콘솔을 사용하여 트레일 이벤트를 새 이벤트 데이터 스토어에 복사합니다. - AWS CloudTrail

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

콘솔을 사용하여 트레일 이벤트를 새 이벤트 데이터 스토어에 복사합니다.

이 연습에서는 기록 분석을 위해 트레일 이벤트를 새 CloudTrail Lake 이벤트 데이터 저장소에 복사하는 방법을 보여줍니다. 추적 이벤트 복사에 대한 자세한 내용은 추적 이벤트를 이벤트 데이터 스토어에 복사 섹션을 참조하세요.

이벤트 데이터 스토어에 추적 이벤트 복사

  1. 에 AWS Management Console 로그인하고 에서 CloudTrail 콘솔을 여십시오. https://console.aws.amazon.com/cloudtrail/

  2. 탐색 창의 Lake에서 Event data stores(이벤트 데이터 스토어)를 선택합니다.

  3. 이벤트 데이터 스토어 생성을 선택합니다.

  4. 이벤트 데이터 저장소 구성 페이지의 일반 세부정보에서 이벤트 데이터 저장소 이름을 다음과 같이 지정합니다.my-management-events-eds. 이벤트 데이터 저장소의 용도를 빠르게 식별할 수 있는 이름을 사용하는 것이 좋습니다. CloudTrail 이름 지정 요구 사항에 대한 자세한 내용은 을 참조하십시오. CloudTrail 리소스, S3 버킷, 키의 이름 지정 요구 사항 KMS

  5. 이벤트 데이터 스토어에 사용할 요금 옵션을 선택합니다. 요금 옵션에 따라 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간이 결정됩니다. 자세한 내용은 AWS CloudTrail 요금 CloudTrail 호수 비용 관리 섹션을 참조하세요.

    다음과 같은 옵션을 사용할 수 있습니다.

    • 1년 연장 가능 보존 요금 - 매월 25TB 미만의 이벤트 데이터를 모을 것으로 예상되고 최대 10년의 유연한 보존 기간을 원하는 경우 일반적으로 권장됩니다. 처음 366일(기본 보존 기간) 동안은 추가 요금 없이 모으기 요금에 스토리지가 포함됩니다. 366일 이후에는 가격 책정으로 보존 기간 연장을 이용할 수 있습니다. pay-as-you-go 이는 기본 옵션입니다.

      • 기본 보존 기간: 366일

      • 최대 보존 기간: 3,653일

    • 7년 보존 요금 - 매월 25TB 이상의 이벤트 데이터를 모을 것으로 예상되고 최대 7년의 보존 기간이 필요한 경우 권장됩니다. 추가 비용 없이 모으기 요금에 보존이 포함됩니다.

      • 기본 보존 기간: 2,557일

      • 최대 보존 기간: 2,557일

  6. 이벤트 데이터 스토어의 보존 기간을 지정합니다. 보존 기간은 1년 연장 가능 보존 요금 옵션의 경우 7일~3,653일(약 10년), 7년 보존 요금 옵션의 경우 7일~2,557일(약 7년)일 수 있습니다.

    CloudTrail Lake는 이벤트가 지정된 보존 기간 내에 있는지 확인하여 이벤트 보존 여부를 결정합니다. eventTime 예를 들어 보존 기간을 90일로 CloudTrail 지정하면 90일이 넘으면 이벤트가 삭제됩니다. eventTime

    참고

    CloudTrail 지정된 보존 기간보다 오래된 eventTime 이벤트는 복사하지 않습니다.

    적절한 보존 기간을 결정하려면 복사하려는 가장 오래된 이벤트 (일) 와 이벤트 데이터 저장소에 이벤트를 보존하려는 일수의 합계를 구하십시오 (보존 기간 = oldest-event-in-days + number-days-to-retain). 예를 들어 복사하려는 이벤트 중 가장 오래된 이벤트가 45일이고 이벤트 데이터 스토어에 이벤트를 추가로 45일 동안 보관하려는 경우 보존 기간을 90일로 설정합니다.

