Q: AWS CloutTrail이란 무엇입니까?
AWS CloudTrail은 사용자 계정에서 이루어진 활동을 기록하고 로그 파일을 사용자의 Amazon S3 버킷으로 전달하는 웹 서비스입니다.

Q: CloudTrail의 이점은 무엇입니까?
CloudTrail은 사용자 계정에서 이루어진 작업을 기록함으로써 사용자 활동에 대한 가시성을 제공합니다. CloudTrail은 요청한 사람, 사용된 서비스, 수행된 작업, 작업의 파라미터, AWS 서비스에서 반환한 대응 요소를 비롯하여 각 작업에 대한 중요 정보를 기록합니다. 이러한 정보는 AWS 리소스에 이루어진 변경 사항을 추적하고 작업 관련 문제를 해결하는 데 도움이 됩니다. CloudTrail은 내부 정책 및 규제 표준을 쉽게 준수하도록 해줍니다. 자세한 내용은 AWS 규정 준수 백서 "Security at Scale: Logging in AWS"를 참조하십시오.

Q: CloudTrail은 누가 사용해야 합니까?
리소스에 대한 변경 사항을 추적하고, 사용자 활동에 대한 간단한 질문에 답변하고, 규정 준수를 입증하고, 문제를 해결하고, 보안 분석을 수행하려는 고객은 CloudTrail을 사용해야 합니다.


Q: 신규 AWS 고객이거나 CloudTrail을 설정하지 않은 기존 AWS 고객이라면, 내 계정 활동을 보기 위해 설정하거나 활성화해야 할 사항이 있습니까?
아니요. 계정 활동을 보기 위해 취해야 할 조치는 전혀 없습니다. AWS CloudTrail 콘솔로 이동하거나 AWS CLI를 사용하면 최근 7일간의 계정 활동을 볼 수 있습니다.

Q: CloudTrail 이벤트 기록에서는 내 계정 내 모든 계정 활동을 보여줍니까?
AWS CloudTrail은 현재 리전에 대한 지난 7일간의 CloudTrail 이벤트 기록의 결과만 보여주며 여기에 명시된 AWS 서비스를 지원합니다. 이러한 이벤트는 생성, 수정 및 삭제 API 호출 및 계정 활동의 관리 이벤트로 제한됩니다. 모든 관리 이벤트, 데이터 이벤트 및 읽기 전용 활동을 비롯하여 계정 활동에 대한 전체 기록을 보려면, CloudTrail Trail을 구성해야 합니다.

Q: 내 계정 활동을 보는 데 사용할 수 있는 검색 필터에는 어떤 것이 있습니까?
시간 범위와 다음 속성 중 하나를 지정할 수 있습니다. 이벤트 이름, 사용자 이름, 리소스 이름, 이벤트 소스, 이벤트 ID 및 리소스 유형.

Q: Trail을 구성하지 않았더라도 lookup-events CLI 명령을 사용할 수 있습니까?
예. CloudTrail 콘솔로 이동하거나 CloudTrail API/CLI를 사용하여 지난 7일간의 계정 활동을 볼 수 있습니다.

Q: CloudTrail을 설정하고 trail을 생성하면 어떤 CloudTrail 기능을 추가로 사용할 수 있습니까?
CloudTrail trail을 설정하면 CloudTrail 이벤트를 Amazon S3, Amazon CloudWatch Logs 및 Amazon CloudWatch Events로 전송할 수 있습니다. 그러면 AWS 리소스의 변경 사항을 아카이브하고 분석하고 이에 대응하는 데 도움이 되는 기능을 활용할 수 있습니다.

Q: 내 계정의 사용자가 CloudTrail 이벤트 기록을 보지 못하도록 액세스를 제한할 수 있습니까?
예. CloudTrail은 AWS Identity and Access Management(IAM)와 통합되므로, 계정 활동을 보고 검색할 수 있는 권한을 제한하는 등 CloudTrail과 CloudTrail에 필요한 다른 AWS 리소스에 대한 액세스를 제어할 수 있습니다. 사용자 IAM 정책에서 "cloudtrail:LookupEvents"을 제거하면 됩니다. 그러면 IAM 사용자가 계정 활동을 볼 수 없습니다.

