감사 및 로깅 세션 활동 - AWS 시스템 관리자

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

감사 및 로깅 세션 활동

현재 세션 및 완료된 세션에 대한 정보를 제공하는 것 외에도 시스템 관리자 콘솔, Session Manager 에서 세션 활동을 감사 및 로깅하는 옵션을 제공합니다. 귀하의 AWS 계정. 이렇게 하면 다음을 수행할 수 있습니다.

  • 보관을 위해 세션 로그를 생성하고 저장합니다.

  • 인스턴스에 수행된 모든 연결의 세부 정보를 표시하는 보고서 생성 사용 Session Manager 지난 30일 동안.

  • 에서 세션 활동에 대한 알림 생성 AWS 다음과 같은 계정 Amazon Simple Notification Service (Amazon SNS) 알림.

  • 자동으로 다른 작업 시작 AWS 자원의 세션 활동(예: AWS Lambda 기능, 시작 AWS CodePipeline 파이프라인을 실행하거나 AWS 시스템 관리자 Run Command 문서.

중요

다음에 대한 다음 요건 및 제한 사항에 유의하십시오. Session Manager.

  • Windows Server 2012 이전 버전을 사용하는 경우 로그의 데이터가 은(는) 최적으로 포맷되지 않을 수 있습니다. Windows Server 2012 R2를 사용하는 것이 좋습니다. 및 이후 에서 최적의 로그 형식을 사용할 수 있습니다.

  • Linux 인스턴스를 사용하는 경우 screen 유틸리티가 설치되었습니다. 그렇지 않은 경우, 로그 데이터가 잘릴 수 있습니다. 켜짐 Amazon Linux, Amazon Linux 2, 및 Ubuntu Server,screen 유틸리티는 기본적으로 설치됩니다. 종료 설치 screen 수동, 사용자의 Linux 버전, 다음 중 하나 실행 sudo yum install screen 또는 sudo apt-get install screen.

  • Logging and auditing are not available for Session Manager sessions that connect through port forwarding or SSH. This is because SSH encrypts all session data, and Session Manager only serves as a tunnel for SSH connections.

사용 권한에 대한 자세한 내용은 Amazon S3 또는 Amazon CloudWatch Logs 에 대해 세션 데이터 로깅, 참조 생성 사용 권한이 있는 인스턴스 프로필 Session Manager 및 Amazon S3 및 CloudWatch Logs (콘솔).

감사 및 로깅 옵션에 대한 자세한 내용은 다음 항목을 참조하십시오. 에 대해 Session Manager.

감사 세션 활동 사용 AWS CloudTrail

AWS CloudTrail 는 를 통해 세션 API 호출을 캡처합니다. 시스템 관리자 콘솔, AWS CLI, 및 시스템 관리자 SDK. 이 정보는 CloudTrail 콘솔에 저장하거나 지정됨 Amazon S3 버킷. 하나의 버킷이 모든 CloudTrail 계정을 위한 로그.

자세한 내용은 을 참조하십시오. AWS CloudTrail를 사용하여 AWS 시스템 관리자 API 호출 로깅.

를 사용하여 세션 데이터 로깅 Amazon S3 (콘솔)

감사를 위해 지정된 S3 버킷에 세션 로그 데이터를 저장하도록 선택할 수 있습니다. 목적. 기본 옵션은 암호화된 S3 버킷으로 로그를 전송하는 것입니다. 버킷에 지정된 키를 사용하여 암호화를 수행합니다. AWS Key Management Service (AWS KMS) 키 또는 Amazon S3 서버 측 암호화(SSE) 키(AES-256).

중요

SSL(Secure Sockets Layer)이 있는 가상 호스팅 스타일 버킷을 사용하는 경우 SSL 와일드카드 인증서는 마침표가 없는 버킷과만 일치합니다. 종료 이 문제를 해결하려면 HTTP를 사용하거나 자체 인증서 확인 논리를 작성하십시오. 우리는 가상 호스트형 버킷.

S3 버킷 암호화

암호화를 사용하여 S3 버킷에 로그를 보내려면, 버킷 에서 활성화되었습니다. S3 버킷 암호화에 대한 자세한 내용은 다음을 참조하십시오. Amazon S3 에 대한 기본 암호화 S3 버킷.

