AWS CloudTrail 기능

이벤트 레코드는 AWS 리전에서 발생한 지난 90일간의 관리 이벤트에 대한 조회, 검색, 다운로드 가능하며 변경 불가능한 기록을 제공합니다. 이벤트 기록을 보는 데에는 CloudTrail 요금이 부과되지 않습니다.

CloudTrail 이벤트 기록은 모든 AWS 계정에서 활성화되며 수동으로 설정하지 않아도 AWS 서비스 전반의 관리 이벤트를 기록합니다. AWS 프리 티어를 사용하면 CloudTrail 콘솔을 사용하거나 CloudTrail lookup-events API를 사용하여 계정 관리 이벤트의 가장 최근 90일 기록을 무료로 보고, 검색하고, 다운로드할 수 있습니다. 자세한 내용은 CloudTrail 이벤트 기록에서 이벤트 보기를 참조하세요.

추적은 AWS 계정 활동 레코드를 캡처하여 Amazon S3에 이러한 이벤트를 전달 및 저장하고, 선택적으로 Amazon CloudWatch Logs 및 Amazon EventBridge로 전달합니다. 이러한 이벤트는 보안 모니터링 솔루션에 반영할 수 있습니다. 자체 서드 파티 솔루션 또는 Amazon Athena와 같은 솔루션을 사용하여 CloudTrail에서 캡처한 로그를 검색하고 분석할 수 있습니다. AWS Organizations를 사용하여 단일 AWS 계정 또는 여러 AWS 계정에 대한 추적을 생성할 수 있습니다.

추적을 생성하여 CloudTrail 이벤트를 S3에 전송하고 선택적으로 CloudWatch Logs에 전송할 수 있습니다. 이렇게 하면 전체 이벤트 세부 정보를 얻을 수 있으며 원하는 대로 이벤트를 내보내고 저장할 수 있습니다. 자세히 알아보려면 AWS 계정 추적 생성을 참조하세요.

S3 버킷에 저장된 CloudTrail 로그 파일의 무결성을 검증하고, CloudTrail에서 로그 파일을 S3 버킷으로 전송한 이후로 로그 파일이 그대로 유지되거나, 수정되거나, 삭제되었는지 탐지할 수 있습니다. IT 보안 및 감사 프로세스에서 로그 파일 무결성 검증 기능을 사용할 수 있습니다. 기본적으로 CloudTrail은 지정된 S3 버킷으로 전송된 모든 로그 파일을 S3 서버 측 암호화(SSE)를 사용하여 암호화합니다. 필요한 경우 AWS Key Management Service(KMS) 키를 사용해 로그 파일을 암호화함으로써 CloudTrail 로그 파일에 대한 보안 계층을 추가할 수도 있습니다. 사용자에게 복호화 권한이 있는 경우 S3에서 로그 파일을 자동으로 복호화합니다. 자세한 내용은 AWS KMS 관리형 키(SSE-KMS)를 사용한 CloudTrail 로그 파일 암호화를 참조하세요.

단일 위치에 여러 AWS 리전의 이벤트를 캡처하고 저장하도록 CloudTrail을 구성할 수 있습니다. 이 구성은 모든 설정이 기존 리전과 새로 시작된 리전에 일관되게 적용됨을 인증합니다. 자세히 알아보려면 여러 리전에서 CloudTrail 로그 파일 수신을 참조하세요.

단일 위치에 여러 AWS 계정의 이벤트를 캡처하고 저장하도록 CloudTrail을 구성할 수 있습니다. 이 구성은 모든 설정이 모든 기존 계정과 새로 생성된 계정에 일관되게 적용되는지 확인합니다. 자세히 알아보려면 조직 추적 생성을 참조하세요.