Q: 내 계정 생성 시 활성화되는 CloudTrail 이벤트 기록과 관련된 비용이 있습니까?
CloudTrail 이벤트 기록을 통해 계정 활동을 보거나 검색하는 데 대한 비용은 없습니다.

Q: 내 계정에 대한 CloudTrail 이벤트 기록을 종료할 수 있습니까?
사용자가 생성한 CloudTrail trail의 경우, trail 로깅을 중단하거나 삭제할 수 있습니다. 그러면 trail을 구성하면서 지정한 S3 버킷과 CloudWatch Logs(구성된 경우)로 계정 활동을 전송하는 작업도 중단됩니다. 지난 7일간의 계정 활동은 계속 수집되며 CloudTrail 콘솔 및 AWS CLI를 통해 볼 수 있습니다.  


Q: CloudTrail에서 지원하는 서비스는 무엇입니까?
AWS CloudTrail은 AWS 서비스 대부분의 계정 활동과 서비스 이벤트를 기록합니다. 지원되는 서비스 목록은 CloudTrail 사용 설명서에서 CloudTrail 지원 서비스 섹션을 참조하십시오.

Q: AWS Management Console에서 이루어진 API 호출도 기록됩니까?
예. CloudTrail은 모든 클라이언트의 API 호출을 기록합니다. AWS Management Console, AWS SDK, 명령줄 도구, 상위 수준 AWS 서비스에서 AWS API를 호출하며 이 모두가 기록됩니다.


Q: 내 Amazon S3 버킷으로 전송되기 전 내 로그 파일은 어디에 저장되어 처리됩니까?
리전별 엔드포인트가 있는 서비스(EC2, RDS 등)에 대한 활동 정보는 작업이 이루어진 동일 리전에서 캡처되고 처리된 후, 사용자의 Amazon S3 버킷과 연결된 리전으로 전송됩니다. 단일 엔드포인트가 있는 서비스(IAM, STS 등)에 대한 작업 정보는 엔드포인트가 위치한 리전에서 캡처되고, CloudTrail trail이 구성된 리전에서 처리된 후, 사용자의 Amazon S3 버킷과 연결된 리전으로 전송됩니다.


Q: 모든 리전에 Trail을 적용한다는 것은 무엇을 말합니까?
모든 리전에 Trail을 적용한다는 것은 모든 리전에서 AWS 계정 활동을 기록할 Trail을 생성한다는 뜻입니다. 또한, 이러한 설정은 추가되는 모든 새로운 리전에 적용됩니다. 리전과 파티션에 대한 자세한 내용은 Amazon 리소스 이름 및 AWS 서비스 네임스페이스 페이지를 참조하십시오.

Q: 모든 리전에 Trail을 적용하면 어떤 이점이 있습니까?
한 번의 API 호출이나 클릭 몇 번으로 해당 파티션에 있는 모든 리전에 걸쳐 Trail을 생성 및 관리할 수 있습니다. 모든 리전의 AWS 계정에서 수행된 계정 활동 레코드를 하나의 S3 버킷이나 CloudWatch Logs 로그 그룹에서 수신하게 됩니다. 또한, AWS에서 새로운 리전을 지원하게 되면, 추가 작업 없이 새로운 리전에 대한 이벤트 기록이 포함된 로그 파일을 수신하게 됩니다.

Q: 모든 리전에 Trail을 적용하려면 어떻게 해야 합니까?
CloudTrail 콘솔에서 Yes를 선택하여 Trail 구성 페이지의 모든 리전에 적용합니다. SDK 또는 AWS CLI를 사용하고 있다면, IsMultiRegionTrail을 True로 설정합니다.

