.

   • 1년 연장 가능 보존 요금 - 매월 25TB 미만의 이벤트 데이터를 모을 것으로 예상되고 최대 10년의 유연한 보존 기간을 원하는 경우 일반적으로 권장됩니다. 처음 366일(기본 보존 기간) 동안은 추가 요금 없이 모으기 요금에 스토리지가 포함됩니다. 366일 이후에는 보존 기간 연장을 유료로 이용할 수 있습니다 pay-as-you-go . 이는 기본 옵션입니다.

     • 기본 보존 기간: 366일

     • 최대 보존 기간: 3,653일

   • 7년 보존 요금 - 매월 25TB 이상의 이벤트 데이터를 모을 것으로 예상되고 최대 7년의 보존 기간이 필요한 경우 권장됩니다. 추가 비용 없이 모으기 요금에 보존이 포함됩니다.

     • 기본 보존 기간: 2,557일

     • 최대 보존 기간: 2,557일

6. 이벤트 데이터 스토어의 보존 기간을 지정합니다. 보존 기간은 1년 연장 가능 보존 요금 옵션의 경우 7일~3,653일(약 10년), 7년 보존 요금 옵션의 경우 7일~2,557일(약 7년)일 수 있습니다.

   CloudTrail Lake는 이벤트가 지정된 보존 기간 내에 있는지 확인하여 이벤트 보존 여부를 결정합니다. eventTime 예를 들어 보존 기간을 90일로 CloudTrail 지정하면 90일이 넘으면 이벤트가 삭제됩니다. eventTime

7. (선택 사항) 를 사용하여 AWS Key Management Service암호화를 활성화하려면 [Use my own] 을 선택합니다 AWS KMS key. 새로 만들기를 선택하여 AWS KMS key 자동으로 생성하거나 기존 KMS 키를 사용하려면 기존 키를 선택합니다. KMS 별칭 입력에서 다음과 같은 형식으로 별칭을 지정합니다. alias/ MyAliasName 자체 KMS 키를 사용하려면 KMS 키 정책을 편집하여 CloudTrail 로그를 암호화하고 해독할 수 있도록 해야 합니다. 자세한 내용은 을 참조하십시오. CloudTrail에 대한 AWS KMS 키 정책 구성 CloudTrail AWS KMS 다중 지역 키도 지원합니다. 다중 리전 키에 대한 자세한 내용은 AWS Key Management Service 개발자 가이드의 다중 리전 키 사용 단원을 참조하세요.

   자체 KMS 키를 사용하면 암호화 및 복호화 AWS KMS 비용이 발생합니다. KMS 키와 이벤트 데이터 스토어를 연결한 후에는 KMS 키를 제거하거나 변경할 수 없습니다.

   참고

   조직 이벤트 데이터 저장소의 AWS Key Management Service 암호화를 활성화하려면 관리 계정의 기존 KMS 키를 사용해야 합니다.

8. (선택 사항) Amazon Athena를 사용하여 이벤트 데이터에 대해 쿼리하려면 Lake 쿼리 페더레이션에서 활성화를 선택합니다. 페더레이션을 통해 AWS Glue 데이터 카탈로그의 이벤트 데이터 스토어와 연결된 메타데이터를 확인하고 Athena에서 이벤트 데이터에 대해 SQL 쿼리를 실행할 수 있습니다. AWS Glue 데이터 카탈로그에 저장된 테이블 메타데이터를 통해 Athena 쿼리 엔진은 쿼리하려는 데이터를 찾고, 읽고, 처리하는 방법을 알 수 있습니다. 자세한 정보는 이벤트 데이터 스토어 페더레이션을 참조하세요.

   Lake 쿼리 페더레이션을 활성화하려면 활성화를 선택하고 다음을 수행합니다.

   1. 새 역할을 생성할지 아니면 기존 IAM 역할을 사용할지 선택합니다. AWS Lake Formation은 이 역할을 사용하여 페더레이션 이벤트 데이터 스토어에 대한 권한을 관리합니다. CloudTrail 콘솔을 사용하여 새 역할을 만들면 필요한 권한이 있는 역할이 CloudTrail 자동으로 생성됩니다. 기존 역할을 선택하는 경우 해당 역할에 대한 정책이 필요한 최소 권한을 제공하는지 확인합니다.

   2. 새 역할을 생성하는 경우 역할을 식별할 수 있는 이름을 입력합니다.

   3. 기존 역할을 사용하는 경우 사용하려는 역할을 선택합니다. 계정에 역할이 있어야 합니다.

9. (선택 사항) Tags(태그) 섹션에 최대 50개의 태그 키 쌍을 추가하여 이벤트 데이터 스토어에 대한 액세스를 식별, 정렬 및 제어할 수 있습니다. IAM 정책을 사용하여 태그를 기반으로 이벤트 데이터 스토어에 대한 액세스 권한을 부여하는 방법에 대한 자세한 내용은 예제: 태그를 기반으로 이벤트 데이터 스토어를 생성 또는 삭제하기 위한 액세스 거부 단원을 참조하세요. 에서 AWS태그를 사용하는 방법에 대한 자세한 내용은 의 AWS 리소스 태깅을 AWS 일반 참조참조하십시오.

