AWS CloudTrail를 사용하여 애플리케이션 로깅 및 모니터링 - AWS 규범적 지침
CloudTrail 사용CloudTrail의 사용 사례CloudTrail 모범 사례

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS CloudTrail를 사용하여 애플리케이션 로깅 및 모니터링

AWS CloudTrail은 AWS 계정에 대한 운영 및 위험 감사, 거버넌스 및 규정 준수를 활성화하는 데 도움이 되는 AWS 서비스 서비스입니다. 사용자, 역할 또는 AWS 서비스) 수행하는 작업은 CloudTrail에 이벤트로 기록됩니다. 이벤트에 AWS Management Console, AWS Command Line Interface(AWS CLI) 및 AWS SDK와 API에서 수행되는 작업이 포함될 수 있습니다.

CloudTrail 사용

CloudTrail은 AWS 계정을 생성할 때 활성화됩니다. 활동이 AWS 계정에서 이루어지면 해당 활동이 CloudTrail 이벤트에 기록됩니다. 이벤트 기록으로 이동해서 CloudTrail 콘솔에서 손쉽게 최신 이벤트를 확인할 수 있습니다.

AWS 계정의 지속적인 활동 및 사건 기록을 위해 트레일을 생성합니다. 단일 AWS 리전 또는 모든 리전에 대한 트레일을 생성할 수 있습니다. 트레일은 각 리전의 로그 파일을 기록하고 CloudTrail은 로그 파일을 단일 통합 Amazon Simple Storage Service(S3) 버킷으로 전송할 수 있습니다.

추적이 지정한 이벤트만 처리하고 로깅하도록 여러 추적을 다르게 구성할 수 있습니다. 이는 AWS 계정에서 발생하는 이벤트를 애플리케이션에서 발생하는 이벤트와 함께 분류하려는 경우 유용할 수 있습니다.

참고

CloudTrail에는 CloudTrail이 로그 파일을 전송한 후 로그 파일이 수정, 삭제 또는 변경되지 않았는지 확인하는 데 사용할 수 있는 검증 기능이 있습니다. 이 기능은 산업 표준 알고리즘(해시의 경우 SHA-256, 디지털 서명의 경우 RSA 포함 SHA-256)으로 구축되었습니다. 따라서 CloudTrail 로그 파일의 수정, 삭제 또는 위조가 감지되지 않는 것이 계산상 불가능합니다. AWS CLI를 사용하면 CloudTrail이 로그 파일을 전송한 위치에서 파일을 검증할 수 있습니다. 이 기능 및 사용 방법에 대한 자세한 내용은 Validating CloudTrail log file integrity(CloudTrail 설명서)를 참조하세요.

CloudTrail의 사용 사례

  • 규정 준수 지원 - CloudTrail을 사용하면 AWS 계정의 이벤트 기록을 제공하여 내부 정책 및 규제 표준을 준수하는 데 도움이 될 수 있습니다.

  • 보안 분석 - CloudTrail 로그 파일을 CloudWatch Logs, Amazon EventBridge, Amazon Athena, Amazon OpenSearch Service 또는 기타 타사 솔루션과 같은 로그 관리 및 분석 솔루션에 수집하여 보안 분석을 수행하고 사용자 행동 패턴을 탐지할 수 있습니다.

  • 데이터 유출 - CloudTrail에 기록된 객체 수준 API 이벤트를 통해 Amazon S3 객체의 활동 데이터를 수집하여 데이터 유출을 탐지할 수 있습니다. 활동 데이터가 수집된 후 EventBridge, AWS Lambda 등의 다른 AWS 서비스를 사용하여 자동 응답을 트리거할 수 있습니다.

  • 운영 문제 해결 - CloudTrail 로그 파일을 사용하여 운영 문제를 해결할 수 있습니다. 예를 들어, AWS 리소스 생성, 수정, 삭제를 포함하여 환경 내 리소스에 대한 가장 최근의 변경 사항을 빠르게 식별할 수 있습니다.

CloudTrail 모범 사례

  • 모든 AWS 리전에서 CloudTrail을 활성화합니다.

  • 로그 파일 무결성 검증을 활성화합니다.

  • 로그를 암호화합니다.

  • CloudTrail 로그 파일을 CloudWatch Logs에 모읍니다.

  • 모든 AWS 계정과 리전의 로그를 중앙 집중화합니다.

  • 수명 주기 정책을 로그 파일이 포함된 S3 버킷에 적용합니다.

  • 사용자가 CloudTrail에서 로깅을 끌 수 없도록 합니다. AWS Organizations에서 다음 서비스 제어 정책(SCP)을 적용합니다. 이 SCP는 조직 전체의 StopLoggingDeleteTrail 작업에 대한 명시적인 거부 규칙을 설정합니다.

    {
"Version": "2012-10-17",
"Statement":
       [ 
                 { "Action": 
                     [
                     "cloudtrail:StopLogging",
                     "cloudtrail:DeleteTrail"
                      ],
                      "Resource": "*",
                      "Effect": "Deny"
                  }
        ]
}