AWS CloudTrail FAQ

일반

Cloudtrail은 사용자 활동 및 API 사용을 추적하여 감사, 보안 모니터링 및 운영 문제 해결을 지원합니다. CloudTrail은 AWS 인프라 전체에서 작업과 관련된 계정 활동을 로그하고 지속적으로 모니터링하고 보존하여 스토리지, 분석 및 해결 작업을 제어할 수 있도록 합니다.

CloudTrail은 규정 준수를 입증하고, 보안 태세를 개선하며, 리전 및 계정 전체의 활동 레코드를 통합하는 데 도움이 됩니다. CloudTrail은 사용자 계정에서 이루어진 작업을 기록함으로써 사용자 활동에 대한 가시성을 제공합니다. CloudTrail은 요청한 사람, 사용된 서비스, 수행된 작업, 작업의 파라미터, AWS 서비스에서 반환한 대응 요소를 비롯하여, 각 작업에 대한 중요 정보를 기록합니다. 이러한 정보는 AWS 리소스에 이루어진 변경 사항을 추적하고 운영 관련 문제를 해결하는 데 도움이 됩니다. CloudTrail은 내부 정책 및 규제 표준을 쉽게 준수하도록 해줍니다. 자세한 내용은 AWS 규정 준수 백서 대규모 보안: AWS에서의 로깅을 참조하세요. 

활동 감사, 보안 모니터링 또는 운영 문제 해결이 필요한 경우 CloudTrail을 사용합니다.

시작하기

아니요. 계정 활동을 보기 위해 취해야 할 조치는 전혀 없습니다. AWS CloudTrail 콘솔로 이동하거나 AWS CLI를 사용하면 최근 90일간의 계정 활동을 볼 수 있습니다.

AWS CloudTrail은 보고 있는 현재 리전에 대한 지난 90일간의 CloudTrail 이벤트 기록의 결과만 보여주며 다양한 AWS 서비스를 지원합니다. 이러한 이벤트는 생성, 수정 및 삭제 API 호출 및 계정 활동의 관리 이벤트로 제한됩니다. 모든 관리 이벤트, 데이터 이벤트 및 읽기 전용 활동을 비롯하여, 계정 활동에 대한 전체 기록을 보려면 CloudTrail 추적을 구성해야 합니다.

시간 범위와 다음 속성 즉, 이벤트 이름, 사용자 이름, 리소스 이름, 이벤트 소스, 이벤트 ID 및 리소스 유형 중 하나를 지정할 수 있습니다.

예. CloudTrail 콘솔로 이동하거나 CloudTrail API/CLI를 사용하여 지난 90일간의 계정 활동을 볼 수 있습니다.

CloudTrail 이벤트를 Amazon Simple Storage Service(S3), Amazon CloudWatch Logs 및 Amazon CloudWatch Events로 전송하도록 CloudTrail 추적을 설정하면 AWS 리소스의 변경 사항을 아카이빙하고 분석하고 이에 대응하는 데 도움이 되는 기능을 사용하는 데 도움이 됩니다.

예. CloudTrail은 AWS Identity and Access Management(IAM)와 통합되므로 CloudTrail과 CloudTrail에 필요한 다른 AWS 리소스에 대한 액세스를 제어하는 데 도움이 됩니다. 예를 들어 계정 활동을 보고 검색할 수 잇는 권한을 제한할 수 있습니다. IAM 사용자가 계정 활동을 보는 것을 차단하려면 사용자 IAM 정책에서 ‘cloudtrail:LookupEvents’를 제거하면 됩니다.

CloudTrail 이벤트 기록을 통해 계정 활동을 보거나 검색하는 데 대한 비용은 없습니다. 

생성한 모든 CloudTrail 추적에 대해 로깅을 중지하거나 추적을 삭제할 수 있습니다. 이렇게 하면 추적을 구성할 때 지정한 Amazon S3 버킷과 CloudWatch Logs로의 계정 활동 전송(구성한 경우)도 중지됩니다. 지난 90일간의 계정 활동은 계속 수집되며 CloudTrail 콘솔 및 AWS Command Line Interface(AWS CLI)를 통해 볼 수 있습니다. 

서비스 및 리전 지원

CloudTrail은 AWS 서비스 대부분의 계정 활동과 서비스 이벤트를 기록합니다. 지원되는 서비스 목록은 CloudTrail 사용 설명서에서 CloudTrail 지원 서비스를 참조하세요.

예. CloudTrail은 모든 클라이언트의 API 호출을 기록합니다. AWS Management Console, AWS SDK, 명령줄 도구, 상위 수준 AWS 서비스에서 AWS API 작업을 직접 호출하며 이 모든 호출이 기록됩니다.