Q: 모든 리전에 Trail을 적용하면 어떻게 됩니까?
모든 리전에 Trail을 적용하고 나면, CloudTrail에서 Trail 구성을 복제하여 모든 리전에 새로운 Trail을 생성합니다. CloudTrail은 각 리전의 로그 파일을 기록 및 처리하고, 모든 AWS 리전의 계정 활동이 들어있는 로그 파일을 하나의 S3 버킷 및 하나의 CloudWatch Logs 로그 그룹에 전달합니다. 선택 사항으로 SNS 주제를 지정한 경우, CloudTrail에서는 하나의 SNS 주제에 전달된 모든 로그 파일에 대한 SNS 알림을 전송합니다.

Q: 기존 Trail을 모든 리전에 적용할 수 있습니까?
예. 기존 Trail을 모든 리전에 적용할 수 있습니다. 기존 Trail을 모든 리전에 적용하는 경우, CloudTrail에서 모든 리전에 새로운 Trail을 생성하게 됩니다. 이전에 다른 리전에 생성한 Trail이 있는 경우, CloudTrail 콘솔에서 해당 Trail을 보고, 수정하고, 삭제할 수 있습니다.

Q: CloudTrail에서 모든 리전에 Trail 구성을 복제하는 데 얼마나 걸립니까?
일반적으로 모든 리전에 Trail 구성을 복제하는 데 30초가 채 걸리지 않습니다.


Q: AWS 리전에서 생성할 수 있는 Trail의 수는 어떻게 됩니까?
AWS 리전에서는 최대 5개의 Trail을 생성할 수 있습니다. 각 리전에 있는 모든 리전에 적용된 Trail은 각 리전에서 하나의 Trail로 계산됩니다.

Q: AWS 리전에서 여러 Trail을 생성하면 어떤 이점이 있습니까?
여러 Trail의 경우, 보안 관리자, 소프트웨어 개발자, IT 감사자 등 서로 다른 이해관계자가 자신만의 Trail을 생성하고 관리할 수 있습니다. 예를 들어 보안 관리자가 모든 리전에 적용되는 Trail을 생성하고 KMS 키를 사용하여 암호화를 구성할 수 있습니다. 개발자는 하나의 리전에 적용되는 Trail을 생성하여 운영 문제를 해결할 수 있습니다.

Q: CloudTrail에서는 리소스 수준의 권한을 지원합니까?
예. 리소스 수준의 권한을 사용하여 세분화된 액세스 제어 정책을 작성함으로써 특정 Trail에 대한 특정 사용자의 액세스를 허용하거나 거부할 수 있습니다. 자세한 내용은 CloudTrail 설명서를 참조하십시오.


Q: 내 CloudTrail 로그 파일을 보호하려면 어떻게 해야 합니까?
기본적으로 CloudTrail 로그 파일은 S3 서버 측 암호화(SSE)를 사용하여 암호화되어 사용자의 S3 버킷에 저장됩니다. IAM 또는 S3 버킷 정책을 적용하여 로그 파일에 대한 액세스를 제어할 수 있습니다. S3 버킷에서 S3 Multi Factor Authentication(MFA) Delete를 활성화하여 보안 계층을 추가할 수 있습니다. 내역 생성 및 업데이트에 대한 자세한 내용은 CloudTrail 설명서를 참조하십시오.

Q: 샘플 S3 버킷 정책 및 SNS 주제 정책은 어디에서 다운로드할 수 있습니까?
샘플 S3 버킷 정책SNS 주제 정책은 CloudTrail S3 버킷에서 다운로드할 수 있습니다. 사용자 S3 버킷 또는 SNS 주제에 샘플 정책을 적용하기 전에 사용자 정보에 맞게 업데이트해야 합니다.

Q: 내 활동 로그 파일을 얼마나 오래 저장할 수 있습니까?
CloudTrail 로그 파일에 대한 보존 정책을 제어할 수 있습니다. 기본적으로 로그 파일은 무기한 저장됩니다. Amazon S3 객체 수명 주기 관리 규칙을 사용하여 원하는 보존 정책을 정의할 수 있습니다. 예를 들어 오래된 로그 파일을 삭제하거나 Amazon Glacier에 보관할 수 있습니다.


