기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS CloudTrail 사용 방법 AWS KMS
를 AWS CloudTrail 사용하여 AWS API 통화 및 기타 활동을 녹음하고, 기록된 정보를 선택한 Amazon AWS 계정 Simple Storage Service (Amazon S3) 버킷의 로그 파일에 저장할 수 있습니다. 기본적으로 S3 버킷에 저장되는 CloudTrail 로그 파일은 Amazon S3에서 관리하는 암호화 키 (-S3) 를 사용한 서버 측 암호화를 사용하여 암호화됩니다. SSE 하지만 대신 키 (-) 를 사용한 서버 측 암호화를 사용할 수도 있습니다. KMS SSE KMS 를 사용하여 CloudTrail 로그 파일을 암호화하는 방법을 알아보려면 사용 AWS KMS설명서의 AWS KMS keys (SSE-KMS) 를 사용하여 CloudTrail 로그 파일 암호화를 참조하십시오.AWS CloudTrail
중요
AWS CloudTrail Amazon S3는 AWS KMS keys대칭형만 지원합니다. 비대칭 KMS 키를 사용하여 로그를 암호화할 수 없습니다. CloudTrail KMS키가 대칭인지 비대칭인지 판단하는 데 도움이 필요하면 을 참조하십시오. 비대칭 KMS 키 식별
- 키로 암호화된 로그 파일을 CloudTrail 읽거나 쓸 때는 키 사용 요금이 부과되지 않습니다. SSE KMS 하지만 SSE - 키로 암호화된 CloudTrail 로그 파일에 액세스할 때는 KMS 키 사용 요금이 부과됩니다. AWS KMS 요금에 대한 자세한 내용은 AWS Key Management Service 요금을
KMS키 사용 시기 이해
Amazon S3 기반 AWS KMS 빌드로 CloudTrail 로그 파일을 암호화하는 것을 AWS KMS key (SSE-) 로 서버 측 암호화라고 합니다. KMS -에 대한 SSE 자세한 내용은 이 안내서 또는 Amazon Simple Storage Service 사용 설명서의 KMS 키 (SSE-KMS) 를 사용한 서버 측 암호화를 사용한 데이터 보호를 참조하십시오Amazon Simple Storage Service(Amazon S3)에서 AWS KMS 사용 방법. KMS
를 사용하여 SSE 로그 파일을 AWS CloudTrail KMS 암호화하도록 구성하면 Amazon S3는 사용자가 해당 서비스에서 특정 작업을 수행할 AWS KMS keys 때 이를 사용합니다. CloudTrail 다음 섹션에서는 해당 서비스가 KMS 키를 사용할 수 있는 시기와 방법을 설명하고 이 설명을 검증하는 데 사용할 수 있는 추가 정보를 제공합니다.
Amazon CloudTrail S3가 사용자 KMS 키를 사용하도록 유도하는 작업
다음을 사용하여 로그 파일을 CloudTrail 암호화하도록 구성합니다. AWS KMS key
KMS키를 사용하도록 CloudTrail 구성을 업데이트하면 키가 존재하고 암호화에 KMS 키를 사용할 CloudTrail 권한이 있는지 GenerateDataKey AWS KMS 확인하라는 요청을 CloudTrail 보냅니다. CloudTrail 결과 데이터 키는 사용하지 않습니다.
GenerateDataKey 요청에는 암호화 컨텍스트에 대한 다음 정보가 포함됩니다.
-
CloudTrail 트레일의 Amazon 리소스 이름 (ARN)
-
S3 버킷 및 CloudTrail 로그 파일이 전송되는 경로 ARN
GenerateDataKey요청 결과 다음 예와 마찬가지로 CloudTrail 로그에 항목이 생성됩니다. 이와 같은 로그 항목이 표시되면 () 가 특정 트레일 CloudTrail (
) 에 대해 AWS KMS (
) GenerateDataKey 작업 (
) 을 호출했음을 확인할 수 있습니다.
AWS KMS 특정 키 (
) 아래에 데이터 KMS 키를 생성했습니다.