리전 엔드포인트가 있는 서비스(예: Amazon Elastic Compute Cloud[Amazon EC2] 또는 Amazon Relational Database Service[Amazon RDS])의 활동 정보는 작업이 수행된 곳과 동일한 리전에서 캡처되고 처리됩니다. 그런 다음 S3 버킷에 연결된 리전으로 전송됩니다. IAM 및 AWS Security Token Service(AWS STS)와 같이 단일 엔드포인트가 있는 서비스의 활동 정보는 엔드포인트가 위치한 리전에서 캡처됩니다. 그런 다음 CloudTrail 추적이 구성된 리전에서 처리되어 S3 버킷과 연결된 리전으로 전송됩니다.

모든 리전에 추적 적용

모든 AWS 리전에 추적을 적용하는 것은 데이터가 저장된 모든 리전에서 AWS 계정 활동을 기록할 추적을 생성하는 것을 나타냅니다. 또한 이러한 설정은 추가되는 모든 새로운 리전에 적용됩니다. 리전과 파티션에 대한 자세한 내용은 Amazon 리소스 이름 및 AWS 서비스 네임스페이스 페이지를 참조하세요.

한 번의 API 호출이나 선택 몇 번으로 해당 파티션에 있는 모든 리전에 걸쳐 추적을 생성 및 관리할 수 있습니다. 모든 리전의 AWS 계정에서 수행된 계정 활동 레코드를 하나의 S3 버킷이나 CloudWatch Logs 그룹에서 수신하게 됩니다. 또한, AWS에서 새로운 리전을 지원하게 되면, 추가 작업 없이 새로운 리전에 대한 이벤트 기록이 포함된 로그 파일을 수신하게 됩니다.

CloudTrail 콘솔에서 yes(예)를 선택하여 추적 구성 페이지의 모든 리전에 적용합니다. SDK 또는 AWS CLI를 사용하고 있다면, IsMultiRegionTrail을 True로 설정합니다. 

모든 리전에 추적을 적용하고 나면, CloudTrail에서 추적 구성을 복제하여 새로운 추적을 생성합니다. CloudTrail은 각 리전의 로그 파일을 기록 및 처리하고, 모든 리전의 계정 활동이 들어있는 로그 파일을 하나의 S3 버킷 및 하나의 CloudWatch Logs 로그 그룹에 전달합니다. 선택 사항으로 Amazon Simple Notification Service(SNS) 주제를 지정한 경우, CloudTrail에서는 하나의 SNS 주제에 전달된 모든 로그 파일에 대한 Amazon SNS 알림을 전송합니다.

예. 기존 추적을 모든 리전에 적용할 수 있습니다. 기존 추적을 모든 리전에 적용하는 경우, CloudTrail에서 모든 리전에 새로운 추적을 생성하게 됩니다. 이전에 다른 리전에 생성한 추적이 있는 경우, CloudTrail 콘솔에서 해당 추적을 보고, 편집하고, 삭제할 수 있습니다. 

일반적으로 모든 리전에 추적 구성을 복제하는 데 30초가 채 걸리지 않습니다.

여러 추적

한 리전에서 최대 5개의 추적을 생성할 수 있습니다. 각 리전에 있는 모든 리전에 적용된 추적은 각 리전에서 하나의 추적으로 계산됩니다.

여러 추적을 사용하면 보안 관리자, 소프트웨어 개발자, IT 감사 담당자와 같은 서로 다른 이해관계자가 각자의 추적을 생성하고 관리할 수 있습니다. 예를 들어 보안 관리자는 모든 리전에 적용되는 추적을 생성하고, Amazon Key Management Service(Amazon KMS) 키를 사용하여 암호화를 구성할 수 있습니다. 개발자는 하나의 리전에 적용되는 추적을 생성하여 운영 문제를 해결할 수 있습니다.

예. 예. 리소스 수준의 권한을 사용하여 세분화된 액세스 제어 정책을 작성함으로써 특정 추적에 대한 특정 사용자의 액세스를 허용하거나 거부할 수 있습니다. 자세한 내용은 CloudTrail 설명서를 참조하세요. 

보안 및 만료

기본적으로 CloudTrail 로그 파일은 S3 SSE(서버 측 암호화)를 사용하여 암호화되어 사용자의 S3 버킷에 저장됩니다. IAM 또는 S3 버킷 정책을 적용하여 로그 파일에 대한 액세스를 제어할 수 있습니다. S3 버킷에서 S3 다중 인증(MFA) 삭제를 활성화하여 보안 계층을 추가할 수 있습니다. 추적 생성 및 업데이트에 대한 자세한 내용은 CloudTrail 설명서를 참조하세요.

샘플 S3 버킷 정책SNS 주제 정책은 CloudTrail S3 버킷에서 다운로드할 수 있습니다. S3 버킷 또는 SNS 주제에 샘플 정책을 적용하기 전에 사용자 정보에 맞게 업데이트해야 합니다.

CloudTrail 로그 파일에 대한 보존 정책을 제어할 수 있습니다. 기본적으로 로그 파일은 무기한 저장됩니다. S3 객체 수명 주기 관리 규칙을 사용하여 원하는 보존 정책을 정의할 수 있습니다. 예를 들어 이전 로그 파일을 삭제하거나 Amazon Simple Storage Service Glacier(Amazon S3 Glacier)에 아카이빙할 수 있습니다.

