CloudTrail 이벤트 로그를 검색하여 EBS 볼륨을 생성한 사용자 이름을 찾을 수 없는 이유는 무엇입니까?

간략한 설명

Amazon Elastic Compute Cloud(Amazon EC2) 시작 중에 생성된 EBS 볼륨에는 AWS CloudTrail 이벤트 로그 CreateVolume을 사용할 수 없습니다.

EBS 볼륨을 생성한 사용자 이름을 확인하려면 다음을 수행하십시오.

• 수동으로 생성된 EBS 볼륨은 볼륨 ID를 사용하여 CreateVolume에 대한 CloudTrail 이벤트 로그를 볼 수 있습니다.
• EC2 시작 중에 생성된 EBS 볼륨은 EC2 인스턴스 ID를 사용하여 RunInstances에 대한 CloudTrail 이벤트 로그를 볼 수 있습니다.

자세한 내용은 CloudTrail 콘솔에서 CloudTrail 이벤트 보기를 참조하십시오.

참고: 이는 AWS Config 및 CloudTrail을 활성화한 후에 생성된 EBS 볼륨에만 적용됩니다.

해결 방법

EBS 볼륨이 EC2 시작 중에 생성되었는지 또는 수동 생성되었는지 판단

1. Amazon EC2 콘솔을 열고, Elastic Block Store를 선택한 다음 볼륨을 선택하십시오.
2. EBS 볼륨의 볼륨 ID를 복사하십시오.
3. AWS Config 콘솔을 연 다음 리소스를 선택하십시오.
4. 리소스 유형 드롭다운 목록에서 AWS EC2 볼륨을 선택합니다.
5. 리소스 식별자에 볼륨 ID를 2단계에서 붙여넣으십시오. 그런 다음 라디오 버튼을 선택하고 리소스 타임라인을 선택하여 AWS Config에서 캡처한 리소스의 타임라인을 엽니다.
6. 이벤트에서 구성 변경을 확장합니다. 그런 다음 상세 정보 보기를 선택합니다.
7. 관계를 확장하십시오.
8. EC2 인스턴스 ID가 보이지 않으면 이는 EBS 볼륨이 수동으로 생성되었음을 의미합니다.
9. EC2 인스턴스 ID가 표시된 경우 이는 EBS 볼륨이 EC2 시작 도중 또는 연결된 이후에 생성되었음을 의미합니다. EC2 인스턴스 ID를 복사하십시오.

EBS 볼륨을 생성한 사용자 이름 찾기

EBS 볼륨이 수동으로 생성된 경우 다음 단계를 수행하십시오.

1. CloudTrail 콘솔을 열고 이벤트 기록을 선택합니다.
2. 필터에서 리소스 이름을 선택하십시오.
3. 리소스 이름 입력에 EBS 볼륨의 볼륨 ID를 붙여넣은 다음, 디바이스에서 Enter를 누르십시오.
4. 확장할 이벤트를 선택하고 전체 이벤트 기록을 표시합니다. EBS 볼륨을 수동으로 생성한 사용자를 식별하려면 arn 및 userName을 기록해 둡니다.

EC2 시작 도중에 EBS 볼륨이 생성된 경우 다음 단계를 수행하십시오.

1. CloudTrail 콘솔을 열고 이벤트 기록을 선택합니다.
2. 필터에서 리소스 이름을 선택하십시오.
3. 리소스 이름 입력에 AWS Config 콘솔에서 복사한 EC2 인스턴스 ID를 붙여 넣습니다. 그런 다음 디바이스에서 Enter 키를 누릅니다.
4. 확장할 이벤트를 선택하고 전체 이벤트 기록을 표시합니다. EC2 인스턴스를 시작한 사용자를 식별하려면 arn 및 userName을 기록해 둡니다.

참고: DeleteonTermination 특성이 거짓으로 설정되어 있는 경우 EBS 볼륨을 삭제할 수 없습니다. 자세한 내용을 확인하려면 인스턴스 종료 시 Amazon EBS 볼륨 보존을 참조하십시오.