sharedEventID 예 - AWS CloudTrail

sharedEventID 예

다음은 CloudTrail이 동일한 작업의 두 이벤트를 전달하는 방법을 설명하는 예입니다.

  1. Alice는 AWS 계정(111111111111)이 있으며 AWS KMS key를 생성합니다. 그녀는 이 KMS 키의 소유자입니다.

  2. Bob은 AWS 계정(222222222222)이 있습니다. Alice는 Bob에게 KMS 키를 사용할 수 있는 권한을 부여합니다.

  3. 각 계정에는 추적과 개별 버킷이 있습니다.

  4. Bob은 KMS 키를 사용하여 Encrypt API를 호출합니다.

  5. CloudTrail은 두 개의 개별 이벤트를 전송합니다.

    • 한 이벤트는 Bob에게 전송됩니다. 이벤트는 그가 KMS 키를 사용했음을 보여 줍니다.

    • 한 이벤트는 Alice에게 전송됩니다. 이벤트는 Bob이 KMS 키를 사용했음을 보여 줍니다.

    • 이벤트의 sharedEventID는 동일하지만 eventIDrecipientAccountID는 고유합니다.


				sharedEventID 필드가 로그에 나타나는 방식

CloudTrail Insights의 공유 이벤트 ID

CloudTrail Insights 이벤트의 sharedEventID는 CloudTrail 이벤트의 관리 및 데이터 유형에 대한 sharedEventID와 다릅니다. Insights 이벤트에서 sharedEventID는 Insights 이벤트의 시작 및 종료 쌍을 고유하게 식별하기 위해 CloudTrail Insights에서 생성하는 GUID입니다. sharedEventID는 시작 및 종료 Insights 이벤트 사이에 공통이며 두 이벤트 간의 상관관계를 생성하여 비정상적인 활동을 고유하게 식별하는 데 도움이 됩니다.

sharedEventID를 전체 인사이트 이벤트 ID로 간주할 수 있습니다.