  7. (선택 사항) 암호화에서 자체 KMS 키를 사용하여 이벤트 데이터 저장소를 암호화할지 여부를 선택합니다. 기본적으로 이벤트 데이터 저장소의 모든 이벤트는 사용자 대신 AWS 소유하고 관리하는 KMS 키를 CloudTrail 사용하여 암호화됩니다.

    자체 KMS 키를 사용하여 암호화를 활성화하려면 [Use my own] 을 선택합니다. AWS KMS key새로 만들기를 선택하여 AWS KMS key 자동으로 생성하거나 기존 키를 사용하려면 기존 KMS 키를 선택합니다. KMS별칭 입력에서 다음과 같은 형식으로 별칭을 지정합니다. alias/ MyAliasName. 자체 KMS 키를 사용하려면 CloudTrail 로그 암호화 및 암호 해독을 허용하도록 KMS 키 정책을 편집해야 합니다. 자세한 내용은 을 참조하십시오. 에 대한 AWS KMS 주요 정책 구성 CloudTrail CloudTrail AWS KMS 다중 지역 키도 지원합니다. 다중 리전 키에 대한 자세한 내용은 AWS Key Management Service 개발자 가이드다중 리전 키 사용 단원을 참조하세요.

    자체 KMS 키를 사용하면 암호화 및 복호화 AWS KMS 비용이 발생합니다. 이벤트 데이터 저장소를 키와 연결한 후에는 KMS 키를 제거하거나 변경할 수 없습니다. KMS

    참고

    조직 이벤트 데이터 저장소의 AWS Key Management Service 암호화를 활성화하려면 관리 계정의 기존 KMS 키를 사용해야 합니다.

    이벤트 데이터 스토어의 일반 세부 정보 구성

  8. (선택 사항) Amazon Athena를 사용하여 이벤트 데이터에 대해 쿼리하려면 Lake 쿼리 페더레이션에서 활성화를 선택합니다. 페더레이션을 사용하면 데이터 카탈로그의 이벤트 데이터 저장소와 관련된 AWS Glue 메타데이터를 보고 Athena의 이벤트 데이터에 대해 SQL 쿼리를 실행할 수 있습니다. AWS Glue 데이터 카탈로그에 저장된 테이블 메타데이터를 통해 Athena 쿼리 엔진은 쿼리하려는 데이터를 찾고, 읽고, 처리하는 방법을 알 수 있습니다. 자세한 내용은 이벤트 데이터 스토어 페더레이션 단원을 참조하십시오.

    Lake 쿼리 페더레이션을 활성화하려면 활성화를 선택하고 다음을 수행합니다.

    1. 새 역할을 만들지 아니면 기존 IAM 역할을 사용할지를 선택합니다. AWS Lake Formation이 역할을 사용하여 페더레이션된 이벤트 데이터 저장소의 권한을 관리합니다. CloudTrail 콘솔을 사용하여 새 역할을 생성하면 필요한 권한이 있는 역할이 CloudTrail 자동으로 생성됩니다. 기존 역할을 선택하는 경우 해당 역할에 대한 정책이 필요한 최소 권한을 제공하는지 확인합니다.

    2. 새 역할을 생성하는 경우 역할을 식별할 수 있는 이름을 입력합니다.

    3. 기존 역할을 사용하는 경우 사용하려는 역할을 선택합니다. 계정에 역할이 있어야 합니다.

  9. (선택 사항)Tags(태그)에서 이벤트 데이터 스토어에 하나 이상의 사용자 정의 태그(키-값 쌍)를 추가합니다. 태그는 CloudTrail 이벤트 데이터 저장소를 식별하는 데 도움이 될 수 있습니다. 예를 들어 stage 이름과 prod 값을 사용하여 태그를 연결할 수 있습니다. 태그를 사용하여 이벤트 데이터 스토어에 대한 액세스를 제한할 수도 있습니다. 또한 태그를 사용하여 이벤트 데이터 스토어의 쿼리 및 수집 비용을 추적할 수도 있습니다.

    비용을 추적하는 태그 사용 방법에 대한 자세한 내용은 CloudTrail Lake 이벤트 데이터 스토어에 대한 사용자 정의 비용 할당 태그 생성 섹션을 참조하세요. IAM정책을 사용하여 태그를 기반으로 이벤트 데이터 저장소에 대한 액세스를 승인하는 방법에 대한 자세한 내용은 을 참조하십시오예제: 태그를 기반으로 이벤트 데이터 스토어를 생성 또는 삭제하기 위한 액세스 거부. 에서 AWS태그를 사용하는 방법에 대한 자세한 내용은 리소스 태깅 사용 안내서의 AWS 리소스 태그 지정을 AWS 참조하십시오.