이벤트 메시지, 적시성 및 전송 빈도

이벤트에는 요청한 사람, 사용된 서비스, 수행된 작업, 작업의 파라미터, AWS 서비스에서 반환한 대응 요소를 비롯하여, 각 작업에 대한 중요 정보가 담겨 있습니다. 자세한 내용은 사용 설명서의 CloudTrail 로그 이벤트 참조 섹션을 참조하세요. 

일반적으로 CloudTrail은 API 호출 후 5분 이내에 이벤트를 전송합니다. CloudTrail이 작동하는 방식에 대한 자세한 내용은 여기를 참조하세요.   

CloudTrail은 약 5분마다 S3 버킷으로 로그 파일을 전송합니다. 계정에서 API 호출이 이루어지지 않은 경우에는 로그 파일을 전송하지 않습니다. 

예. Amazon SNS 알림을 활성화하면 새로운 로그 파일 전송이 전송될 때 즉각적인 조치를 취할 수 있습니다. 

흔하지는 않지만 로그 파일에 하나 이상의 중복 이벤트가 포함될 수 있습니다. 대부분의 경우 중복 이벤트는 eventID가 동일합니다. eventID 필드에 대한 자세한 내용은 CloudTrail 레코드 콘텐츠를 참조하세요. 

CloudTrail 로그 파일은 사용자가 설정한 S3 버킷 정책에 따라 전송됩니다. 버킷 정책이 잘못 구성되어 있으면 CloudTrail이 로그 파일을 전송하지 못합니다. 

CloudTrail은 구독 이벤트를 고객 S3 버킷으로 최소 한 번 이상 전송하도록 설계되었습니다. 경우에 따라 CloudTrail에서 동일한 이벤트가 두 번 이상 전송될 수 있습니다. 따라서 중복 이벤트가 발견될 수 있습니다. 

데이터 이벤트

데이터 이벤트는 리소스 자체 또는 내부에서 수행되는 리소스(데이터 영역) 작업에 대한 인사이트를 제공합니다. 데이터 이벤트는 대개 높은 볼륨의 활동이며 S3 객체 수준 API 및 AWS Lambda 함수의 Invoke API 작업과 같은 작업을 포함합니다. 추적을 구성하면 기본적으로 데이터 이벤트가 비활성화됩니다. CloudTrail 데이터 이벤트를 기록하려면 지원되는 리소스 또는 활동을 추적하려는 리소스 유형을 명시적으로 추가해야 합니다. 관리 이벤트와 달리, 데이터 이벤트는 추가 비용이 발생합니다. 자세한 내용은 CloudTrail 요금을 참조하세요. 

CloudTrail에서 기록한 데이터 이벤트는 관리 이벤트와 마찬가지로 S3로 전송됩니다. 사용되면 이러한 이벤트는 Amazon CloudWatch Events에서도 사용할 수 있습니다. 

S3 데이터 이벤트는 S3 객체에 대한 API 작업을 나타냅니다. CloudTrail이 이러한 작업을 기록하게 하려면 새 추적을 생성하거나 기존 추적을 수정할 때 데이터 이벤트 섹션에 S3 버킷을 지정해야 합니다. CloudTrail은 지정된 S3 버킷 내 객체에 대한 모든 API 작업을 기록합니다. 

Lambda 데이터 이벤트는 Lambda 함수의 런타임 활동을 기록합니다. Lambda 데이터 이벤트를 사용하면 Lambda 함수 런타임에 대한 세부 정보를 확인할 수 있습니다. Lambda 함수 런타임의 예로는 Invoke API를 호출한 IAM 사용자 또는 서비스, 호출이 수행된 시간 및 적용된 함수가 있습니다. 모든 Lambda 데이터 이벤트는 S3 버킷 및 CloudWatch Events로 전달됩니다. CLI 또는 CloudTrail 콘솔을 사용하여 Lambda 데이터 이벤트에 대한 로깅을 켤 수 있으며, 새로운 추적을 생성하거나 기존 추적을 편집하여 로깅할 Lambda 함수를 선택할 수 있습니다. 

위임된 관리자

예. 이제 CloudTrail은 조직당 최대 3명의 위임된 관리자를 추가할 수 있는 기능을 지원합니다.

조직 수준에서 생성된 조직 추적 또는 이벤트 데이터 스토어는 위임된 관리자 계정에 의해 생성되었든 관리 계정에 의해 생성되었든 관계없이 관리 계정이 소유합니다.

현재 CloudTrail의 위임된 관리자 지원은 AWS CloudTrail을 사용할 수 있는 모든 리전에서 제공됩니다. 자세한 내용은 AWS 리전 표를 참조하세요.