참고
다음 예제 로그 항목에서 일부 설명선을 보려면 오른쪽으로 스크롤해야 할 수 있습니다.
{ "eventVersion": "1.02", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::086441151436:user/AWSCloudTrail",
CloudTrail S3 버킷에 로그 파일을 넣습니다.
로그 파일을 S3 버킷에 넣을 때마다 CloudTrail Amazon S3는 를 AWS KMS 대신하여 GenerateDataKey요청을 보냅니다 CloudTrail. 이 요청에 따라 고유한 데이터 키를 AWS KMS 생성한 다음 Amazon S3에 데이터 키 사본 2개를 전송합니다. 하나는 일반 텍스트이고 다른 하나는 지정된 KMS 키로 암호화됩니다. Amazon S3는 일반 텍스트 데이터 키를 사용하여 CloudTrail 로그 파일을 암호화한 다음 사용 후 최대한 빨리 메모리에서 일반 텍스트 데이터 키를 제거합니다. Amazon S3는 암호화된 데이터 키를 암호화된 CloudTrail 로그 파일과 함께 메타데이터로 저장합니다.
GenerateDataKey 요청에는 암호화 컨텍스트에 대한 다음 정보가 포함됩니다.
-
CloudTrail 트레일의 Amazon 리소스 이름 (ARN)
-
S3 객체 ( CloudTrail 로그 파일) 의 ARN
각 GenerateDataKey 요청의 결과로 다음 예와 마찬가지로 CloudTrail 로그에 항목이 생성됩니다. 이와 같은 로그 항목이 표시되면 () 가 특정 로그 파일 CloudTrail (
) 을 보호하기 위해 특정 트레일 (
) 에 대해 (
) GenerateDataKey 작업 () 을 호출했음을 확인할 수 있습니다. AWS KMS
AWS KMS 동일한 로그 항목에 두 번 표시된 지정된 KMS 키 (
) 아래에 데이터 키를 생성했습니다.
참고
다음 예제 로그 항목에서 일부 설명선을 보려면 오른쪽으로 스크롤해야 할 수 있습니다.
{ "eventVersion": "1.02", "userIdentity": { "type": "AssumedRole", "principalId": "AROACKCEVSQ6C2EXAMPLE:i-34755b85", "arn": "arn:aws:sts::086441151436:assumed-role/AWSCloudTrail/i-34755b85",
S3 버킷에서 암호화된 로그 파일 가져오기
S3 버킷에서 암호화된 CloudTrail 로그 파일을 가져올 때마다 Amazon S3는 사용자를 대신하여 로그 파일의 암호화된 데이터 키를 Decrypt해독하라는 AWS KMS 요청을 보냅니다. 이 요청에 대한 응답으로 는 KMS 키를 AWS KMS 사용하여 데이터 키를 해독한 다음 일반 텍스트 데이터 키를 Amazon S3로 보냅니다. Amazon S3는 일반 텍스트 데이터 키를 사용하여 CloudTrail 로그 파일을 복호화한 다음 사용 후 최대한 빨리 메모리에서 일반 텍스트 데이터 키를 제거합니다.
Decrypt 요청에는 암호화 컨텍스트에 대한 다음 정보가 포함됩니다.
-
CloudTrail 트레일의 Amazon 리소스 이름 (ARN)
-
S3 객체 ( CloudTrail 로그 파일) 의 ARN
각 Decrypt 요청의 결과로 다음 예와 마찬가지로 CloudTrail 로그에 항목이 생성됩니다. 이와 같은 로그 항목이 표시되면 () 의 사용자가 특정 트레일 AWS 계정 (
) 및 특정 로그 파일 AWS KMS (
) 에 대해 (
) Decrypt 작업 (
) 을 호출했음을 확인할 수 있습니다.
AWS KMS 특정 KMS 키 () 로 데이터 키를 해독했습니다.
참고
다음 예제 로그 항목에서 일부 설명선을 보려면 오른쪽으로 스크롤해야 할 수 있습니다.
{ "eventVersion": "1.02", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:role/cloudtrail-admin",