Q: 이벤트에서 사용할 수 있는 정보는 무엇입니까?
이벤트에는 요청한 사람, 사용된 서비스, 수행된 작업, 작업의 파라미터, AWS 서비스에서 반환한 대응 요소를 비롯하여 각 작업에 대한 중요 정보가 담겨 있습니다. 자세한 내용은 사용 설명서의 CloudTrail 로그 이벤트 참조 섹션을 참조하십시오.

Q: CloudTrail에서 API 호출에 대한 이벤트를 전송하는 데 시간이 얼마나 걸립니까?
일반적으로 CloudTrail은 API 호출 후 15분 이내에 이벤트를 전송합니다.

Q: CloudTrail은 로그 파일을 내 Amazon S3 버킷으로 얼마나 자주 전송합니까?
CloudTrail은 약 5분마다 S3 버킷으로 로그 파일을 전송합니다. 계정에서 API 호출이 이루어지지 않은 경우에는 로그 파일을 전송하지 않습니다.

Q: 내 Amazon S3 버킷에 새로운 로그 파일이 전송되면 알림을 받을 수 있습니까?
예. 새로운 로그 파일 전송이 전송되면 즉각적인 조치를 취할 수 있도록 Amazon SNS 알림을 활성화할 수 있습니다.

Q: 내 계정에 대해 CloudTrail이 활성화되어 있지만 내Amazon S3 버킷이 올바른 정책으로 구성되어 있지 않으면 어떤 일이 발생합니까?
CloudTrail 로그 파일은 실시 중인 S3 버킷 정책에 따라 전송됩니다. 버킷 정책이 잘못 구성되어 있으면 CloudTrail이 로그 파일을 전송하지 못합니다.


Q: 데이터 이벤트란 무엇입니까?
데이터 이벤트는 리소스 자체에서 수행되는 리소스("데이터 영역") 작업에 대한 통찰력을 제공합니다. 데이터 이벤트는 대개 높은 볼륨의 활동이며 Amazon S3 객체 수준 API 및 Lambda 함수 Invoke API와 같은 작업을 포함합니다. Trail을 구성하면 기본적으로 데이터 이벤트가 비활성화됩니다. CloudTrail 데이터 이벤트를 기록하려면 지원되는 리소스 또는 활동을 추적하려는 리소스 유형을 명시적으로 추가해야 합니다. 관리 이벤트와 달리 데이터 이벤트는 추가 비용이 발생합니다. 자세한 내용은 CloudTrail 요금을 참조하십시오.

Q: 데이터 이벤트는 어떻게 사용합니까?
AWS CloudTrail에서 기록한 데이터 이벤트는 S3로 전송됩니다. 관리 이벤트와 비슷합니다. 활성화되면 이러한 이벤트는 Amazon CloudWatch Events에서도 사용할 수 있습니다.

Q: Amazon S3 데이터 이벤트란 무엇입니까? 이를 기록하려면 어떻게 해야 합니까?
Amazon S3 데이터 이벤트는 Amazon S3 객체에 대한 API 작업을 나타냅니다. CloudTrail이 이러한 작업을 기록하게 하려면 새 Trail을 생성하거나 기존 Trail을 수정할 때 데이터 이벤트 섹션에 S3 버킷을 지정해야 합니다. CloudTrail은 지정된 S3 버킷 내 객체에 대한 모든 API 작업을 기록합니다.