CloudTrail Insights

CloudTrail Insights 이벤트는 리소스 프로비저닝의 증가, AWS Identity and Access Management(IAM) 작업의 순간 확장 또는 주기적인 유지 관리 활동의 격차와 같은 AWS 계정의 비정상적인 활동을 식별하는 데 도움이 됩니다. CloudTrail Insights는 비정상적인 활동에 대해 CloudTrail 쓰기 관리 이벤트를 지속적으로 모니터링하는 기계 학습(ML) 모델을 사용합니다.

비정상적인 활동이 감지되면 CloudTrail Insights 이벤트가 콘솔에 표시되어 CloudWatch Events, S3 버킷 및 선택적으로 CloudWatch Logs 그룹에 전달됩니다. 그러면 손쉽게 알림을 생성하고 기존 이벤트 관리 및 워크플로 시스템과 통합할 수 있습니다.

CloudTrail Insights는 AWS 계정 및 리전 내 CloudTrail 쓰기 관리 이벤트를 분석하여 비정상적인 활동을 감지합니다. 평소와 다르거나 비정상적인 이벤트는 이전에 설정된 운영 패턴 및 기준에서 예상하는 것과 다른 AWS API 호출 볼륨으로 정의됩니다. CloudTrail Insights는 API 호출의 시간 기반 추세를 고려하고 워크로드가 변경될 때 적응 기준을 적용하여 정상 운영 패턴의 변화에 적응합니다.

CloudTrail Insights를 사용하면 오동작하는 스크립트나 애플리케이션을 감지할 수 있습니다. 개발자는 경우에 따라 반복 루프를 시작하거나 데이터베이스, 데이터 저장소 또는 기타 기능과 같이 의도하지 않는 리소스를 대규모로 호출하는 스크립트나 애플리케이션을 변경합니다. 비용이 예상치 못하게 증가했거나 실제 중단 또는 가동 중지가 발생하는 월말 결제 주기까지 이러한 동작은 자주 나타나지 않습니다. CloudTrail Insights 이벤트를 통해 AWS 계정의 이러한 변화를 알 수 있으므로 신속하게 시정 조치를 취할 수 있습니다.

CloudTrail Insights는 AWS 계정에서 비정상적인 운영 활동을 식별하여 운영 문제를 해결하고 운영 및 비즈니스 영향을 최소화하는 데 도움이 됩니다. Amazon GuardDuty는 계정의 보안 향상에 중점을 두고 계정 활동을 모니터링하여 위협을 감지합니다. Amazon Macie는 민감한 데이터를 검색, 분류 및 보호하여 계정의 데이터 보호 수준을 개선하도록 설계되었습니다. 이러한 서비스는 계정에서 발생할 수 있는 서로 다른 문제 유형에 대해 보완적인 보호 기능을 제공합니다.

예. CloudTrail Insights는 개별 Trail에서 구성되므로 하나 이상의 Trail을 설정해야 합니다. Trail에 대한 CloudTrail Insights 이벤트를 켜면 CloudTrail은 비정상적인 패턴을 식별하기 위해 Trail이 캡처한 쓰기 관리 이벤트를 모니터링합니다. CloudTrail Insights가 비정상적인 활동을 감지하면 CloudTrail Insights 이벤트가 추적 정의에서 지정한 전송 대상에 로깅됩니다.

CloudTrail Insights는 쓰기 관리 API 작업에 대해 비정상적인 활동을 추적합니다.

콘솔, CLI 또는 SDK를 사용하여 계정의 개별 추적에서 CloudTrail Insights 이벤트를 활성화할 수 있습니다. AWS Organizations 관리 계정에서 구성한 조직 추적을 사용하여 조직 전반에 걸쳐 CloudTrail Insights 이벤트를 활성화할 수도 있습니다. 추적 정의에서 라디오 버튼을 선택하여 CloudTrail Insights 이벤트를 활성화할 수 있습니다. 

CloudTrail Lake

CloudTrail Lake는 CloudTrail을 통해 로깅된 모든 작업과 AWS Config를 통해 기록된 구성 항목, Audit Manager의 증거 또는 비 AWS 소스의 이벤트를 쿼리하여 인시던트를 검사하는 데 도움이 됩니다. 운영 종속성을 제거하여 인시던트 로깅을 단순화하고, 여러 팀에 걸쳐 있는 복잡한 데이터 프로세스 파이프라인에 대한 의존도를 줄이는 데 도움이 되는 도구를 제공합니다. CloudTrail Lake를 사용하면 CloudTrail 로그를 다른 곳으로 이동하고 수집할 필요가 없으므로 데이터 충실도를 유지하는 데 도움이 되고 로그를 제한하는 낮은 속도 제한을 처리할 필요가 줄어듭니다. 또한 구조화된 대용량 로그를 처리하도록 미세하게 조정되어 있기 때문에 인시던트 조사에 사용할 수 있도록 거의 실시간에 가까운 지연 시간을 제공합니다. 마지막으로 CloudTrail Lake는 SQL을 통해 친숙한 다중 속성 쿼리 환경을 제공하며 동시에 여러 쿼리를 예약하고 처리할 수 있습니다.