    이벤트 데이터 스토어의 태그 구성

  10. Next(다음)를 선택하여 이벤트 데이터 스토어를 구성합니다.

  11. Choose events(이벤트 선택) 페이지에서 Event type(이벤트 유형)에 대한 기본 선택 항목을 그대로 선택합니다.

    이벤트 데이터 스토어의 이벤트 유형 선택

  12. CloudTrail 이벤트의 경우 관리 이벤트를 선택한 상태로 두고 트레일 이벤트 복사를 선택합니다. 이 예시에서는 이벤트 데이터 스토어를 사용하여 과거 이벤트를 분석하기만 할 뿐, 미래 이벤트는 수집하지 않기 때문에 이벤트 유형에 대해서는 걱정하지 않습니다.

    기존 추적을 대체할 이벤트 데이터 스토어를 생성한다면, 이벤트 데이터 스토어의 이벤트 커버리지가 동일하도록 추적과 동일한 이벤트 선택기를 선택합니다.

    CloudTrail 이벤트 데이터 스토어의 이벤트 유형을 선택하세요.

  13. 스토어인 경우, 조직 이벤트 데이터 Enable for all accounts in my organization(내 조직의 모든 계정에 대해 활성화)을 선택합니다. AWS Organizations에 계정이 구성되어 있어야 이 옵션을 변경할 수 있습니다.

    참고

    조직 이벤트 데이터 스토어를 생성할 때, 조직 이벤트 데이터 스토어에 추적 이벤트를 복사할 수 있는 관리 계정만이 추적 이벤트를 관리할 수 있기 때문에 조직의 관리 계정으로 로그인해야 합니다.

  14. Additional settings(추가 설정)은 Ingest events(이벤트 수집)을 선택 해제합니다. 이 예시에서는 복사된 이벤트를 쿼리하는 데만 관심이 있으므로, 이벤트 데이터 스토어에서 향후 이벤트를 수집하기를 원하지 않기 때문입니다. 기본적으로 이벤트 데이터 저장소는 모두를 AWS 리전 위한 이벤트를 수집하고 생성되면 이벤트 수집을 시작합니다.

  15. Management events(관리 이벤트)는 기본 설정을 그대로 유지합니다.

    이벤트 데이터 스토어의 관리 이벤트 옵션 선택

  16. Copy trail events(추적 이벤트 복사) 영역에서 다음 단계를 완료합니다.

    1. 복사하려는 트레일을 선택합니다. 이 예시에서는 이름이 지정된 트레일을 선택합니다.management-events.

      기본적으로 는 S3 버킷의 접두사와 접두사 내의 CloudTrail 접두사에 포함된 CloudTrail CloudTrail 이벤트만 복사하고 다른 서비스의 CloudTrail 접두사는 확인하지 않습니다. AWS 다른 접두사에 포함된 CloudTrail 이벤트를 복사하려면 Enter S3를 선택한 다음 Browse URI S3를 선택하여 접두사를 찾아보십시오. 트레일의 원본 S3 버킷이 데이터 암호화에 KMS 키를 사용하는 경우 KMS 키 정책이 데이터 암호 CloudTrail 해독을 허용하는지 확인하십시오. 소스 S3 버킷이 여러 KMS 키를 사용하는 경우 버킷의 데이터를 해독할 수 CloudTrail 있도록 각 키의 정책을 업데이트해야 합니다. KMS키 정책 업데이트에 대한 자세한 내용은 을 참조하십시오. KMS원본 S3 버킷의 데이터를 해독하기 위한 키 정책

    2. 이벤트를 복사할 시간 범위를 선택합니다. CloudTrail 트레일 이벤트를 복사하기 전에 접두사와 로그 파일 이름을 검사하여 선택한 시작일과 종료일 사이의 날짜가 이름에 포함되어 있는지 확인합니다. 상대 범위 또는 절대 범위를 선택할 수 있습니다. 소스 추적과 대상 이벤트 데이터 스토어 간에 이벤트가 중복되지 않도록 하려면 이벤트 데이터 스토어 생성 이전의 시간 범위를 선택합니다.