10. Next(다음)를 선택하여 이벤트 데이터 스토어를 구성합니다.

11. 이벤트 선택 페이지에서 이벤트를 선택한 다음 AWS CloudTrail이벤트를 선택합니다.

12. CloudTrail 이벤트에서 관리 이벤트를 선택한 상태로 두십시오.

13. 이벤트 데이터 스토어에서 AWS Organizations 조직 내 모든 계정의 이벤트를 수집하도록 하려면 내 조직의 모든 계정에 대해 활성화(Enable for all accounts in my organization)를 선택합니다. Insights를 사용하는 데이터 스토어를 생성하려면, 조직의 관리 계정에 로그인해야 합니다.

14. 추가 설정을 확장하여 이벤트 데이터 저장소에서 모든 AWS 리전이벤트를 수집할지 아니면 현재 AWS 리전이벤트만 수집할지 선택하고 이벤트 데이터 저장소에서 이벤트를 수집할지 선택합니다. 기본적으로 이벤트 데이터 스토어는 계정 내 모든 리전에서 이벤트를 수집하고, 이벤트 데이터 스토어가 생성되면 수집을 시작합니다.

    1. Include only the current region in my event data store(내 이벤트 데이터 스토어에 현재 리전만 포함)를 선택하여 원한다면 현재 리전에서 로그된 이벤트만 포함할 수 있습니다. 이 옵션을 선택하지 않으면 이벤트 데이터 스토어에 모든 리전의 이벤트가 포함됩니다.

    2. Ingest events(이벤트 수집)은 기본값을 유지합니다.

15. 이벤트 데이터 스토어에 포함할 관리 이벤트의 유형을 선택합니다. Read(읽기), Write(쓰기) 또는 두 가지 모두를 선택할 수 있습니다. 최소 1개 이상 필요합니다.

    참고

    API 호출 볼륨에서 Insights 이벤트를 로깅하려면, 이벤트 데이터 스토어가 write 관리 이벤트를 로그해야 합니다. API 오류율에 대한 Insights 이벤트를 기록하려면, 이벤트 데이터 스토어에서 read 또는 write 관리 이벤트를 기록해야 합니다.

16. 이벤트 데이터 스토어에서 Amazon RDS Data API 이벤트를 AWS Key Management Service 제외하거나 제외하도록 선택할 수 있습니다. 이러한 옵션에 대한 자세한 내용은 관리 이벤트 로깅 섹션을 참조하세요.

17. Insights 활성화(Enable Insights)를 선택합니다.

18. Insights 활성화(Enable Insights)에서 Insights 이벤트를 로그할 대상 이벤트 스토어를 선택합니다. 대상 이벤트 데이터 스토어는 이 이벤트 데이터 스토어의 관리 이벤트 활동을 기반으로 Insights 이벤트를 수집합니다. 대상 이벤트 데이터 스토어를 생성하는 방법에 대한 자세한 내용은 Insights 이벤트를 로그하는 대상 이벤트 데이터 스토어 생성 섹션을 참조하세요.

19. Insights 유형을 선택합니다. API 호출률(API call rate), API 오류율(API error rate) 또는 두 가지 모두를 선택할 수 있습니다. API 호출률(API call rate)에 대한 Insights 이벤트를 로그하려면 쓰기(Write) 관리 이벤트를 로그하고 있어야 합니다. API 오류율에 대한 Insights 이벤트를 로그하려면 읽기(Read) 또는 쓰기(Write) 관리 이벤트를 로그하고 있어야 합니다.

20. Next(다음)를 선택하여 선택 사항을 검토합니다.

21. 검토 및 생성(Review and create) 페이지에서 선택 사항을 검토합니다. 편집(Edit)을 선택하여 단원을 변경합니다. 이벤트 데이터 스토어를 생성할 준비가 되었으면 이벤트 데이터 스토어 생성(Create event data store)을 선택합니다.

22. 새 이벤트 데이터 스토어는 이벤트 데이터 스토어(Event data stores) 페이지의 이벤트 데이터 스토어(Event data stores) 테이블에서 볼 수 있습니다.

    이 시점부터 이벤트 데이터 스토어는 고급 이벤트 선택기와 일치하는 이벤트를 캡처합니다. 소스 이벤트 데이터 스토어에서 처음으로 CloudTrail Insights를 활성화한 후, 비정상적인 활동이 감지되면 첫 번째 Insights 이벤트가 대상 이벤트 데이터 스토어에 전송되기까지 최대 7일이 걸릴 수 있습니다. CloudTrail

    CloudTrail Lake 대시보드를 통해 대상 이벤트 데이터 스토어의 Insights 이벤트를 시각화할 수 있습니다. Lake 대시보드에 대한 자세한 내용은 Lake 대시보드 보기 섹션을 참조하세요.

Lake에서 CloudTrail Insights 이벤트를 수집하는 경우 추가 요금이 부과됩니다. 추적과 이벤트 데이터 스토어 모두에 대해 Insights를 활성화하면 요금이 별도로 부과됩니다. CloudTrail 요금에 대한 자세한 내용은 AWS CloudTrail 요금을 참조하십시오.