CloudTrail은 AWS 서비스 전반의 사용자 활동 및 API 사용에 대한 로그의 표준 소스입니다. CloudTrail에서 로그를 사용할 수 있게 되면 CloudTrail Lake를 사용하여 AWS 서비스 활동을 검사할 수 있습니다. 사용자 활동 및 영향을 받는 리소스를 쿼리 및 분석하고 해당 데이터를 사용하여 악의적인 공격자 식별 및 권한 기준 설정과 같은 문제를 해결할 수 있습니다.

CloudTrail 콘솔에서 몇 단계만 거치면 맞춤형 통합을 구축 및 유지 관리할 필요 없이 파트너 통합을 찾고 추가하여 이러한 애플리케이션으로부터 활동 이벤트를 수신받을 수 있습니다. 이용 가능한 파트너 통합 이외 소스의 경우 새로운 CloudTrail Lake API를 사용하여 자체 통합을 설정하고 이벤트를 CloudTrail Lake로 푸시할 수 있습니다. 시작하려면 CloudTrail 사용 설명서의 CloudTrail Lake 사용을 참조하세요.

AWS Config의 고급 쿼리 기능은 현재 상태의 AWS Config 구성 항목(CI)을 집계하고 이를 쿼리하고자 하는 경우 권장됩니다. 이 기능은 인벤토리 관리, 보안 및 운영 인텔리전스, 비용 최적화 및 규정 준수 데이터를 사용하는 고객에게 도움이 됩니다. AWS Config 고객은 AWS Config의 고급 쿼리 기능을 무료로 사용할 수 있습니다. 

CloudTrail Lake는 리소스 구성 및 규정 준수 기록을 포함하여 AWS Config 구성 항목에 대한 쿼리 적용 범위를 지원합니다. CloudTrail 이벤트와 관련된 리소스의 구성과 규정 준수 기록을 분석하면 이 리소스를 변경한 사용자, 시기 및 변경 내용을 유추하는 데 도움이 됩니다. 이렇게 하면 보안 노출 또는 규정 위반과 관련된 인시던트의 근본 원인을 손쉽게 분석할 수 있습니다. CloudTrail Lake는 CloudTrail 이벤트 및 기록 구성 항목의 데이터를 집계하고 쿼리해야 하는 경우 권장됩니다.  

CloudTrail Lake는 CloudTrail Lake가 구성되기 전에 생성된 AWS Config 구성 항목을 수집하지 않습니다. 계정 수준 또는 조직 수준에서 새로 기록된 AWS Config의 구성 항목은 지정된 CloudTrail Lake 이벤트 데이터 스토어로 전송됩니다. 이러한 구성 항목은 지정된 보존 기간 동안 Lake에서 쿼리에 사용할 수 있고 과거 데이터 분석에 사용될 수 있습니다. 

여러 사용자가 짧은 시간 내에 연속으로 단일 리소스의 구성을 여러 차례 변경하려고 시도한 경우 구성 항목이 1개만 생성되고 리소스의 최종 상태 구성에 매핑될 수 있습니다. 이 경우 및 유사한 시나리오에서는 CloudTrail과 구성 항목에서 특정 시간 범위와 리소스 ID를 쿼리하더라도 구성 변경을 수행한 사용자와의 상관관계를 100% 찾아내는 것이 불가능할 수 있습니다.

예. CloudTrail Lake 가져오기 기능을 사용하면 여러 계정(조직 추적에서 확인 가능)과 여러 AWS 리전의 로그를 저장하는 S3 버킷에서 CloudTrail 로그를 복사할 수 있습니다. 그리고 개별 계정과 단일 리전 추적에서 로그를 가져올 수도 있습니다. 가져오기 기능을 사용하면 가져오기 날짜 범위를 지정할 수도 있습니다. 따라서 CloudTrail Lake에 장기적으로 저장하여 분석해야 하는 로그 하위 세트만 가져올 수 있습니다. 로그를 통합한 후에는 CloudTrail Lake를 활성화한 후 수집된 가장 최근 이벤트부터 추적에서 가져온 기록 이벤트에 이르는 로그에서 쿼리를 실행할 수 있습니다.

가져오기 기능은 S3의 로그 정보를 CloudTrail Lake에 복사하고 원본 복사본은 S3에 있는 그대로 유지합니다.

내부 문제 해결 요구 사항에 따라 CloudTrail에서 수집한 모든 이벤트 범주에 대해 CloudTrail Lake를 활성화할 수 있습니다. 이벤트 범주에는 CreateBucket 및 TerminateInstances 등의 제어 영역 활동을 캡처하는 관리 이벤트와, GetObject 및 PutObject 등의 데이터 영역 활동을 캡처하는 데이터 이벤트가 포함됩니다. 이러한 이벤트에 대해 별도의 추적 구독이 필요하지는 않습니다. CloudTrail Lake의 경우 1년 연장 가능한 보존과 7년 보존 요금 옵션 중 하나를 선택해야 하며, 이는 비용과 이벤트 보존 기간에 영향을 미칩니다. 언제든지 데이터를 쿼리할 수 있습니다. CloudTrail Lake 대시보드 내에서 CloudTrail 이벤트를 쿼리할 수 있습니다.