고객 관리 CMK

사용 중인 AWS KMS 직접 관리하는 고객 마스터 키(CMK) (고객 관리 CMK)를 사용하여 버킷을 암호화한 다음 IAM 인스턴스 프로파일을 암호화합니다. CMK를 읽기 위해서는 인스턴스에 명시적 권한이 있어야 합니다. 만일 사용할 수 있는 AWS-관리 CMK, 인스턴스는 이 명시적 권한. 인스턴스 프로파일 제공에 대한 자세한 내용은 CMK를 사용하려면 다음을 참조하십시오. 허용 CMK를 사용하는 주요 사용자 에서 AWS Key Management Service Developer Guide.

다음 단계에 따라 구성하십시오. Session Manager 세션 로그를 Amazon S3 버킷.

참고

또한 AWS CLI S3 버킷을 지정하거나 변경하려면 데이터가 로 전송됩니다. 자세한 내용은 를 참조하십시오. 업데이트 Session Manager 기본 설정(명령줄).

를 사용하여 세션 데이터를 로깅하려면 Amazon S3 (콘솔)

  1. https://console.aws.amazon.com/systems-manager/에서 AWS 시스템 관리자 콘솔을 엽니다.

  2. 탐색 창에서 다음을 선택합니다. Session Manager.

  3. 선택 기본 설정 탭한 다음 편집.

  4. 다음 옆에 있는 확인란을 선택합니다. S3 버킷.

  5. (선택 사항) 로 전송되는 로그 데이터를 암호화하지 않으려는 경우 S3 버킷, 옆에 있는 확인란 선택 취소 로그 암호화 데이터. 그렇지 않으면 서버 측을 사용하여 로그 데이터를 암호화합니다. 버킷 에 대해 지정된 암호화 키. 또한 확인란을 선택 취소해야 합니다. 버킷에서 암호화가 활성화되지 않은 경우.

  6. 대상 S3 버킷 이름, 다음 중 하나를 선택하십시오. 다음:

    참고

    다음과 같은 경우 버킷 이름에 마침표(".")를 사용하지 않는 것이 좋습니다. 가상 호스팅 스타일 버킷 사용 S3에 대한 자세한 정보 버킷-명명 규칙, 참조 버킷 제한 및 제한 사항 에서 Amazon Simple Storage Service 개발자 가이드.

    • 목록에서 버킷 이름을 선택하십시오.: 선택 저장을 위해 계정에 이미 생성된 S3 버킷 세션 로그 데이터.

    • 텍스트 상자에 버킷 이름을 입력합니다.: 입력 이미 생성한 S3 버킷의 이름을 세션 로그 데이터를 저장할 계정.

  7. (선택 사항) S3 키 접두사, 이름 입력 선택한 버킷에 로그를 저장할 기존 또는 새 폴더.

  8. 선택 저장.

로 작업하는 방법에 대한 자세한 내용은 Amazon S3 S3 버킷은 Amazon Simple Storage Service 시작 안내서Amazon Simple Storage Service 콘솔 사용 설명서.

로깅 세션 데이터 사용 Amazon CloudWatch Logs (콘솔)

Amazon CloudWatch Logs 다양한 데이터 센터의 로그 파일을 모니터링, 저장 및 액세스할 수 AWS 서비스. 세션 로그 데이터를 CloudWatch Logs 감사용 로그 그룹. 기본 옵션은 AWS KMS 키, 암호화 유무에 관계없이 로그 그룹으로 데이터를 전송할 수 있습니다.

다음 단계에 따라 구성하십시오. Session Manager 세션 로그 데이터를 CloudWatch Logs 로그 그룹.

참고

또한 AWS CLI 을(를) 지정하거나 변경하려면 CloudWatch Logs 로그 그룹 세션 데이터가 로 전송됩니다. 자세한 내용은 를 참조하십시오. 업데이트 Session Manager 기본 설정(명령줄).

를 사용하여 세션 데이터를 로깅하려면 Amazon CloudWatch Logs (콘솔)

  1. https://console.aws.amazon.com/systems-manager/에서 AWS 시스템 관리자 콘솔을 엽니다.