Q: AWS Lambda 데이터 이벤트란 무엇입니까? 이를 기록하려면 어떻게 해야 합니까?
AWS Lambda 데이터 이벤트는 Lambda 함수의 실행 활동을 기록합니다. Lambda 데이터 이벤트를 사용하면 Invoke API 호출을 수행한 IAM 사용자 또는 서비스, 호출이 수행된 시점, 실행된 함수와 같은 Lambda 함수 실행에 대한 세부 정보를 얻을 수 있습니다. 모든 Lambda 데이터 이벤트는 Amazon S3 버킷 및 Amazon CloudWatch Events로 전달됩니다. AWS CLI 또는 AWS CloudTrail 콘솔을 사용하여 AWS Lambda 데이터 이벤트에 대한 로깅을 켤 수 있으며, 새로운 Trail을 생성하거나 기존 Trail을 편집하여 어떤 Lambda 함수가 로깅되는지 선택할 수 있습니다.


Q: AWS 계정이 여러 개입니다. 모든 계정에 대한 로그 파일이 단일 S3 버킷으로 전송되도록 하고 싶습니다. 가능합니까?
예. 단일 S3 버킷을 여러 계정에 대한 대상으로 구성할 수 있습니다. 자세한 지침은 AWS CloudTrail 사용 설명서의 단일 Amazon S3 버킷으로 CloudTrail 로그 파일 수신 섹션을 참조하십시오.


Q: CloudWatch Logs와의 CloudTrail 통합이란 무엇입니까?
CloudTrail을 CloudWatch Logs와 통합하면 CloudTrail에서 캡처한 관리 이벤트와 데이터 이벤트를 사용자가 지정한 CloudWatch Logs 로그 그룹의 CloudWatch Logs 로그 스트림에 전달할 수 있습니다.

Q: CloudTrail을 CloudWatch Logs와 통합하면 어떤 이점이 있습니까?
통합하면 사용자는 CloudTrail에서 캡처한 계정 활동에 대해 SNS 알림을 받을 수 있습니다. 예를 들어 보안 그룹과 네트워크 ACL의 생성, 수정 및 삭제하는 API 호출을 모니터링하도록 CloudWatch 경보를 생성할 수 있습니다.

Q: CloudTrail을 CloudWatch Logs와 통합하려면 어떻게 해야 합니까?
CloudTrail 콘솔에서 CloudWatch Logs 로그 그룹과 IAM 역할을 지정하여 CloudWatch Logs와의 CloudTrail 통합을 켤 수 있습니다. AWS SDK 또는 AWS CLI를 사용하여 이 통합을 켤 수도 있습니다.

Q: CloudTrail을 CloudWatch Logs와 통합 기능을 활성화하면 어떻게 됩니까?
통합 기능을 활성화하면 CloudTrail이 사용자가 지정한 CloudWatch Logs 로그 그룹의 CloudWatch Logs 로그 스트림으로 계정 활동을 지속적으로 전달합니다. 이전과 마찬가지로 CloudTrail에서 Amazon S3 버킷으로도 로그를 계속 전달합니다.

Q: CloudTrail을 CloudWatch Logs와 통합하는 기능이 지원되는 AWS 리전은 어디입니까?
이러한 통합 기능은 CloudWatch Logs가 지원되는 리전에서 사용할 수 있습니다. 자세한 내용은 Amazon Web Services 일반 참조에서 리전 및 엔드포인트 섹션을 참조하십시오.

Q: CloudTrail은 어떤 방법으로 계정 활동이 포함된 이벤트를 내 CloudWatch Logs에 전달합니까?
CloudTrail은 사용자가 지정하는 IAM 역할을 맡아 CloudWatch Logs로 계정 활동을 전달합니다. 사용자는 IAM 역할을 CloudWatch Logs 로그 스트림에 이벤트를 전달하는 데 필요한 권한으로만 국한합니다. IAM 역할 정책을 살펴보려면 CloudTrail 설명서의 사용 설명서로 이동하십시오.

Q: CloudTrail을 CloudWatch Logs와 통합하는 기능을 활성화하면 요금이 어떻게 부과됩니까?
CloudWatch Logs와의 CloudTrail 통합을 켜면 표준 CloudWatch Logs 및 CloudWatch 요금이 부과됩니다. 자세한 내용은 CloudWatch 요금 페이지를 참조하십시오.


