변경 요청 이벤트 모니터링 - AWS Systems Manager

변경 요청 이벤트 모니터링

AWS CloudTrail Lake와의 통합을 활성화하고 이벤트 데이터 스토어를 생성한 후에는 계정 또는 조직에서 실행되는 변경 요청에 대한 감사 가능한 세부 정보를 볼 수 있습니다. 여기에는 다음과 같은 세부 정보가 포함됩니다.

  • 변경 요청을 시작한 사용자의 ID

  • 변경이 이루어진 AWS 리전

  • 요청의 소스 IP 주소

  • 요청에 사용된 AWS 액세스 키

  • 변경 요청에 대해 실행된 API 작업

  • 해당 작업에 대해 포함된 요청 파라미터

  • 프로세스 실행 중에 업데이트된 리소스

다음은 AWS CloudTrail Lake에서 이벤트 데이터 스토어를 생성한 후 볼 수 있는 변경 요청과 관련한 이벤트 세부 정보의 샘플입니다.

Details

다음 이미지는 Details(세부 정보) 탭에서 제공되는 변경 요청에 대한 개략적인 정보를 보여줍니다. 이러한 세부 정보에는 변경 요청 작업이 시작된 시간, 변경 요청을 시작한 사용자의 ID, 영향을 받은 AWS 리전, 요청과 관련한 이벤트 ID 및 요청 ID 등의 정보가 포함됩니다.

CloudTrail Lake에서 제공하는 변경 요청 세부 정보
Event record

다음 이미지는 변경 요청 이벤트에 대해 CloudTrail Lake에서 제공하는 JSON 콘텐츠의 구조를 보여줍니다. 이 데이터는 변경 요청의 Event record(이벤트 레코드) 탭에서 제공됩니다.

CloudTrail Lake에서 제공하는 변경 요청의 JSON 레코드
중요

조직에서 Change Manager를 사용하는 경우 Change Manager의 관리 계정 또는 위임된 관리자 계정에 로그인한 상태에서 다음 절차를 완료할 수 있습니다.

단, 위임된 관리자 계정을 사용하여 이 단계를 완료하려면 CloudTrail과 Change Manager에 대해 동일한 위임된 관리자 계정을 지정해야 합니다.

Change Manager의 관리 계정에 로그인하면 CloudTrail Settings(설정) 페이지에서 CloudTrail의 위임된 관리자 계정을 추가하거나 변경할 수 있습니다. 위임된 관리자 계정에서 전체 조직에 사용할 이벤트 데이터 스토어를 생성하려면 먼저 이 작업을 수행해야 합니다.

Change Manager에서 CloudTrail Lake 이벤트 추적을 활성화하려면

  1. AWS Systems Manager 콘솔(https://console.aws.amazon.com/systems-manager/)을 엽니다.

  2. 탐색 창에서 Change Manager를 선택합니다.

  3. [요청(Requests)] 탭을 선택합니다.

  4. 기존 변경 요청을 선택한 다음 Associated events(관련 이벤트) 탭을 선택합니다.

  5. Enable CloudTrail Lake(CloudTrail Lake 활성화)를 선택합니다.

  6. AWS CloudTrail 사용 설명서의 CloudTrail 이벤트에 대한 이벤트 데이터 스토어 생성에 있는 단계를 따릅니다.

    변경 요청에 대한 이벤트 데이터가 저장되도록 하려면 절차를 완료할 때 다음을 선택합니다.

    • 이벤트 유형의 경우 기본 AWS 이벤트CloudTrail 이벤트를 선택한 상태로 둡니다.

    • 조직에서 Change Manager를 사용하는 경우 조직의 모든 계정에 대해 활성화를 선택합니다.

    • 관리 이벤트의 경우 쓰기 확인란을 선택 취소하지 않습니다.

    이벤트 데이터 스토어를 생성할 때 선택하는 다른 옵션은 변경 요청에 대한 이벤트 데이터를 저장하는 데 영향을 미치지 않습니다.