기능을 활성화한 후 발생하는 활동에 대해 거의 즉시 쿼리를 시작할 수 있습니다.

일반적인 사용 사례에는 무단 액세스 또는 손상된 사용자 보안 인증 정보 등의 보안 인시던트를 조사하거나 감사 수행을 통해 정기적으로 사용자 권한에 대한 기준 설정을 수행하여 보안 태세를 강화하는 것이 포함됩니다. 필요한 감사를 수행하여 올바른 사용자 집합이 보안 그룹과 같은 리소스를 변경하고 있는지 확인하고 조직의 모범 사례를 따르지 않는 변경 사항을 추적할 수 있습니다. 또한 리소스에 대해 수행된 작업을 추적하고, 수정 또는 삭제를 평가하고, 서비스를 구독하는 IAM 사용자를 비롯하여 AWS 서비스 청구서에 대한 심층 인사이트를 얻을 수 있습니다.

현재 또는 신규 CloudTrail 고객은 API 또는 CloudTrail 콘솔을 통해 기능을 활성화하여 CloudTrail Lake 기능을 통한 쿼리 실행을 즉시 시작할 수 있습니다. CloudTrail 콘솔의 왼쪽 패널에서 CloudTrail Lake 탭을 선택하고 이벤트 데이터 스토어 생성 버튼을 선택합니다. 이벤트 데이터 스토어를 생성할 때 이벤트 데이터 스토어에 사용할 요금 옵션을 선택합니다. 요금 옵션은 이벤트 수집 비용과 이벤트 데이터 스토어의 최대 및 기본 보존 기간을 결정합니다. 그런 다음 CloudTrail을 통해 로깅된 모든 이벤트 범주에서 이벤트를 선택(관리 및 데이터 이벤트)하여 시작합니다.

또한 CloudTrail Lake 대시보드를 사용하여 주요 CloudTrail Lake 이벤트를 시각화할 수 있습니다. CloudTrail Lake 대시보드는 사전 구축된 대시보드로, CloudTrail 콘솔 내에서 직접 감사 및 보안 데이터를 즉시 파악하고 주요 인사이트를 확인할 수 있습니다.

예. 이벤트 데이터 스토어 구성의 일부로 요금 옵션을 7년 보존 요금에서 1년 연장 가능한 보존 요금으로 업데이트할 수 있습니다. 기존 데이터는 구성된 보존 기간 동안 이벤트 데이터 스토어에서 계속 사용할 수 있습니다. 이 데이터에는 보존 기간 연장 요금이 발생하지 않습니다. 하지만 새로 수집된 데이터에는 수집 및 보존 기간 연장 모두에 대해 1년 연장 가능 보존 요금이 적용됩니다. 

아니요. 현재 이벤트 데이터 스토어를 1년 연장 가능한 보존 요금에서 7년 보존 요금으로 마이그레이션하는 기능은 지원되지 않습니다. 하지만 현재 이벤트 데이터 스토어에 대한 로깅을 해제하면서 새로 수집된 데이터에 대해 7년 보존 요금이 적용되는 새 이벤트 데이터 스토어를 만들 수 있습니다. 각각의 요금 옵션과 구성된 보존 기간을 사용하여 두 이벤트 데이터 스토어의 데이터를 계속 보존하고 분석할 수 있습니다.

CloudTrail Lake는 고객이 규정 준수 및 감사와 관련된 사용 사례 요구 사항을 충족하도록 도와주는 감사 레이크입니다. 규정 준수 프로그램 요건에 따라 고객은 감사 로그를 CloudTrail Lake에 수집한 시점과 관계없이 로그가 생성된 시점부터 지정된 기간 동안 보관해야 합니다.

아니요. 이 이벤트는 과거에 이벤트 시간이 있는 과거 이벤트이기 때문에 이벤트 시간부터 시작하여 1년의 보존 기간 동안 CloudTrail Lake에 보존됩니다. 따라서 해당 이벤트가 CloudTrail Lake에 저장되는 기간은 1년 미만입니다. 

현재 CloudTrail Lake 대시보드는 CloudTrail 관리 및 데이터 이벤트를 지원합니다.

대시보드는 현재 계정 수준에서 사용되도록 설정되며 CloudTrail 관리 또는 데이터 이벤트가 사용되는 해당 계정에서 활성화된 모든 이벤트 데이터 스토어에 적용됩니다.

CloudTrail Lake 대시보드는 CloudTrail Lake 쿼리를 기반으로 합니다. CloudTrail Lake 대시보드를 사용하면 스캔한 데이터에 대한 요금이 부과됩니다. 자세한 내용은 요금 페이지를 참조하세요.