Q: KMS 서버 측 암호화를 사용한 CloudTrail 로그 파일 암호화의 장점은 무엇입니까?
SSE-KMS를 통한 CloudTrail 로그 파일 암호화는 KMS 키로 로그 파일을 암호화함으로써 Amazon S3 버킷에 전송된 CloudTrail 로그 파일에 보안 계층을 추가할 수 있게 해줍니다. 기본적으로 CloudTrail은 Amazon S3 버킷으로 전송된 로그 파일을 Amazon S3 서버측 암호화를 사용하여 암호화합니다.

Q: CloudTrail 로그 파일을 수집하고 처리하는 애플리케이션이 있습니다. 내 애플리케이션을 변경해야 합니까?
SSE-KMS의 경우, Amazon S3에서 로그 파일을 자동으로 복호화합니다. 따라서 애플리케이션을 변경할 필요가 없습니다. 다른 경우와 마찬가지로 애플리케이션에 적절한 권한(예: Amazon S3 GetObject 및 KMS Decrypt 권한)이 설정되어 있는지 확인하시기 바랍니다.

Q: CloudTrail 로그 파일 암호화를 구성하려면 어떻게 해야 합니까?
AWS Management Console, AWS CLI 또는 AWS SDK를 사용해 로그 파일 암호화를 구성할 수 있습니다. 세부 지침은 설명서를 참조하십시오.

Q: SSE-KMS를 사용해 암호화를 구성하고 나면 어떤 요금이 발생합니까?
SSE-KMS를 사용해 암호화를 구성하면 표준 AWS KMS 요금이 발생합니다. 자세한 내용은 AWS KMS 요금 페이지를 참조하십시오.


Q: CloudTrail 로그 파일 무결성 검증이란 무엇입니까?
CloudTrail 로그 파일 무결성 검증 기능을 사용하면 CloudTrail에서 로그 파일을 지정된 Amazon S3 버킷으로 전송한 이후로 CloudTrail 로그 파일이 그대로 유지되거나, 삭제되거나, 수정되었는지 확인할 수 있습니다.

Q: CloudTrail 로그 파일 무결성 검증의 이점은 무엇입니까?
IT 보안 및 감사 프로세스를 지원하는 데 로그 파일 무결성 검증 기능을 사용할 수 있습니다.

Q: CloudTrail 로그 파일 무결성 검증 기능을 활성화하려면 어떻게 해야 합니까?
AWS Management Console, AWS CLI 또는 AWS SDK를 통해 CloudTrail 로그 파일 무결성 검증 기능을 활성화할 수 있습니다.

Q: 로그 파일 무결성 검증 기능을 활성화하면 무슨 일이 발생합니까?
로그 파일 무결성 검증 기능을 활성화하면, CloudTrail에서 시간 단위로 다이제스트 파일을 전송합니다. 다이제스트 파일에는 Amazon S3 버킷에 전송된 로그 파일, 해당 로그 파일에 대한 해시 값, 이전 다이제스트 파일의 디지털 서명, 그리고 Amazon S3 메타데이터 섹션에 있는 현재 다이제스트 파일의 디지털 서명에 관한 정보가 포함되어 있습니다. 다이제스트 파일, 디지털 서명 및 해시 값에 대한 자세한 내용은 CloudTrail 설명서를 참조하십시오.

Q: 다이제스트 파일은 어디로 전송됩니까?
다이제스트 파일은 로그 파일이 전송된 것과 같은 Amazon S3 버킷으로 전송됩니다. 하지만 다른 폴더로 전송되므로 세분화된 액세스 제어 정책을 적용할 수 있습니다. 자세한 내용은 CloudTrail 설명서의 다이제스트 파일 구조 섹션을 참조하십시오.

Q: CloudTrail에서 전송한 로그 파일이나 다이제스트 파일의 무결성을 검증하려면 어떻게 해야 합니까?
AWS CLI를 사용하여 로그 파일이나 다이제스트 파일의 무결성을 검증할 수 있습니다. 또한, 자체 도구를 구축하여 검증을 수행할 수도 있습니다. AWS CLI를 사용한 로그 파일 무결성 검증에 대한 세부 정보는 CloudTrail 설명서를 참조하십시오.

