AWS CloudTrail을 사용하면 거버넌스, 규정 준수 및 위험 감사를 간소화할 수 있습니다. CloudTrail은 AWS 계정 내 API 작업과 API 이외 작업에 대한 가시성을 제공함으로써 운영 및 보안 문제에 대한 분석 속도를 높입니다. CloudWatch Logs 통합, 다중 리전 구성 지원, 로그 파일 무결성 검증 기능을 통해 CloudTrail은 AWS Management Console, AWS SDK, 명령줄 도구 및 그 외 AWS 서비스에서 수행한 활동에 대해 포괄적이고 안전하며 검색 가능한 이벤트 기록을 제공합니다.

무료로 AWS 시작하기

무료 계정 생성
또는 콘솔에 로그인

Amazon Web Services에 가입하면 AWS 프리 티어에 12개월 동안 액세스할 수 있습니다. 연중무휴 24시간 고객 서비스, 지원 포럼 등을 비롯한 AWS Basic Support 기능을 사용해 보십시오.

간단한 설정

AWS CloudTrail은 모든 AWS 계정에 활성화되어 있으며 계정 생성과 동시에 계정 활동을 기록합니다. 직접 CloudTrail을 설정할 필요 없이 지원되는 서비스의 생성, 수정 및 삭제 작업에 대한 최근 7일간의 계정 활동을 보고 다운로드할 수 있습니다.

간단한 설정

최근 AWS 계정 활동을 보고, 검색하고, 다운로드할 수 있습니다. 이를 통해 AWS 계정 리소스의 변경 사항에 대한 가시성을 확보함으로써 보안 프로세스를 강화하고 운영 문제 해결을 간소화할 수 있습니다.

100x100_benefit_managed-deployment1

단일 계정에 대해 다중 리전에서 단일 Amazon S3 버킷으로 로그 파일을 전달하도록 AWS CloudTrail을 구성할 수 있습니다. 모든 리전에 적용되는 구성은 모든 설정이 모든 기존 및 새로 시작된 리전 전체에 일관되게 적용되도록 합니다. 자세한 지침은 AWS CloudTrail User Guide단일 Amazon S3 버킷으로 CloudTrail 로그 파일 집계하기 섹션을 참조하십시오.

 

 

서비스 맵

Amazon S3 버킷에 저장된 AWS CloudTrail 로그 파일의 무결성을 검증하고, CloudTrail에서 로그 파일을 Amazon S3 버킷으로 전송한 이후로 로그 파일이 그대로 유지되거나, 수정되거나, 삭제되었는지 탐지할 수 있습니다. IT 보안 및 감사 프로세스에서 로그 파일 무결성 검증 기능을 사용할 수 있습니다.

 

데이터 주석 및 필터링

기본적으로 AWS CloudTrail은 지정된 Amazon S3 버킷으로 전송된 모든 로그 파일을 Amazon S3 서버 측 암호화(SSE)를 사용하여 암호화합니다. 원하는 경우 AWS Key Management Service(AWS KMS) 키를 사용해 로그 파일을 암호화함으로써 CloudTrail 로그 파일에 대한 보안 계층을 추가하십시오. 사용자에게 복호화 권한이 있는 경우 Amazon S3에서 로그 파일을 자동으로 복호화합니다. 자세한 내용은 KMS 키를 사용하여 로그 파일 암호화하기 섹션을 참조하십시오.

 

콘솔 및 프로그래밍 방식 액세스

데이터 이벤트는 리소스 자체에서 수행되는 리소스("데이터 영역") 작업에 대한 통찰력을 제공합니다. 데이터 이벤트는 대개 높은 볼륨의 활동이며 Amazon S3 객체 수준 API 및 AWS Lambda 함수 Invoke API와 같은 작업을 포함합니다. 예를 들어 Amazon S3 객체에 API 작업을 로깅하고 AWS 계정, IAM 사용자 역할, 호출자의 IP 주소, API 호출 시간 및 기타 세부 정보를 수신할 수 있습니다. 또한 Lambda 함수의 활동을 기록하고 Invoke API 호출을 수행한 IAM 사용자 또는 서비스, 호출한 시점 및 실행된 함수와 같은 Lambda 함수 실행에 대한 세부 정보를 얻을 수 있습니다.

보안

관리 이벤트는 AWS 계정의 리소스에 대해 수정된 관리("제어 플레인") 작업에 대한 통찰 정보를 제공합니다. 예를 들어 Amazon EC2 인스턴스의 생성, 삭제 및 수정과 같은 관리 작업을 로깅할 수 있습니다. 각 이벤트에 대해 AWS 계정, IAM 사용자 역할, 작업을 시작한 사용자의 IP 주소, 작업 시간 및 영향을 받는 리소스와 같은 세부 정보를 얻을 수 있습니다.

간단한 설정

Amazon S3 버킷 알림 기능을 활용하여 객체 생성 이벤트를 AWS Lambda에 게시하도록 Amazon S3에 지시할 수 있습니다. CloudTrail이 로그를 S3 버킷에 작성하면, Amazon S3가 Lambda 함수를 호출하여 CloudTrail에서 로깅한 레코드에 액세스할 수 있습니다.

간단한 설정

AWS CloudTrail은 Amazon CloudWatch Logs와 통합되므로 CloudTrail에서 기록한 관리 이벤트와 데이터 이벤트를 CloudWatch Logs로 전송할 수 있습니다. CloudWatch Logs를 사용하면 지표 필터를 생성하여 AWS Lambda 및 Amazon Elasticsearch Service와 같은 다른 AWS 서비스에 대한 이벤트, 검색 이벤트 및 스트림 이벤트를 모니터링할 수 있습니다.

간단한 설정

AWS CloudTrail을 Amazon CloudWatch Events와 통합하면 AWS 리소스의 변경에 자동으로 대응할 수 있습니다. CloudWatch Events를 사용하면 특정 이벤트가 AWS CloudTrail에 로깅됐을 때 수행할 조치를 정의할 수 있습니다. 예를 들어 CloudTrail에서 Amazon EC2 보안 그룹에 대한 변경 사항(예: 새로운 수집 규칙 추가)을 기록하는 경우, 이러한 활동을 AWS Lambda 함수로 전송하도록 CloudWatch Events 규칙을 생성할 수 있습니다. 그러면 Lambda가 워크플로를 실행하여 IT 헬프데스크 시스템에서 티켓을 생성할 수 있습니다.