아니요. 현재 모든 CloudTrail Lake 대시보드는 큐레이팅되고 미리 정의되므로 사용자 지정이 불가능합니다.

감사 및 규정 준수 엔지니어는 CloudTrail Lake 대시보드를 사용하여 TLS 1.2 이상으로의 마이그레이션과 같은 규정 준수 의무의 진행 상황을 추적할 수 있습니다. 보안 엔지니어는 CloudTrail Lake 대시보드를 통해 추적 삭제, 액세스 거부 오류 반복 발생 등의 민감한 사용자 활동을 면밀하게 추적할 수 있습니다. 클라우드 운영 엔지니어는 큐레이팅된 대시보드에서 주요 서비스 제한 오류 등의 문제를 파악할 수 있습니다.

로그 파일 집계

예. 단일 S3 버킷을 여러 계정에 대한 대상으로 구성할 수 있습니다. 자세한 지침은 CloudTrail 사용 설명서에서 단일 S3 버킷으로 로그 파일 집계 섹션을 참조하세요.

CloudWatch Logs와의 통합

CloudTrail을 CloudWatch Logs와 통합하면 CloudTrail에서 캡처한 관리 이벤트와 데이터 이벤트를 사용자가 지정한 CloudWatch Logs 로그 그룹의 CloudWatch Logs 로그 스트림에 전달할 수 있습니다.

이 통합은 CloudTrail에서 캡처한 계정 활동에 대해 SNS 알림을 받는 데 도움이 됩니다. 예를 들어, 보안 그룹과 네트워크 액세스 제어 목록(ACL)의 생성, 수정 및 삭제하는 API 호출을 모니터링하도록 CloudWatch 경보를 생성할 수 있습니다.

CloudTrail 콘솔에서 CloudWatch Logs 로그 그룹과 IAM 역할을 지정하여 CloudWatch Logs와의 CloudTrail 통합 기능을 켤 수 있습니다. AWS SDK 또는 AWS CLI를 사용하여 이 통합을 켤 수도 있습니다.

통합 기능을 활성화하면 CloudTrail이 사용자가 지정한 CloudWatch Logs 로그 그룹의 CloudWatch Logs 로그 스트림으로 계정 활동을 지속적으로 전달합니다. 이전과 마찬가지로, CloudTrail에서 S3 버킷으로도 로그를 계속 전달합니다.

이 통합 기능은 CloudWatch Logs가 지원되는 리전에서 사용할 수 있습니다. 자세한 내용은 AWS 일반 참조에서 리전 및 엔드포인트를 참조하세요.

CloudTrail은 사용자가 지정하는 IAM 역할을 맡아 CloudWatch Logs로 계정 활동을 전달합니다. 사용자는 IAM 역할을 CloudWatch Logs 로그 스트림에 이벤트를 전달하는 데 필요한 권한으로만 국한합니다. IAM 역할 정책을 살펴보려면 CloudTrail 설명서의 사용 설명서로 이동하세요.

CloudWatch Logs와의 CloudTrail 통합을 활성화하면 표준 CloudWatch Logs 및 CloudWatch 요금이 부과됩니다. 자세한 내용은 CloudWatch 요금 페이지를 참조하세요. 

AWS KMS를 통한 CloudTrail 로그 파일 암호화

SSE-KMS를 통한 CloudTrail 로그 파일 암호화는 KMS 키로 로그 파일을 암호화하여 S3 버킷에 전송된 CloudTrail 로그 파일에 보안 계층을 추가하는 데 도움이 됩니다. 기본적으로 CloudTrail은 S3 버킷으로 전송된 로그 파일을 S3 서버 측 암호화를 사용하여 암호화합니다.

SSE-KMS의 경우, S3에서 로그 파일을 자동으로 복호화합니다. 따라서 애플리케이션을 변경할 필요가 없습니다. 다른 경우와 마찬가지로 애플리케이션에 적절한 권한(즉, S3 GetObject 및 AWS KMS Decrypt 권한)이 설정되어 있는지 확인해야 합니다.

AWS Management Console, AWS CLI 또는 AWS SDK를 사용해 로그 파일 암호화를 구성할 수 있습니다. 세부 지침은 설명서를 참조하세요.

SSE-KMS를 사용해 암호화를 구성하면 표준 AWS KMS 요금이 발생합니다. 자세한 내용은 AWS KMS 요금 페이지를 참조하세요.

CloudTrail 로그 파일 무결성 검증

CloudTrail 로그 파일 무결성 검증 기능은 CloudTrail에서 로그 파일을 지정된 S3 버킷으로 전송한 이후로 CloudTrail 로그 파일이 그대로 유지되거나, 삭제되거나, 수정되었는지 확인하는 데 도움이 됩니다.

IT 보안 및 감사 프로세스를 지원하는 데 로그 파일 무결성 검증 기능을 사용할 수 있습니다.

콘솔, AWS CLI 또는 AWS SDK를 통해 CloudTrail 로그 파일 무결성 검증 기능을 사용할 수 있습니다.