Q: 모든 리전 및 여러 계정의 모든 내 로그 파일을 하나의 단일 Amazon S3 버킷으로 집계합니다. 다이제스트 파일이 같은 Amazon S3 버킷으로 전송됩니까?
예. CloudTrail은 모든 리전 및 여러 계정의 다이제스트 파일을 같은 Amazon S3 버킷으로 전송합니다.


Q: AWS CloudTrail Processing Library란 무엇입니까?
AWS CloudTrail Processing Library는 CloudTrail 로그 파일을 읽고 처리하는 애플리케이션을 손쉽게 구축할 수 있도록 지원하는 Java 라이브러리입니다. GitHub에서 CloudTrail Processing Library를 다운로드할 수 있습니다.

Q: CloudTrail Processing Library가 제공하는 기능은 무엇입니까?
CloudTrail Processing Library는 SQS 대기열을 연속적으로 폴링하고, SQS 메시지를 읽고 구문 분석하고, S3에 저장된 로그 파일을 다운로드하고, 로그 파일의 이벤트를 내결함성 방식으로 구문 분석 및 직렬화하는 등의 작업을 처리하는 기능을 제공합니다. 자세한 내용은 CloudTrail 설명서의 사용 설명서 섹션을 참조하십시오.

Q: CloudTrail Processing Library를 사용하려면 어떤 소프트웨어가 필요합니까?
aws-java-sdk 버전 1.9.3 및 Java 1.7 이상이 필요합니다.


Q: AWS CloudTrail에 대한 비용은 어떻게 청구됩니까?
AWS CloudTrail을 사용하면 지원되는 서비스의 생성, 수정 및 삭제 작업에 대한 지난 7일간의 계정 활동을 무료로 보고 다운로드할 수 있습니다.

AWS CloudTrail에서 CloudTrail Trail을 생성하는 비용과 Trail에 지정된 S3 버킷으로 전달되는 각 리전의 첫 번째 관리 이벤트 사본은 무료입니다. CloudTrail Trail이 설정되면 Amazon S3 요금이 사용량에 따라 적용됩니다. 해당 리전에서 기록되는 관리 이벤트 추가 사본이나 데이터 이벤트에는 게시된 요금제에 따라 비용이 부과됩니다. 예를 들어, 동일한 리전 내에 다중 리전 Trail과 단일 리전 Trail을 생성하면 해당 리전에 기록된 관리 이벤트의 사본에 대한 비용이 부과됩니다.  

Q: 관리 이벤트의 Trail이 단 하나이며 모든 리전에 이를 적용하는 경우 비용이 발생합니까?
아니요. 각 리전에서 관리 이벤트의 첫 번째 사본은 무료로 전송됩니다.

Q: 무료 관리 이벤트의 기존 Trail에 데이터 이벤트를 활성화하면 비용이 부과됩니까?
예. 데이터 이벤트에 대해서만 비용이 부과됩니다. 관리 이벤트의 첫 번째 사본은 무료로 전송됩니다.


Q: AWS 파트너 솔루션은 CloudTrail에서 기록한 이벤트를 분석하는 데 어떤 도움을 줍니까?
여러 파트너에서 CloudTrail 로그 파일을 분석하기 위한 통합 솔루션을 제공합니다. 이러한 솔루션에는 변경 사항 추적, 문제 해결, 보안 분석과 같은 기능이 포함되어 있습니다. 자세한 내용은 CloudTrail 파트너 섹션을 참조하십시오.


Q: CloudTrail을 활성화하면 내 AWS 리소스 성능에 영향이 미치거나 API 호출 지연 시간이 길어집니까?
아니요. CloudTrail의 활성화는 AWS 리소스의 성능이나 API 호출 지연 시간에 어떠한 영향도 미치지 않습니다.