  2. 탐색 창에서 다음을 선택합니다. Session Manager.

  3. 선택 기본 설정 탭한 다음 편집.

  4. 다음 옆에 있는 확인란을 선택합니다. CloudWatch 로그.

  5. (선택 사항) 로 전송되는 로그 데이터를 암호화하지 않으려는 경우 CloudWatch Logs, 다음 옆의 확인란을 선택 취소합니다. 로그 데이터 암호화. 그렇지 않으면 서버 측 암호화 키를 사용하여 로그 데이터를 암호화합니다. 로그 그룹 에 대해 지정되었습니다. 암호화할 경우 확인란을 선택 취소해야 합니다. 은(는) 로그 그룹 에서 활성화되지 않았습니다.

  6. 대상 CloudWatch 로그, 기존 CloudWatch Logs 로그 그룹 AWS 세션 로그를 업로드할 계정, 다음 중 하나 선택 다음:

    • 목록에서 로그 그룹을 선택합니다.: 선택 로그 그룹이 계정에 이미 생성되어 세션 로그 데이터.

    • 텍스트 상자에 로그 그룹 이름을 입력합니다.: 입력 에서 이미 생성된 로그 그룹의 이름 세션 로그 데이터를 저장할 계정.

  7. 선택 저장.

로 작업하는 방법에 대한 자세한 내용은 CloudWatch Logs, 참조 Amazon CloudWatch Logs User Guide.

모니터링 세션 활동 사용 Amazon CloudWatch Events (콘솔)

CloudWatch 이벤트 을 사용하면 에 대한 변경 사항이 발생하는 시점을 감지하도록 규칙을 설정할 수 있습니다. AWS 리소스. 당신 는 조직의 사용자가 시작하거나 종료할 때를 감지하는 규칙을 만들 수 있습니다. 예를 들어, Amazon SNS 정보 이벤트.

CloudWatch 이벤트 지원 Session Manager 에 의해 기록된 API 동작의 레코드에 의존합니다. CloudTrail. (사용 가능 CloudTrail 와 통합 CloudWatch 이벤트 가장 많이 반응할 수 있는 AWS 시스템 관리자 있습니다.)

다음 단계는 다음을 통해 알림을 트리거하는 방법을 설명합니다. Amazon Simple Notification Service (Amazon SNS) 을(를) 사용하는 경우 Session Manager 다음과 같은 API 이벤트가 발생합니다. StartSession.

다음을 사용하여 세션 활동을 모니터링하려면 Amazon CloudWatch Events (콘솔)

  1. 생성 Amazon SNS 항목을 사용하여 알림을 보낼 수 있습니다. Session Manager 추적하려는 이벤트가 발생합니다.

    자세한 내용은 을 참조하십시오. 생성 주제 에서 Amazon Simple Notification Service 개발자 안내서.

  2. 생성 CloudWatch 이벤트 호출 규칙 Amazon SNS 대상의 유형 Session Manager 이벤트 을(를) 추적합니다.

    규칙을 만드는 방법에 대한 자세한 내용은 를 참조하십시오. 생성 CloudWatch 이벤트 이벤트에 대해 트리거하는 규칙 에서 Amazon CloudWatch Events 사용 설명서.

    규칙을 만드는 단계를 수행할 때 다음을 수행합니다. 선택:

    • 대상 서비스 이름, 선택 EC2 단순 시스템 관리자 (SSM).

    • 대상 이벤트 유형, 선택 AWS API 호출 경유 CloudTrail.

    • 선택 특정 작업을 클릭한 다음, 을 Session Manager 수신할 명령(한 번에 하나씩) 에 대한 알림. 다음을 선택할 수 있습니다. StartSession, ResumeSession, 및 TerminateSession. (CloudWatch 이벤트 은(는) 지원하지 않습니다 Get*, List*, 및 Describe* 명령.)

    • 대상대상, 선택 에스엔에스 주제. 대상 주제, 선택 이름 Amazon SNS 1단계에서 만든 주제입니다.

자세한 내용은 Amazon CloudWatch Events 사용 설명서Amazon Simple Notification Service 시작 안내서.