로그 파일 무결성 검증 기능을 활성화하면, CloudTrail에서 시간 단위로 다이제스트 파일을 전송합니다. 다이제스트 파일에는 S3 버킷으로 전송된 로그 파일과 이 로그 파일의 해시 값에 대한 정보가 포함됩니다. 또한 이전 다이제스트 파일의 디지털 서명과 현재 다이제스트 파일의 디지털 서명이 S3 메타데이터 섹션에 포함됩니다. 다이제스트 파일, 디지털 서명 및 해시 값에 대한 자세한 내용은 CloudTrail 설명서를 참조하세요.

다이제스트 파일은 로그 파일이 전송된 것과 같은 S3 버킷으로 전송됩니다. 하지만 다른 폴더로 전송되므로, 세분화된 액세스 제어 정책을 적용할 수 있습니다. 자세한 내용은 CloudTrail 설명서의 다이제스트 파일 구조 섹션을 참조하세요.

AWS CLI를 사용하여 로그 파일이나 다이제스트 파일의 무결성을 검증할 수 있습니다. 또한, 자체 도구를 구축하여 검증을 수행할 수도 있습니다. AWS CLI를 사용한 로그 파일 무결성 검증에 대한 자세한 내용은 CloudTrail 설명서를 참조하세요.

예. CloudTrail은 모든 리전 및 여러 계정의 다이제스트 파일을 동일한 S3 버킷으로 전송합니다.

CloudTrail Processing Library

CloudTrail Processing Library는 CloudTrail 로그 파일을 읽고 처리하는 애플리케이션을 손쉽게 구축할 수 있도록 지원하는 Java 라이브러리입니다. GitHub에서 CloudTrail Processing Library를 다운로드할 수 있습니다.

CloudTrail Processing Library는 SQS 대기열을 연속적으로 폴링하고, Amazon Simple Queue Service(Amazon SQS) 메시지를 읽고 구문 분석하며 S3에 저장된 로그 파일을 다운로드하고, 로그 파일 이벤트를 내결함성 방식으로 구문 분석 및 직렬화하는 등의 작업을 처리하는 기능을 제공합니다. 자세한 내용은 CloudTrail 설명서의 사용 설명서를 참조하세요. 

aws-java-sdk 버전 1.9.3 및 Java 1.7 이상이 필요합니다.

요금

CloudTrail을 사용하면 지난 90일간의 계정 관리 이벤트를 무료로 보고 검색하고 다운로드할 수 있습니다. 추적을 생성하여 지속적인 관리 이벤트의 복사본 하나를 S3에 무료로 전송할 수 있습니다. CloudTrail 추적이 설정된 후에는 사용량에 따라 S3 요금이 적용됩니다.

추적을 사용하여 데이터 이벤트를 비롯한 이벤트의 추가 복사본을 전송할 수 있습니다. 관리 이벤트 추가 복사본 또는 데이터 이벤트에는 비용이 부과됩니다. 자세한 내용은 요금 페이지를 참조하세요.

아니요. 각 리전에서 관리 이벤트의 첫 번째 사본은 무료로 전송됩니다.

예. 데이터 이벤트에 대해서만 비용이 부과됩니다. 관리 이벤트의 첫 번째 사본은 무료로 전송됩니다. 

CloudTrail Lake를 사용하면 수집과 스토리지 비용을 함께 지불하며, 요금은 수집된 비압축 데이터의 양과 저장된 압축 데이터의 양을 기준으로 합니다. 이벤트 데이터 스토어를 생성할 때 이벤트 데이터 스토어에 사용할 요금 옵션을 선택합니다. 요금 옵션은 이벤트 수집 비용과 이벤트 데이터 스토어의 최대 및 기본 보존 기간을 결정합니다. 쿼리 요금은 분석하기로 선택한 압축된 데이터를 기반으로 합니다. 자세한 내용은 요금 페이지를 참조하세요.

예. 각 CloudTrail 이벤트는 평균적으로 약 1,500바이트입니다. 이 매핑을 사용하면 지난 달 추적에서의 CloudTrail 사용량에 따른 이벤트 수를 기준으로 CloudTrail Lake 수집을 예측할 수 있습니다.

파트너

여러 파트너에서 CloudTrail 로그 파일을 분석하기 위한 통합 솔루션을 제공합니다. 이러한 솔루션에는 변경 사항 추적, 문제 해결, 보안 분석과 같은 기능이 포함되어 있습니다. 자세한 내용은 CloudTrail 파트너 섹션을 참조하세요.

통합을 시작하려면 파트너 온보딩 안내서를 검토하세요. 더 자세히 알아보거나 추가 질문이 있는 경우 파트너 개발 팀 또는 파트너 솔루션스 아키텍트에게 문의하면 CloudTrail Lake 팀과 연락할 수 있습니다.

기타

아니요. CloudTrail을 활성화해도 AWS 리소스의 성능이나 API 직접 호출 지연 시간에는 어떠한 영향도 미치지 않습니다.