      • 상대 범위를 선택하면 최근 6개월, 1년, 2년, 7년 또는 사용자 지정 범위에서 기록된 이벤트를 복사하도록 선택할 수 있습니다. CloudTrail 선택한 기간 내에 기록된 이벤트를 복사합니다.

      • 절대 범위를 선택하면 특정 시작일과 종료일을 선택할 수 있습니다. CloudTrail 선택한 시작일과 종료일 사이에 발생한 이벤트를 복사합니다.

      이 예시에서는 절대 범위(절대 범위(Absolute range)를 선택하고, 6월 한 달 전체를 선택합니다.

      이벤트 데이터 스토어의 절대 범위 선택

    3. 권한의 경우 다음 IAM 역할 옵션 중에서 선택합니다. 기존 IAM 역할을 선택하는 경우 IAM 역할 정책이 필요한 권한을 제공하는지 확인하십시오. IAM역할 권한 업데이트에 대한 자세한 내용은 을 참조하십시오IAM트레일 이벤트 복사 권한.

      • 새 역할 만들기 (권장) 를 선택하여 새 IAM 역할을 생성합니다. IAM역할 이름 입력에 역할 이름을 입력합니다. CloudTrail 이 새 역할에 필요한 권한을 자동으로 생성합니다.

      • 목록에 없는 사용자 지정 IAM 역할을 ARN 사용하려면 사용자 지정 IAM 역할 사용을 선택합니다. IAM역할 입력에 ARN 를 입력합니다 IAMARN.

      • 드롭다운 목록에서 기존 IAM 역할을 선택합니다.

      이 예시에서는 새 역할 만들기(Create a new role)(권장)를 선택하,고 이름 copy-trail-events을 입력합니다.

    CloudTrail 이벤트 복사 옵션을 선택합니다.

  17. Next(다음)를 선택하여 선택 사항을 검토합니다.

  18. 검토 및 생성(Review and create) 페이지에서 선택 사항을 검토합니다. 편집(Edit)을 선택하여 단원을 변경합니다. 이벤트 데이터 스토어를 생성할 준비가 되었으면 이벤트 데이터 스토어 생성(Create event data store)을 선택합니다.

  19. 새 이벤트 데이터 스토어는 Event data stores(Event data stores) 페이지의 이벤트 데이터 스토어(Event data stores) 테이블에서 볼 수 있습니다.

    이벤트 데이터 스토어 보기

  20. 이벤트 데이터 스토어 이름을 선택하여 상세 정보 페이지를 확인합니다. 상세 정보 페이지는 이벤트 데이터 스토어의 세부 정보와 복사 상태를 보여 줍니다. 이벤트 복사 상태는 이벤트 복사 상태(Event copy status) 영역에 표시됩니다.

    추적 이벤트 복사가 완료되면 복사 상태(Copy status)완료(Completed)(오류가 없는 경우) 또는 실패(Failed)(오류가 발생한 경우)로 설정됩니다.

    세부 정보 페이지에서 이벤트 복사 상태 확인

  21. 복사본에 대한 세부 정보를 보려면, 이벤트 로그 S3 위치(Event log S3 location) 열에서 복사본 이름을 선택하거나, 작업(Actions) 메뉴에서 세부 정보 보기(View details) 옵션을 선택합니다. 추적 이벤트 복사의 세부 정보 보기에 대한 자세한 내용은 CloudTrail 콘솔을 사용하여 이벤트 사본 세부 정보 보기 섹션을 참조하세요.

    이벤트 복사 세부 정보 확인

  22. 복사 실패(Copy failures) 영역에는 추적 이벤트를 복사할 때 발생한 모든 오류가 표시됩니다. 복사 상태(Copy status)실패(Failed)인 경우 복사 실패(Copy failures)에 표시된 오류를 수정한 다음 복사 재시도(Retry copy)를 선택합니다. 복사를 재시도하면 오류가 발생한 위치에서 복사를 CloudTrail 재개합니다.