관리 이벤트를 기록하기 위한 트레일 만들기 - AWS CloudTrail

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

관리 이벤트를 기록하기 위한 트레일 만들기

첫 번째 트레일의 경우 모든 관리 이벤트를 기록하고 데이터 이벤트 또는 Insights 이벤트는 기록하지 않는 트레일을 만드는 것이 좋습니다. 관리 이벤트의 예에는 IAM CreateUserAttachRolePolicy 이벤트와 같은 보안 이벤트, RunInstancesCreateBucket과 같은 리소스 이벤트 등이 포함됩니다. CloudTrail 콘솔에서 트레일을 생성하는 과정에서 트레일에 대한 로그 파일을 저장할 Amazon S3 버킷을 생성합니다.

참고

AWS Control Tower landing Zone을 설정할 때 새 CloudTrail 트레일 로깅 관리 이벤트를 설정합니다. 조직 수준의 트레일입니다. 즉, 관리 계정 및 조직 내 모든 구성원 계정에 대한 모든 관리 이벤트를 기록합니다. 자세한 내용은 사용 설명서의 AWS Control TowerAWS CloudTrail 로그인 정보를 참조하십시오.

이 자습서에서는 첫 번째 추적을 생성하고 있다고 가정합니다. AWS 계정에 있는 트레일의 수와 해당 트레일의 구성 방식에 따라 다음 절차에 따라 비용이 발생할 수도 있고 발생하지 않을 수도 있습니다. CloudTrail Amazon S3 버킷에 로그 파일을 저장하므로 비용이 발생합니다. 요금에 대한 자세한 내용은 AWS CloudTrail 요금Amazon S3 요금을 참조하세요.

추적을 생성하려면

  1. https://console.aws.amazon.com/cloudtrail/ 에서 AWS Management Console 로그인하고 CloudTrail 콘솔을 엽니다.

  2. 지역 선택기에서 트레일을 생성할 AWS 지역을 선택합니다. 이 리전은 추적에 대한 홈 리전입니다.

    참고

    트레일이 생성된 후 트레일을 업데이트할 수 AWS 리전 있는 곳은 홈 지역뿐입니다.

  3. CloudTrail 서비스 홈 페이지, 트레일 페이지 또는 대시보드 페이지의 트레일 섹션에서 트레일 생성을 선택합니다.

  4. 트레일 이름에서 트레일 이름을 지정합니다 (예: 관리 이벤트). 모범 사례로 추적 목적을 빠르게 식별할 수 있는 이름을 사용합니다. 이 경우에는 관리 이벤트를 로깅하는 추적을 생성합니다.

  5. Enable for all accounts in my organization(내 조직의 모든 계정 활성화)의 기본 설정을 그대로 선택합니다. Organizations 계정이 구성되어 있어야 이 옵션을 변경할 수 있습니다.

  6. [스토리지 위치(Storage location)]에서 [새 S3 버킷 생성(Create new S3 bucket)]을 선택하여 버킷을 생성합니다. 버킷을 만들 때 필요한 버킷 정책을 CloudTrail 만들고 적용합니다. 새 S3 버킷을 생성하는 경우 기본적으로 버킷에 대해 서버 측 암호화가 활성화되므로 IAM 정책에 s3:PutEncryptionConfiguration 작업에 대한 권한이 포함되어야 합니다. 쉽게 식별할 수 있는 버킷 이름을 지정하십시오.

    로그를 더 쉽게 찾을 수 있도록 기존 버킷에 로그를 저장할 새 폴더 (접두사라고도 함) 를 만드십시오. CloudTrail

    참고

    Amazon S3 버킷의 이름은 전역적으로 고유해야 합니다. 자세한 내용은 Amazon Simple Storage Service 사용 설명서버킷 이름 지정 규칙을 참조하세요.

  7. 확인란의 선택을 취소하여 [로그 파일 SSE-KMS 암호화(Log file SSE-KMS encryption)]를 비활성화합니다. 기본적으로 로그 파일은 SSE-S3 암호화를 통해 암호화됩니다. 이 설정에 대한 자세한 내용은 Amazon S3 관리 키를 사용한 서버 측 암호화 사용 (SSE-S3) 을 참조하십시오.

  8. [추가 설정(Additional settings)]의 기본 설정을 그대로 둡니다.

  9. 로그의 기본 설정은 그대로 두십시오. CloudWatch 지금은 Amazon CloudWatch Logs로 로그를 보내지 마십시오.

  10. (선택 사항) [태그(Tags)]에서 하나 이상의 사용자 정의 태그(키-값 쌍)를 추적에 추가합니다. 태그를 사용하면 CloudTrail 트레일과 기타 리소스 (예: CloudTrail 로그 파일이 포함된 Amazon S3 버킷) 를 식별할 수 있습니다. 예를 들어 Compliance 이름과 Auditing 값을 사용하여 태그를 연결할 수 있습니다.

    참고

    콘솔에서 트레일을 생성할 때 트레일에 태그를 추가하고 Amazon S3 버킷을 생성하여 CloudTrail 콘솔에 로그 파일을 저장할 수는 있지만 CloudTrail 콘솔에서 Amazon S3 버킷에 태그를 추가할 수는 없습니다. CloudTrail 버킷에 태그를 추가하는 등 Amazon S3 버킷의 속성을 보고 변경하는 방법에 대한 자세한 내용은 Amazon S3 사용 설명서를 참조하세요.

    작업을 마쳤으면 [다음(Next)]을 선택합니다.

  11. [로그 이벤트 선택(Choose log events)] 페이지에서 로그할 이벤트 유형을 선택합니다. 이 추적의 경우 기본값인 [관리 이벤트(Management events)]를 그대로 둡니다. [관리 이벤트(Management events)] 영역에서, 아직 선택하지 않은 경우 [읽기(Read)] 및 [쓰기(Write)] 이벤트를 모두 로그하도록 선택합니다. 모든 관리 AWS KMS 이벤트를 기록하려면 이벤트 제외 및 Amazon RDS Data API 이벤트 제외 확인란을 비워 둡니다.

    [추적 생성(Create trail)] 페이지, [이벤트 유형(Event type)] 설정

  12. [데이터 이벤트(Data events)] 및 Insights 이벤트에 대한 기본 설정은 그대로 유지합니다. 이 트레일은 데이터나 CloudTrail Insights 이벤트를 기록하지 않습니다. 다음을 선택합니다.

  13. [검토 및 생성(Review and create)] 페이지에서 추적에 대해 선택한 설정을 검토합니다. 뒤로 돌아가서 변경하려면 단원에 대해 [편집(Edit)]을 선택합니다. 추적을 생성할 준비가 되면 [추적 생성(Create trail)]을 선택합니다.

  14. 이 [추적(Trails)] 페이지에서 새 추적을 테이블로 표시합니다. 추적은 기본적으로 [다중 리전 추적(Multi-region trail)]으로 설정되며 로깅이 추적에 대해 기본적으로 활성화됩니다.

    [추적 생성(Create trail)] 페이지, [이벤트 유형(Event type)] 설정

트레일에 대한 자세한 내용은 을 참조하십시오 CloudTrail 트레일 다루기.