CloudTrail Lake는 감사 및 보안 목적으로 AWS에서 사용자 및 API 활동을 캡처, 저장, 액세스 및 분석하기 위한 관리형 데이터 레이크입니다. AWS 및 비 AWS 소스 모두에서 활동 로그를 집계, 시각화, 쿼리하고 변경 불가능한 형식으로 저장할 수 있습니다. IT 감사자는 감사 요구 사항을 충족하기 위해 CloudTrail Lake를 모든 활동에 대한 변경 불가능한 레코드로 사용할 수 있습니다. 보안 관리자는 사용자 활동이 내부 정책을 준수하는지 확인할 수 있습니다. DevOps 엔지니어는 Amazon Elastic Compute Cloud(EC2) 인스턴스가 응답하지 않거나 리소스에 대한 액세스가 거부되는 등의 운영 문제를 해결할 수 있습니다. 

CloudTrail Lake는 관리형 감사 및 보안 레이크이기 때문에 이벤트는 레이크 내에 저장됩니다. CloudTrail Lake는 읽기 전용 액세스 권한을 부여하여 로그 파일의 변경을 방지합니다. 읽기 전용 액세스는 이벤트를 변경할 수 없음을 의미합니다.

CloudTrail Lake를 도입하면 강력한 쿼리와 시각화 도구를 함께 사용하여 AWS 활동 로그에 대한 깊은 인사이트를 얻을 수 있습니다. CloudTrail Lake에 저장된 활동 로그에서 직접 SQL 기반 쿼리를 실행할 수 있으며, SQL에 익숙하지 않은 사용자는 AI 기반 자연어 쿼리 생성 기능을 통해 복잡한 쿼리를 작성할 필요 없이 분석을 간소화할 수 있습니다.

분석을 더욱 간소화하기 위해 CloudTrail Lake에는 쿼리 결과의 주요 인사이트를 자연어로 요약하여 제공하는 AI 기반 쿼리 결과 요약(미리 보기)이 포함되어 있습니다. 이 기능을 사용하면 AWS 활동 로그에서 의미 있는 정보를 추출하는 데 필요한 시간과 노력을 줄일 수 있습니다. 

고급 분석을 위해 Amazon Athena를 사용하면 데이터를 이동하거나 복제하는 복잡한 운영 과정 없이 다른 소스의 데이터와 함께 CloudTrail Lake 감사 가능 로그를 대화형 방식으로 쿼리할 수 있습니다. 그러면 보안 엔지니어가 보안 사고 조사를 위해 CloudTrail Lake의 활동 로그를 Amazon S3의 애플리케이션 및 트래픽 로그와 상호 연관시킬 수 있습니다. 규정 준수 및 운영 엔지니어는 포괄적인 분석과 보고를 위해 Amazon QuickSight와 Amazon Managed Grafana를 사용하여 활동 로그를 추가로 시각화할 수 있습니다.

AWS CloudTrail Lake를 사용하면 여러 로그 집계 및 보고 도구를 유지 관리할 필요 없이 다른 클라우드 제공업체, 사내 애플리케이션, 클라우드 또는 온프레미스에서 실행되는 SaaS 애플리케이션의 데이터를 비롯한 AWS 및 AWS 외부 소스의 활동 이벤트를 통합할 수 있습니다. 또한 AWS Config의 구성 항목이나 AWS Audit Manager의 감사 증거와 같은 다른 AWS 서비스에서 데이터를 수집할 수 있습니다. CloudTrail Lake API를 사용하여 데이터 통합을 설정하고 이벤트를 CloudTrail Lake에 푸시할 수 있습니다. 서드 파티 도구와 통합하려면 CloudTrail 콘솔의 파트너 통합을 통해 몇 단계만 거치면 이러한 애플리케이션으로부터 활동 이벤트 수신을 시작할 수 있습니다.

CloudTrail Lake를 사용하면 여러 리전의 이벤트를 캡처하고 저장할 수 있습니다.

CloudTrail Lake를 사용하여 AWS Organizations 전체의 계정에 대한 이벤트를 캡처하고 저장할 수 있습니다. 또한 최대 3개의 위임된 관리자 계정을 지정하여 조직 수준에서 조직 추적 또는 CloudTrail Lake 이벤트 데이터 스토어를 생성, 업데이트, 쿼리 또는 삭제할 수 있습니다.